Как стать автором
Обновить

Компания Акрибия временно не ведёт блог на Хабре

Сначала показывать

Получаем полную версию Microsoft Exchange. Исследуем, как мир ставит обновления

Время на прочтение 10 мин
Количество просмотров 7K

Перед тем, как я расскажу о своем исследовании, объясню, чем оно было обусловлено. В мае мы запустили альфа-версию сканера интернета – Netlas.io. Этот сервис – наша собственная разработка, которой мы занимались последние месяцы.  

В двух словах о том, что это. Netlas.io — это своеобразный технический атлас всей сети Интернет, который включает сертификаты, данные по доменам и поддоменам, ответы серверов по популярным портам и много другой полезной информации для исследователей безопасности. Иными словами — это российский аналог Shodan или Censys.

Альфа-тестирование продлится еще несколько месяцев, поэтому, кому интересно – ждем. На этот период сервис полностью бесплатный, но уже содержит много «плюшек» для тех, кто решит продолжить его использовать после альфы. Например, доступ к платному аккаунту на несколько месяцев.

 На этой ноте вступительную часть объявляю закрытой, переходим к исследованию.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 3

Использование TLS fingerprinting для выявления угроз

Время на прочтение 9 мин
Количество просмотров 18K

В статье хотим рассказать про технологию TLS fingerprinting, про которую недостаточно материалов в русскоязычном сегменте. Попробуем это исправить. Статья частично переводит тематические материалы авторов описываемых методов (тут и тут), а также содержит описание практической реализации от Акрибии.

Не будем глубоко погружаться в детали работы SSL/TLS (далее будем говорить TLS), но кратко поясним детали.

Использование TLS само по себе благо, так как с его помощью шифруются данные. Но с обратной стороны создатели вредоносов используют его же, чтобы скрываться в шифрованном трафике (в данной статье как раз будет уклон в эту сторону) и затруднять их обнаружение и нейтрализацию.

Чтобы инициировать сеанс TLS, клиент отправляет «пакет» приветствия серверу после трёхстороннего установления связи TCP. Этот «пакет» и способ его создания зависят от пакетов и методов шифрования, используемых при создании клиентского приложения. Если сервер принимает соединение TLS, он ответит пакетом приветствия, тем самым продолжая согласование шифрования.

Читать далее
Всего голосов 18: ↑18 и ↓0 +18
Комментарии 8

Обзор решения: Proget MDM

Время на прочтение 6 мин
Количество просмотров 2.4K

Прошло время, когда контроль сетевой активности пользователей ограничивался только на уровне конечных рабочих станций, с помощью корпоративного прокси-сервера и межсетевого экрана. Сейчас у каждого сотрудника есть как минимум смартфон с мобильным интернетом (если не брать в расчет специализированные рабочие места, где это запрещено), которым он успешно может пользоваться на территории компании, как в безобидной форме, так и с менее доброжелательным умыслом — этого мы исключать не можем :) Также мобильные устройства сотрудники повсеместно используют и для работы, не ограничиваясь только звонками. Современные смартфоны позволяют обмениваться любым типом файлов с информацией, содержащей корпоративную тайну в том числе. В связи с этим, у руководителей давно встаёт вопрос о том, как с этим жить и что возможно предпринять.

Сегодня речь пойдёт о прогрессивном решении под названием Proget MDM, задача которого состоит не в ограничении сотрудников в пользовании их личными мобильными устройствами, а в расширении функционала и возможностей устройств, с выгодой для компании, заинтересованной в информационной безопасности.

Система Proget MDM предназначена для централизованного управления мобильными устройствами и предоставления защищенного соединения, для передачи данных между серверами компании и устройствами пользователей. В системе возможно активировать как персональные смартфоны или планшеты сотрудников, так и корпоративные устройства. В первом и во втором случаях схема подключения в систему может быть разной. Например, в личные смартфоны сотрудников возможна мягкая интеграция продукта на уровне приложения, без искажения персонализации, когда как в корпоративные есть возможность встраиваться на уровне системы, с возможностью полного контроля над устройством.

