В данной статье будет рассмотрено понятие сокета в операционной системе Linux: основные структуры данных, как они работают и можно ли управлять состоянием сокета с помощью приложения. В качестве практики будут рассмотрены инструменты netcat и socat.

Firewatch — это игра, которая доказывает: чтобы вызвать сильные эмоции, не нужны сложные механики, грандиозные миры или десятки персонажей. Всё, что нужно, — это продуманная история, выразительное окружение и минимализм в геймдизайне. Как создателям удалось соединить простоту с глубиной и почему Firewatch стала одной из самых трогательных камерных игр в истории? Давайте разберёмся

Привет, Хабр! Меня зовут Игорь Агиевич, я специалист по безопасности распределенных реестров в компании Positive Technologies. C 2021 года занимаюсь безопасностью в области блокчейн-технологий, в сфере ИТ работаю в общей сложности 17 лет.

В статье поговорим о проблемах безопасности блокчейн-проектов, пришедших из мира Web 2.0. В этой области отсутствует сложившаяся практика, поэтому в публичной плоскости крайне мало сведений о механизмах защиты, используемых этими проектами. Статья является более подробным вариантом доклада с прошедшего киберфестиваля Positive Hack Days 12 на эту же тему.

Опыт, накопленный при проведении пентестов, и понимание сетевых технологий помогли мне провести исследование атак на блокчейн-проекты, проведенных с использованием техник DNS hijacking и BGP hijacking.

Вы узнаете, как перехват пользовательского трафика приводит к тому, что пользователи теряют криптовалюту. Кроме того, в этой статье:

? разберем, как злоумышленники проводили атаки на сетевом уровне (благодаря открытым данным восстановим многие шаги атак буквально по минутам);

? декомпилируем смарт-контракты (далее — контракты) атакующих;

? выясним, какие публичные механизмы защиты внедрили пострадавшие проекты и что с ними не так;

? попробуем улучшить механизмы обнаружения рассмотренных атак и защиты от них, а также рассмотрим обозреватели блокчейнов (выясним, как найти в блокчейне контракты злоумышленника, зная только один из них);

? поговорим о том, какие шаги необходимо предпринять держателям криптовалют, чтобы не стать очередными жертвами.

Анализируя отчеты по разбору вредоносного ПО приходишь к выводу, что одним из популярных методов для закрепления в системе является COM Hijacking (T1546.015). Примером такого вредоносного ПО является Fancy Bear или Jumplump. Таким образом, становится очень важно команде Blue Team уметь детектировать данный вид атаки. Поэтому было принято решение выпустить серию статей, посвященных технологии Component Object Model, разбору атаки COM Hijacking и ее детектированию.

Всем привет! На связи Константин Родин из «АйТи Бастион». Сегодня речь пойдёт о выбранной нами много лет назад нише в сфере ИБ, а именно – контроле привилегированного доступа. То есть те самые PIM PAM PUM, про которые вы могли слышать, а могли и не слышать. Но и в том и другом случае – вы с вероятностью 99% сталкивались с привилегированным доступом и последствиями его недобросовестного использования.

Вот уже почти 7 лет я смотрю изнутри на рынок систем контроля привилегированного доступа: прошёл путь от инженера техподдержки до руководителя отдела развития продуктов, строил комплексные интегрированные системы безопасного привилегированного доступа, видел, как при слове PAM закрывались двери (или меня просили закрыть дверь снаружи), а коллеги, связанные с АСУ ТП и КИИ, крутили пальцем у виска, комментируя эти три буквы невозможностью идти в тему внешних подключений, ибо их нет.

Но тема PAM раскрывалась виток за витком, удалённый доступ стал нормой во время пандемии коронавируса, проблемы с ним перешли на новый уровень: цепочки поставок лидируют в отчётах по атакам, и мы с коллегами приняли решение раскрывать тему PAM для широкого круга и выйти за пределы классического мира ИБ. 

Чтобы это не выглядело рекламой – сразу «на берегу» договоримся, что построить эффективную систему информационной безопасности в отдельно взятой компании можно, не покупая множество ИБ-решений, а ограничив этот набор минимально необходимым. Остаётся только связать всё это регламентами, процессами и исполнительными людьми, которые регламенты соблюдают и работают строго по процессам и правилам. Ну а для тех, кто знает, что всякое в жизни бывает, – и будет наш дальнейший лонгрид про флагманский продукт «АйТи Бастион» с ярким и запоминающимся названием СКДПУ НТ.

Всё что нам известно о текущем состоянии квантовых компьютеров - это их постоянное и планомерное улучшение, которое мы наблюдаем по открытым источникам. В это же время, нам всё также неизвестна реальная расстановка сил - неизвестно кто конкретно лидирует в гонке создания квантовых компьютеров, кто потенциально мог бы уже создать или приблизился к созданию такого мощного квантового компьютера, который смог бы взламывать асимметричные алгоритмы современной криптографии.

