Как стать автором
Обновить
Positive Technologies
Лидер результативной кибербезопасности
Сначала показывать

Формальная верификация протокола IBFT: проверяем безопасность византийского консенсуса в блокчейне

Уровень сложностиСредний
Время на прочтение13 мин
Количество просмотров368

Добрый день! Меня зовут Кирилл Зиборов, я представляю отдел безопасности распределенных систем Positive Technologies. В этой статье я продолжу рассказывать о том, как мы используем инструменты формальной верификации для предотвращения уязвимостей в различных компонентах блокчейна. Ранее мы верифицировали смарт-контракты дедуктивным методом. В этот раз речь пойдет о протоколах консенсуса — механизмах принятия узлами новых транзакций в цепочку, а именно об алгоритме Istanbul Byzantine Fault Tolerant и в целом о том, как можно гарантировать корректность подобных алгоритмов с помощью метода проверки моделей.

Читать далее

Баг в ВК, или Как поступить на факультет пиратов в МГУ

Уровень сложностиПростой
Время на прочтение4 мин
Количество просмотров20K

В современном программном обеспечении присутствует множество багов. Какие-то из них влияют на безопасность, какие-то на работоспособность, но есть отдельная категория, которую я называю «Веселые баги». Они не влияют на других пользователей и на работоспособность системы в целом, но могут доставить множество эмоций тому, кто их использует, а также тем, кто наблюдает за получившимся результатом.

Все началось пару дней назад, когда ко мне в предложку ВК попал мой первый руководитель, с которым мы не виделись уже несколько лет. Перейдя в профиль, я увидел, что он учился в Сомалийском Университете Пиратства и Абордажного Судозахвата. Мы всегда пользовались и пользуемся лицензионным ПО, поэтому я сразу смекнул, что ни на какого пирата он не учился. Дальше я попробовал через веб-интерфейс в своем профиле поставить такое же высшее образование, но такого университета в списке доступных не нашлось... Но откуда тогда взялся университет пиратства?

Как поступить на факультет пиратов?

Погружаемся в матрицу: как MITRE ATT&CK помогает бороться с APT-группировками

Время на прочтение8 мин
Количество просмотров1.3K

Многие из вас слышали про APT (advanced persistent threat) — тщательно спланированные кибератаки, как правило, нацеленные на определенную компанию или отрасль. Логично предположить, что за ними стоят хорошо организованные группировки с солидными бюджетами и высокотехнологичными инструментами. Тактики и техники APT-группировок описаны в матрице MITRE ATT&CK. Исследователи и специалисты по кибербезопасности постоянно пополняют ее новыми данными, а также используют знания из нее при разработке средств защиты информации.

Так делают и наши эксперты. В этой статье мы хотим показать, как данные из MITRE ATT&CK помогают MaxPatrol EDR защищать компании от продвинутых угроз. Для этого мы проанализировали реальные атаки четырех известных APT-группировок и теперь расскажем, как MaxPatrol EDR сможет их остановить. Детальный разбор ждет вас под катом 👇

Читать далее

DaMAgeCard: как индустрия карт памяти SD воскресила DMA-атаки

Время на прочтение24 мин
Количество просмотров7.3K

Размеры медиа-файлов кардинально растут, а вместе с ними растут и требования к скорости носителей. Копировать сотни гигабайт RAW-изображений с обычной, даже высокоскоростной SD-карты стандарта UHS-II стало слишком долго. И вот жалобы фотографов на то, что кофе успевает остыть, пока все данные будут скопированы с карты, дошли до председателей SD Association и CompactFlash Association, и те приняли решительные меры: выпустили стандарт SD ExpressCFexpress).

Наша команда (Positive Labs) занимается исследованием безопасности программно-аппаратных систем и системного ПО. Поэтому мы внимательно наблюдали за развитием событий еще с 2018 года — с момента публикации стандарта, который обещал огромный прирост скорости за счет подключения карты к шине PCIe. Но мы следили не только за бенчмарками скорости, хотя она, конечно, внушительная. Наличие PCIe потенциально опасно из-за возможности доступа к памяти устройства, а это очень интересный вектор атак.Вот только до недавнего времени производители контроллеров и пользовательских устройств не спешили с поддержкой стандарта SD Express. Мы уже даже было обрадовались, что они научились на своих ошибках, и теперь не хотят давать внешним устройствам доступ к памяти (спойлер: нет). А пока расскажем, почему уделяем столько внимания почтенной шине PCI.