Читать далее
Рейтинг 0
Комментарии 4

Google's Certificate Transparency как источник данных для предотвращения атак

Время на прочтение 10 мин
Количество просмотров 2.2K

Мы подготовили перевод статьи Райана Сирса об обработке логов Google’s Certificate Transparency, состоящей из двух частей. В первой части дается общее представление о структуре логов и приводится пример кода на Python для парсинга записей из этих логов. Вторая часть посвящена получению всех сертификатов из доступных логов и настройке системы Google BigQuery для хранения и организации поиска по полученным данным.

С момента написания оригинала прошло уже три года и с тех пор количество доступных логов и, соответственно, записей в них возросло многократно. Тем более важно правильно подойти к обработке логов, если целью является максимизация количества получаемых данных.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 1

Шпаргалки по безопасности: сброс пароля

Время на прочтение 5 мин
Количество просмотров 8.3K

Решили продолжить перевод шпаргалок по безопасности от OWASP на фоне массовых восстановлений паролей после утечки базы данных у сервиса rzd-bonus.ru.

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Комментарии 2

Сертифицированные vs несертифицированные средства защиты информации: требования регулятора или реальная необходимость?

Время на прочтение 12 мин
Количество просмотров 14K

Вопрос о необходимости использования сертифицированных средств защиты информации, включая и криптографические, не теряет своей актуальности для коммерческих организаций уже очень долгое время. Он неустанно обсуждается в рамках выполнения требований по обеспечению безопасности персональных данных, критической информационной инфраструктуры, информационной инфраструктуры финансовых организаций и даже государственных информационных систем.

Сейчас же на авансцену выходит ГОСТ Р 57580.1-2017, соответствовать которому уже с начала следующего года должны информационные системы многих компаний финансового сектора. Документ дает весомый повод в очередной раз погрузиться в чтение многостраничного текста, чтобы понять, а требуются ли сертифицированные СЗИ и СКЗИ?

Получая большое количество аналогичных вопросов, мы решили рассмотреть эту тему комплексно, как в рамках ГОСТа, так и иных применимых правовых документов. И, конечно же, поделиться полученным результатом с вами.

Несмотря на то, что выводы, представленные в данной статье, подаются как применимые для финансовых организаций, они абсолютно свободно могут быть распространены и на любые иные компании. В конце концов, кто из нас не оператор персональных данных?

Читать далее
Всего голосов 11: ↑7 и ↓4 +3
Комментарии 7

Перевод стандарта ASVS 4.0. Часть 1

Время на прочтение 20 мин
Количество просмотров 9.6K

Это первая статья из серии переводов стандарта Application Security Verification Standard 4.0, который был разработан OWASP в 2019 году. Стандарт состоит из 14 групп требований для программного обеспечения. Первая группа (V1) содержит в себе требования к архитектуре и моделированию угроз для основных функций ПО, таких как, аутентификация, управления сеансами, контроль доступа и др. Последующие группы расширяют список требований для каждой из функций.

В статье описывается концепция стандарта ASVS, способы его применения, также переведена первая группа требований к архитектуре и моделированию угроз.

Читать далее
Всего голосов 1: ↑1 и ↓0 +1
Комментарии 0

Обзор проекта новой методики моделирования угроз безопасности информации

Время на прочтение 10 мин
Количество просмотров 15K


9 апреля на сайте ФСТЭК России был опубликован проект «Методики определения угроз безопасности информации в информационных системах». Методика может стать первым за последние 12 лет официально принятым документом, описывающим порядок моделирования и определения актуальности угроз безопасности информации. С учетом того, что определение угроз безопасности является основополагающим мероприятием при построении любой системы защиты, важность Методики переоценить сложно.