Информация подобного рода никогда не будет раскрываться общественности, т.к. использование настолько сильных квантовых компьютеров будет выгодно лидирующему государству за счёт его дальнейшей возможности успешно дешифровывать все ранее сохранённые им же шифртексты и на их основе шантажировать политиков других государств, участвовать в войнах с преобладающим количеством открытой информации о противнике, лоббировать интересы своего бизнеса, преумножать капитал на схемах взлома криптовалют, безопасности банков, рассекречивании биржевых сделок и т.д., и т.п. Вследствие всего этого, разработка квантовоустойчивых алгоритмов, а также их дальнейшая имплементация является крайне важным звеном в современном развитии безопасных коммуникаций.

В этой статье мы собираемся разобраться со следующими вопросами:

* Как виртуализировать сетевые ресурсы, чтобы контейнеры думали, что у них есть отдельные сетевые среды?

* Как превратить контейнеры в дружелюбных соседей и научить общаться друг с другом?

* Как выйти во внешний мир (например, в Интернет) изнутри контейнера?

* Как связаться с контейнерами, работающими на хосте Linux, из внешнего мира?

* Как реализовать публикацию портов, подобную Docker?

polkit – это системный сервис, по умолчанию устанавливаемый во многих дистрибутивах Linux. Он используется демоном systemd, поэтому в любом дистрибутиве Linux, где применяется system, также используется polkit. Автор этой статьи, входя в состав a GitHub Security Lab, работает над улучшением безопасности опенсорсного софта; он ищет уязвимости и докладывает о них. Именно он однажды нашел уязвимость в polkit, позволяющую злоумышленнику увеличить его привилегии. Раскрытие уязвимости было скоординировано с командой по поддержке polkit, а также с командой по обеспечению безопасности в компании Red Hat. О раскрытии этой уязвимости было объявлено публично, патч для нее был выпущен 3 июня 2021 года, и ей был присвоен код CVE-2021-3560.

Эта уязвимость позволяет непривилегированному пользователю, работающему на локальном ПК, получить root-доступ к командной оболочке системы. Такой эксплойт несложно осуществить при помощи нескольких стандартных инструментов командной строки, как показано в этом коротком видео. В данном посте будет объяснено, как устроен этот эксплойт, а также показано, где именно в исходном коде находится этот баг.

История уязвимости CVE-2021-3560 и какие дистрибутивы она затронула

Рассматриваемый баг достаточно старый. Он вкрался в код более восьми лет назад в коммите bfa5036 и впервые мог использоваться в версии 0.113 программы polkit. Однако, во многих популярных дистрибутивах Linux эта уязвимая версия не использовалась до относительно недавнего времени.

Немного специфической историей этот баг обладает в Debian и его производных (например, в Ubuntu), так как Debian использует форк polkit, в котором есть своя особенная схема нумерации версий. В форке Debian этот баг появился в коммите f81d021 и впервые попал в дистрибутив в версии 0.105-26. В стабильном релизе Debian 10 (“buster”) используется версия 0.105-25, таким образом, уязвимости в нем нет. Но некоторые производные Debian, в том числе, Ubuntu, основаны на нестабильной версии Debian, а она уязвима.

Искусственный интеллект уверенно входит в мир разработки игр, становясь важным инструментом для оптимизации творческих и технических процессов. От генерации графики и 3D-моделей до создания сценариев и озвучки — ИИ уже меняет подход к геймдеву. Но действительно ли он способен полностью заменить разработчиков, или же останется лишь продвинутым ассистентом? В этой статье мы рассмотрим различные аспекты применения ИИ в индустрии, его влияние на будущее видеоигр и даже рассмотрим первый в мире нейросетевой игровой движок!

Эпопея с блокировками сервиса продолжается, что происходит сейчас? С 20 по 23 сентября пользователи разных провайдеров заявили, что у них появился доступ до видеохостинга без использования средств обхода ограничений. Чтобы объективно оценить реальное состояние доступа к видеохостингу и блокировок у разных провайдеров, воспользуемся сервисом мониторинга. 

В этой статье мы рассмотрим простую задачу, которая используется одной компанией в качестве тестового задания для стажеров на позицию ML-engineer.

Одной из важных составляющих информационной безопасности инфраструктуры компании является SIEM - система управлением событиями и информацией безопасности. Такую систему можно условно поделить на 2 основные части — подсистему сбора событий и подсистему анализа полученных событий. Правильная настройка первой поможет обнаружить вторжение на ранних этапах проникновения, облегчит написание событий тревоги (алертов), а если вас всё-таки взломали, то позволит разобраться, как и почему это произошло, какие действия выполняли злоумышленники. Основным инструментом для сбора системных событий в линукс-системах является auditd. На основе этого инструмента созданы и другие, например, auditbeat, go-audit, которые дополняют основной функционал auditd. Поэтому, разобравшись с основными принципами работы базового инструмента, вам не составит труда воспользоваться и всеми остальными.