Читать далее

Новая методология AppSec Table Top: как эффективно и безболезненно выстроить процессы безопасной разработки

Время на прочтение10 мин
Количество просмотров1.1K

Всем привет! Меня зовут Евгений Иляхин, я работаю архитектором процессов безопасной разработки в Positive Technologies, вместе с командой консалтинга в области безопасной разработки мы специализируемся на внедрении AppSec в различных компаниях и всячески продвигаем этот подход в массы.

В отрасли ИБ существует множество методологий, фреймворков, моделей безопасной разработки, которые помогают встроить AppSec в цикл создания ПО: BSIMM, OWASP SAMM, BSA SSF, Microsoft SDL и другие. Каждый из них имеет свои особенности, преимущества и, скажем так, способ использования и адаптации к собственным процессам. В ходе нашей работы мы познакомились со многими из них и пришли к выводу, что российским разработчикам нужен собственный инструмент. Зачем? Что из этого получилось? Расскажу в этой статье.

Что за AppSec Table Top такой?

Зачем нужны метрики работы с инцидентами в Security Operations Center: объясняем на примере из «Властелина колец»

Время на прочтение15 мин
Количество просмотров2K

Одной из важных и сложных задач, решаемых центром кибербезопасности (Security Operations Center, SOC), является оценка последствий киберинцидентов (уже наступивших или тех, которые вот-вот наступят). Это позволяет присваивать инциденту приоритет и реагировать в соответствии с ним. Но куда труднее сказать, какова вероятность успешной атаки в будущем. В этой статье мы поговорим о том, как измерить этот риск с помощью метрик, какие данные нам для этого понадобятся и где их взять. А для наглядности отправимся в фэнтезийный мир Дж. Р. Р. Толкина и убедимся, что наш метод поможет и там.

В добрый путь!

Атаки новой группировки TaxOff: цели и инструменты

Время на прочтение5 мин
Количество просмотров1.1K

C начала осени 2024 года мы в отделе исследования киберугроз активно наблюдаем за одной любопытной группировкой. Она атаковала государственные структуры в России, а ее основными целями были шпионаж и закрепление в системе для развития последующих атак. Связей с уже известными группировками мы установить не смогли, поэтому решили назвать ее TaxOff из-за использования писем на правовые и финансовые темы в качестве приманок.

В статье рассказываем про фишинг, работу бэкдора Trinper и почему он так называется.

Подробности

Методы моделирования атак на графах

Время на прочтение6 мин
Количество просмотров3.4K

Привет! С вами снова Даниил Нейман из отдела развития инициатив ИБ-сообществ. Это продолжение цикла статей о проблеме, с которой сталкивается специалист при анализе кибератак, — о сложности анализа без использования стандартизированных методов моделирования, используемых для разбиения и визуального представления этапов кибератаки.

Ранее были рассмотрены методы моделирования атак на основе сценариев использования и темпоральные методы моделирования. А завершим цикл статей мы рассмотрением методов, основанных на графах. Отличительная черта этих методов — использование графов, где сущностями являются вершины графа, а связями между ними — ребра.

Читать далее

Как изменились атаки на российские компании за два года

Уровень сложностиПростой
Время на прочтение6 мин
Количество просмотров2.1K

В 2022 году произошел всплеск атак на российские организации, резко ухудшившаяся геополитическая ситуация повлияла на ландшафт киберугроз всей страны. В прошлом году число таких атак несколько снизилось, но уже за первые три квартала 2024 года количество успешных атак практически сравнялось с показателями за весь 2022 год. Российские организации атакуются десятками кибершпионских, хактивистских и финансово мотивированных группировок.

Российские организации все чаще сталкиваются с высококвалифицированными целевыми атаками. Киберпреступность — один из главных факторов в современных геополитических конфликтах. Злоумышленники рассылают фишинговые письма с вредоносными вложениями, маскирующимися под различные документы — приказы, резюме, методические указания, даже под официальные документы регуляторов.