В своей статье мы хотим рассмотреть и оценить новый подход регулятора к моделированию угроз, а также ответить на следующий вопрос – насколько такой подход отвечает текущим реалиям в области информационной безопасности.
Читать дальше →
Всего голосов 6: ↑4 и ↓2 +2
Комментарии 0

Cookie-файлы и GDPR: какие ошибки совершают владельцы сайтов в погоне за соответствием?

Время на прочтение 5 мин
Количество просмотров 9.9K


Cookie-файлы как персональные данные


Проблема ужесточения требований в отношении использования cookie-файлов обсуждается с момента вступления в силу Европейского регламента о защите данных (далее GDPR), а так же публикации проекта изменений ePrivacy Directive (наиболее известной как «Положение о конфиденциальности и электронных коммуникациях»). Именно эти документы официально определяют cookie-файлы как персональные данные и предусматривают экстерриториальную ответственность, а также наложение колоссальных штрафов на владельцев сайтов за незаконное использование таких файлов. Мы уже проводили обзор штрафов за нарушение основных принципов GDPR, однако ни один из них не включал в себя нарушений, связанных с обработкой cookie-файлов. Зачастую, в отсутствие судебных практик и реальных наказаний, у представителей бизнеса создается ощущение защищенности, другими словами: «Пока гром не грянет – мужик не перекрестится». Но раскаты грома уже давно доносятся – одним из наиболее крупных штрафов за нарушение, связанное с установкой cookie, является штраф в 30 000 евро, выписанный в октябре 2019 года испанским органом по защите данных авиакомпании Vueling за отсутствие возможности для пользователя отказаться от установки сторонних cookie.
Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Комментарии 7

Spear phishing: опыт создания условно вредоносных исполняемых файлов для фишинговых рассылок

Время на прочтение 7 мин
Количество просмотров 2.4K


Введение


Мы уже писали о целевом фишинге (Spear Phishing) в одной из статей, в которой разобрали общие аспекты целевых рассылок электронных писем. В этой статье мы предлагаем подробнее ознакомиться с нашим опытом в тренировочных целевых рассылках, содержащих в себе условно вредоносные вложения.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 3

Как я сдавал OSCP

Время на прочтение 11 мин
Количество просмотров 8.5K


Мы с коллегами прошли курс OSCP и сдали экзамен. В этой статье я подробно расскажу, как проходит экзамен, какие подводные камни и стоит ли игра свеч вообще.
Читать дальше →
Всего голосов 14: ↑13 и ↓1 +12
Комментарии 5

Шпаргалки по безопасности: Nodejs

Время на прочтение 11 мин
Количество просмотров 16K


Довольно много уже было сказано о популярности NodeJS. Рост количества приложений очевиден – NodeJS довольно прост в освоении, имеет огромное количество библиотек, а также динамично развивающуюся экосистему.

Мы подготовили рекомендации для NodeJS разработчиков, основываясь на OWASP Cheat Sheets, которые помогут вам предусмотреть проблемы с безопасностью при разработке приложений.

Рекомендации к безопасности NodeJS приложений можно разделить на следующие категории:

  • Безопасность при разработке приложения;
  • Безопасность сервера;
  • Безопасность платформы;

Читать дальше →
Всего голосов 21: ↑18 и ↓3 +15
Комментарии 2

Управление уязвимостями (Vulnerability Management) — чего больше: управления или уязвимостей?

Время на прочтение 4 мин
Количество просмотров 5.3K


В этой статье мы хотим поделиться с вами случаями, которые происходили у наших заказчиков, и рассказать/показать/ответить на вопрос, почему управление уязвимостями – это почти всегда не про уязвимости, и простого — «мы за вас отфильтруем из 1 000 000 уязвимостей до реально важного минимума» недостаточно.
Читать дальше →
Всего голосов 8: ↑7 и ↓1 +6
Комментарии 0

Шпаргалки по безопасности: Virtual Patching

Время на прочтение 9 мин
Количество просмотров 5.6K
Темой нашей сегодняшней статьи будет Virtual Patching.