Структура статьи:

- Краткое знакомство с инструментом: общее описание auditd, плюсы и минусы, синтаксис;

- Принципы написания правил: практические советы по специфике инструмента, которые позволят делать меньше ошибок при работе с ним;

- Как тестировать правила: порядок действий, который позволит внедрить наборы правил в инфраструктуру любого размера;

- Алгоритм тестирования правил: упорядоченный список действий для проверки отдельно каждого правила и фильтров к нему;

- Модель угроз: как рассматривать систему с точки зрения атакующего, чтобы ничего не забыть;

- Пример: применяем полученные знания на практике.

Привет читающим этот длиннопост. Давно ничего не писал на Хабре, но 2022 год выдался достаточно непростым в плане DDoS-атак. По роду деятельности, я столкнулся с большим количеством вопросов о том, что такое DDoS-атаки, нужно ли с ними бороться (WTF??? конечно, не нужно, пусть все лежит нужно). Зрелым матерым спецам здесь вряд ли будет интересно.

Пользуясь случаем, хочу поблагодарить Qrator Labs за большой вклад в оригинальный текст. Без них он бы не родился :)

Хочу сразу отметить, что некоторым читателям, погруженным в банковскую тематику, текст может показаться знакомым. И да, он в каком-то виде был выпущен для узкого круга лиц, но поскольку уже прошло достаточно времени, а данные не устарели и автор этого поста был, в основном, автором этого текста, то я решил выложить его на хабр в несколько сокращенном и подредактированном варианте, дабы давать ссылку на этот пост, когда опять начнут задавать вопросы.

Threat intelligence — процесс сбора данных об актуальных угрозах и действиях киберпреступников, включая цели, тактику и инструменты злоумышленников. Процесс и данные — TI-фиды, — в теории, позволяют выстроить более эффективную стратегию защиты от самых актуальных атак.

Хабр, в связи с уходом Notion выросла потребность в аналогичном решении, которое бы было сопоставимо удобной Wiki, Task Manager — платформе. 

Я испробовал десять self-hosted решений и нашел несколько почти идеальных! Вы можете развернуть их у себя на сервере, при работе над совместными проектами с командой или для ведения личных записей.

Согласно отчету 2021 SANS Cyber Threat Intelligence (CTI) Survey, 66,3% компаний используют открытые источники для сбора индикаторов компрометации и стараются работать одновременно с несколькими источниками. Казалось бы, сбор индикаторов из открытых источников — достаточно простая задача: надо просто скачать с какого-то сайта файлик txt или csv, и всё. В действительности на этом пути можно столкнуться с большим количеством проблем. В статье мы расскажем, что это могут быть за сложности, от чего зависят структура и формат фида, какие метрики помогают оценить полезность фидов, а также покажем на реальном примере, что можно узнать из фида.  Для большей объективности эту статью мы подготовили вместе с Колей Арефьевым из компании RST Cloud, занимающейся агрегацией, обогащением, очисткой и ранжированием индикаторов, публикуемых независимыми ИБ-исследователями.

В этом хабропосте рассказываем, что скрывается за аббревиатурой TI, зачем он нужен, какие данные о киберугрозах собирает Positive Technologies и какую пользу они приносят компаниям в предупреждении киберугроз. На примере четырех сценариев покажем, как компании могут использовать PT Threat Intelligence Feeds для обнаружения вредоносной активности и предотвращения атак.

Всем привет! Я — Алексей Лыков, основатель Playkey. В 2021 году мы стали частью команды VK Play Cloud. Расскажу про cloud gaming, немного компаний в мире делают подобные сервисы. Мы передовики в России, в мире – пока нет.

Остановлюсь подробнее на проблеме latency, где найти наши заветные миллисекунды, причём тут качество cloud gaming и как мы работаем над его улучшением.

9 марта 2023 года в российском теле- и радиоэфире прозвучало объявление о воздушной тревоге. Пугающий знак радиационной опасности, звук сирены на заднем фоне, напряженный синтетический голос, призывающий спрятаться в укрытии… Спустя несколько часов в МЧС отчитались о том, что тревога была ложной: трансляцию запустили хакеры, взломавшие сервера нескольких радиостанций и телеканалов. 

Ситуация, прямо скажем, не из приятных. Еще более неприятным может оказаться взлом ЛСО — локальных систем оповещения на предприятиях. В этом сценарии атаки есть все, что может сделать больно бизнесу: репутационные и финансовые потери, риск лишиться лицензии на дальнейшую деятельность, угроза жизни и здоровью людей. 

В статье расскажу функциях ЛСО и о том, как спроектировать защиту подобной системы на производстве.