Как еще и почему изменился ландшафт угроз? И что можно предпринять, чтобы защититься от такого числа опасностей?

Подробности

Как мы обучали LLM для поиска уязвимостей в смарт-контрактах Solidity

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров2.3K

Наша команда в Positive Technologies занимается анализом безопасности смарт-контрактов, исследованием уязвимостей и разработкой инструментов для их обнаружения. Идея использовать LLM для анализа смарт-контрактов Solidity показалась крайне заманчивой. Загрузить код, запустить модель — и она сама находит уязвимости, генерирует отчет, а иногда даже предлагает исправления. Звучит отлично! Но, как показал мой опыт, между «звучит» и «работает» лежит огромная пропасть.

Читать далее

Техподдержка 2.0: пробуем новый подход

Уровень сложностиПростой
Время на прочтение6 мин
Количество просмотров2K

Всем привет! На связи Александр Грачев, заместитель директора сервисного центра компании Positive Technologies.

Мы в компании долгое время жили с пониманием, что, если что-то принято, значит, так правильно. Мы использовали классический подход, в котором обязательно должна быть первая линия саппорта — решение типовых вопросов и работа по скрипту. Но в определенный момент мы столкнулись с тем, что вреда от этого больше, чем пользы. Удивительно, но факт. Почему — делюсь мнением в статье.

Зачем же ломать то, что работает?

Атаки киберпреступников на Ближнем Востоке: итоги и прогнозы

Время на прочтение9 мин
Количество просмотров884

Страны Ближнего Востока вслед за экономическим ростом переживают период цифровой трансформации. Сосредоточение большого количества финансов и расширение ИТ-инфраструктуры привлекают не только инвестиции, но и хакеров. Некоторые из них включаются в противостояние государств в регионе, другие ищут материальную выгоду — так или иначе киберпреступники представляют серьезную угрозу. Каковы цели злоумышленников, какие методы они используют и как страны Ближнего Востока пытаются сдерживать нарастающий поток атак — рассказываем в этой статье.

Читать далее

Авторизация в Docker Private Registry

Уровень сложностиСредний
Время на прочтение10 мин
Количество просмотров1.7K

Пользоваться общей инфраструктурой Docker очень удобно. Тысячи готовых образов, доступных вам через одну команду в консоли, в любом месте, где есть интернет. Ничего удивительного в том, что это вошло в обиход большого числа разработчиков. Но образы контейнеров занимают много места, и качать некоторые из них довольно долго. Зачастую хочется иметь свой или хотя бы локальный реестр. Да и безопаснее это... Наверное?

Зная, что в Docker private registry отсутствует авторизация, я решил разобраться, как легким способом можно блокировать различные действия для клиентов и разрешать все админам. Мне нужно было ограничить получение какой-либо информации по репозиториям, находящимся в реестре, выгрузку образов из реестра, а также запретить загрузку репозиториев, которые уже существуют в реестре. Начнем с основы основ — загрузки и выгрузки образов с помощью API v2.

Всем все запретить, админам все разрешить!

Безопасность мобильных устройств: интервью с экспертом Positive Technologies

Уровень сложностиПростой
Время на прочтение9 мин
Количество просмотров2.4K

Недавно в гостях у канала AUTHORITY побывал руководитель отдела перспективных технологий компании Positive Technologies Николай Анисеня.

Поговорили с экспертом о безопасности мобильных устройств, о последних тенденциях и угрозах в области мобильной безопасности. Кроме того, Николай поделился советами для начинающих специалистов.

Читать далее

Зоопарк группировок и уязвимые диски

Время на прочтение6 мин
Количество просмотров1.8K

В начале сентября 2024 года мы обнаружили подозрительный образ виртуального диска форматаVHDX — крайне редкое событие при просмотре потока данных. Анализ VHDX и всех связанных файлов позволил атрибутировать эту атаку группировке APT-C-60. Одну из последних похожих кампаний в июле 2023 года описали в своей статье эксперты компании ThreatBook. Однако при сравнении удалось выделить различия как в файловой иерархии на диске, так и в используемых командах и инструментах.

В этой статье мы опишем технику атаки через виртуальный диск, расскажем, почему мы считаем, что данная атака принадлежит именно группировке APT-C-60 и как эти злоумышленники связаны с хакерами из DarkHotel и других групп.