Virtual Patching — это слой политики безопасности, предназначенный для обнаружения и предотвращения эксплуатации эксплойта для известной уязвимости.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 0

Шпаргалки по безопасности: CSRF

Время на прочтение 6 мин
Количество просмотров 19K
image

Не смотря на то, что в последнем публиковавшемся перечне уязвимостей OWASP Top 10 2017 CSRF атаки отнесены к разряду “Удалены, но не забыты”, мы решили, что не будет лишним еще раз напомнить о том, как защититься от CSRF атак, опираясь на те же правила, предоставляемые OWASP.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Комментарии 2

Спирфишинг: разбираем методы атак и способы защиты от них

Время на прочтение 5 мин
Количество просмотров 8.9K

image


Фишинг (phishing) – вид интернет-мошенничества, использующий принципы социальной инженерии. Это письмо в электронной почте, звонок, SMS или сообщение в мессенджере или соц.сети, пытающееся обманом убедить пользователя передать свои конфиденциальные данные, скачать какой-то вредоносный файл или перевести деньги. Для этого отправитель представляется неким другим лицом, от которого подобная просьба вызывает меньше подозрений.


Целевой фишинг (spear phishing) – подвид фишинга, который нацелен на более узкий круг людей. Это может быть какая-то организация, группа ее сотрудников или отдельный человек, в зависимости от намерений атакующего. Получаемое сообщение в этом случае будет рассчитано именно на ограниченный круг лиц. В ходе такой атаки злоумышленник может попытаться:


  • заполучить конфиденциальные данные (данные банковской карты в целях кражи денег);
  • установить ВПО на целевое устройство;
  • заполучить секреты и конфиденциальные данные организации в целях шантажа или перепродажи конкурентам;
  • заполучить военные данные.

Различия между фишингом и целевым фишингом

Читать дальше →
Всего голосов 12: ↑10 и ↓2 +8
Комментарии 2

Анализ механизмов локализации интерфейса приложений в Splunk

Время на прочтение 7 мин
Количество просмотров 2.7K

В данной статье мы рассмотрим основной механизм локализации интерфейса приложений Splunk (в т.ч. стандартных элементов приложения Search) — gettext internationalization and localization (i18n).
Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Комментарии 0

Сеть компании и MitM. Часть 2

Время на прочтение 6 мин
Количество просмотров 13K


Перехватить конфиденциальную информацию? Получить несанкционированный доступ к различным приложениям и системам? Нарушить нормальный режим работы? Все это и многое другое выполняют атаки типа Man in the Middle.

Сегодня мы продолжаем цикл статей, посвященный атакам «человек посередине» (и ряду сопутствующих) на типичные протоколы и каналы передачи, встречающиеся практически в любой компании. Рассмотрим представляющие куда больший интерес для злоумышленника уровни: с сетевого по прикладной.

Заинтересовались? Добро пожаловать под кат.
Читать дальше →
Всего голосов 26: ↑25 и ↓1 +24
Комментарии 3

Как мы управление уязвимостями построили

Время на прочтение 8 мин
Количество просмотров 6.5K


Введение в проблематику


В своей практике работы с разными типами заказчиков – от крупных международных компаний до небольших фирм или даже ИП – мы наблюдаем схожие проблемы при попытке системно работать с уязвимостями.

Пока компания относительно небольшая, достаточно иметь один или несколько сканеров уязвимостей и одного специалиста, который будет проводить периодическую проверку всей инфраструктуры, закрывая наиболее очевидные или простые в устранении проблемы.
Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Комментарии 7

Шпаргалки по безопасности: JWT

Время на прочтение 9 мин
Количество просмотров 53K


Многие приложения используют JSON Web Tokens (JWT), чтобы позволить клиенту идентифицировать себя для дальнейшего обмена информацией после аутентификации.

JSON Web Token – это открытый стандарт (RFC 7519), который определяет компактный и автономный способ безопасной передачи информации между сторонами в виде объекта JSON.
Читать дальше →
Всего голосов 21: ↑19 и ↓2 +17
Комментарии 39
1