Что за уязвимые диски?

Тренды VM: топ уязвимостей октября, «метод Форда» и «атака на жалобщика»

Уровень сложностиПростой
Время на прочтение7 мин
Количество просмотров1.4K

 

Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

В этом посте мы также рассмотрим кейсы с социальной инженерией и особенностями функционирования процесса управления уязвимостями. 

Начнем с трендовых уязвимостей. В октябре их было четыре.

Больше про главные уязвимости октября →

Экспертиза под микроскопом [Оголяемся технологически. MaxPatrol SIEM]

Уровень сложностиПростой
Время на прочтение7 мин
Количество просмотров1.2K

Привет! На связи руководитель экспертизы MaxPatrol SIEM Кирилл Кирьянов и старший специалист группы обнаружения APT-атак Сергей Щербаков. В одной из прошлых статей нашего цикла мы говорили про нормализацию и обогащение как первые шаги в работе с любым событием в SIEM-системе. Сегодня зайдем чуть дальше и рассмотрим следующий этап жизненного пути инцидента — работу правил корреляции.

Разберемся, что такое экспертиза, какие у нее бывают источники, как появляются новые правила корреляции и как их проверяют перед развертыванием. Подробнее взглянем на все этапы создания контента, поговорим о его обновлении и интеграции с другими продуктами киберзащиты.

Заглянем под капот нашей SIEM?

Вести с полей киберинцидентов: команда расследователей делится итогами проектов 2023-2024

Время на прочтение7 мин
Количество просмотров1.3K

Привет! На связи команда по расследованию и реагированию на инциденты экспертного центра безопасности Positive Technologies. За год мы выполнили около ста проектов по расследованию инцидентов ИБ и ретроспективному анализу в организациях по всему миру. В этом исследовании мы с разных сторон изучили кейсы, над которыми работали в период с IV квартала 2023 по III квартал 2024 года, проанализировали самые интересные техники атак и выделили популярные инструменты злоумышленников. 

В этой статье мы поделимся основными результатами и ответим на два главных вопроса: как действовали киберпреступники и почему их атаки были успешными.

Узнать подробности

Опасное цифровое наследство: какие угрозы таит реинкарнация утраченного номера

Уровень сложностиПростой
Время на прочтение7 мин
Количество просмотров16K

Когда-нибудь видели такое, что в социальных сетях ваша бывшая одноклассница Оля стала каким-то усатым Николаем? А в чужой групповой чат попадали по ошибке? Причем не просто какой-то спам, а реальный чат друзей, собирающихся на рыбалку или на день рождения? Может, получали сообщение в Telegram о новом пользователе с номером покойной бабушки Зины?

Что-то подобное может произойти после блокировки SIM-карты спустя определенный период бездействия (обычно от 60 до 365 дней в зависимости от оператора), когда номер вновь поступает в продажу.

А что произойдет, если новый владелец вашего прежнего номера попробует авторизоваться там, где ранее регистрировались вы? Чтобы ответить на этот вопрос, мы провели эксперимент.

Читать далее

Начинаем в багбаунти: доступно об уязвимостях типа Broken Access Control

Уровень сложностиСредний
Время на прочтение4 мин
Количество просмотров2.2K

Привет, меня зовут Александр (aka bytehope). Прежде чем прийти к багхантингу, я пять лет занимался коммерческой разработкой. Однако меня всегда больше интересовал поиск уязвимостей, поэтому сейчас свое свободное время я провожу на площадках багбаунти.

Эту статью я решил посвятить уязвимостям, связанным с недостатками контроля прав (Broken Access Control). Вы узнаете, что это очень распространенный баг, который может проявляться самыми разными способами. Конечно, особый акцент будет сделан на практике: я покажу, как отловить четыре разных вида этой уязвимости в лабах Web Security Academy. Начнем с самых простых примеров, поэтому статья подойдет для начинающих охотников. Смело заглядывайте под кат!

Начнем хантить баги?
1
23 ...

Информация

Сайт
www.ptsecurity.com
Дата регистрации
Дата основания
2002
Численность
1 001–5 000 человек
Местоположение
Россия