В мае 2023 года наши партнёры из Positive Technologies объявили о скором выпуске PT NGFW и показали достаточно высокие цифры производительности. Российский рынок, который испытывает явный дефицит высокоскоростных межсетевых экранов нового поколения, воспринял анонс с большим энтузиазмом и сейчас ждет выхода коммерческой версии PT NGFW. Но команда Innostage предпочитает не верить на слово, а проверять все в собственной лаборатории, поэтому мы протестировали раннюю версию PT NGFW продукта и делимся с вами отчетом этих испытаний.
Информационная безопасность *
Защита данных
Новости
Обеспечение безопасности загрузчика GRUB в Linux
Безопасность компьютерных систем является одним из ключевых аспектов в современном мире цифровых технологий. С каждым днем возрастает число кибератак, направленных на нарушение конфиденциальности данных, а также вторжение в личную жизнь и нанесение ущерба бизнесу. В этом контексте обеспечение безопасности загрузчика GRUB, используемого в операционных системах Linux, становится неотъемлемой составляющей защиты системы.
В данной статье мы рассмотрим шаги по обеспечению безопасности загрузчика GRUB, начиная с генерации зашифрованного пароля и заканчивая его внедрением в систему.
Почему безопасник должен расти из программиста
По каждому из направлений в ИТ есть свои так называемые «приколы» и особенности в части поиска и обучения сотрудников, взаимодействия с софтом, заказчиками и так далее. В моей области, то есть в области информационной безопасности, все еще обсуждают такой вопрос: «Должен ли безопасник расти из программиста?». Имея 25+ лет в области ИТ и ИБ ответственно заявляю — должен. Для меня это не вопрос, но многие со мной не согласятся. Сегодня раскрою свою позицию и объясню, почему безопасникам жизненно необходимо быть программистами.
Небольшое уточнение — для удобства я называю программистами всех, кто пишет код, манифесты, какие‑нибудь конфиги и так далее.
Python-праздник на Positive Hack Days Fest 2
Двадцать шестого мая в рамках Positive Hack Days Fest 2 состоится Python Day, который мы проведем совместно с сообществом MoscowPython. Программный комитет конференции отобрал восемь докладов, анонсами которых мы хотели бы поделиться с читателями нашего блога. В этой статье мы расскажем о четырех докладах из запланированных восьми — продолжение последует позднее. Каждый анонс сопровождается комментарием участника программного комитета.
Пошаговая шпаргалка по защите сервера от хакеров и другой нечисти
Когда сервер создается для личных нужд, то чаще всего внимания безопасности почти не уделяется. А ведь это фатальная ошибка…
Представьте: вот арендовали вы сервер, запустили на нем SAMP или Minecraft, а через время видите, как наступает хаос. Виртуальную машину взломали и с открытым фанатизмом портят сборку плагинов, которую вы так долго делали.
Привет! На связи Йети — самый йетический автор Vscale. Это моя первая статья на Хабре. В ней я расскажу, как защитить сервер от хактевистов и другой нечисти. Подробности под катом! :)
Инфраструктурный пентест по шагам: боковое перемещение и повышение привилегий в сети
В предыдущих статьях мы изучили подходы к разведке и анализу целей, а также ключевые аспекты этапа сканирования. Теперь пришло время разобраться в анализе парольных политик, ACL и DNS, найти способы бокового перемещения и провести обзор основных актуальных техник повышения привилегий.
Этот этап анализа безопасности — ключевой для оценки того, насколько эффективно корпоративная сеть защищена от различных угроз. Расскажу, из каких действий он складывается и какие инструменты нужны для их реализации.
В этой статье вас ждет база — те вещи, которые должен знать каждый начинающий пентестер, занимающийся аудитами внутренней инфраструктуры.
ТОП бесплатных OSINT-инструментов по версии T.Hunter в 2024-м году
Всем привет! Публикуем подборку лучших бесплатных OSINT-инструментов по версии T.Hunter в 2024-м году. В ней и уже знакомые сервисы и софт, сохранившие свои позиции с прошлых лет, и новые инструменты, которые будут полезны любому специалисту по OSINT.
Кроме того, в статье нашлось место и альтернативам софту, доступ к которому россиянам теперь закрыт. От старого-доброго Архивариус 3000 до Arkham Intelligence, перспективных отечественных разработок и наших собственных решений. За подробностями добро пожаловать под кат!
DemHack 8: итоги мероприятия
НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И (ИЛИ) РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ «РОСКОМСВОБОДА» ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА «РОСКОМСВОБОДА». 18+
Рассказываем вам о проектах, которые участвовали в мероприятии в этот раз.
В конце марта состоялся хакатон DemHack 8. Главная тема прошедшего хакатона — изучение цензуры. Актуальность проблемы в начале 2024 года стала особенно явной. С марта этого года в России запрещено рассказывать о способах преодоления цензуры и рекомендовать их людям. При этом блокировки самих VPN-сервисов — «о которых теперь нельзя говорить» — стали уже рядовым и довольно массовым явлением. Этот серьёзный цензурный прецедент может быть взят на вооружение властями других стран в Центральной Азии, на Кавказе, на Ближнем Востоке и даже в Европе.
Информации, которую власти скрыли от людей, становится всё больше. Это сайты СМИ, общественных, организаций, а также блоги, сообщества по интересам и отдельные страницы пользователей. По данным «Роскомсвободы», только по мотивам военной цензуры за 2022 и 2023 год в России заблокировано более 15 тысяч ресурсов, а счёт общего количества блокировок идёт на сотни тысяч.
Традиционно хакатон состоял из трёх треков: приватность, свобода интернета и исследования интернета. Некоторые задачи для участников были предложены партнёрами мероприятия, некоторые — составлены оргкомитетом.
Рассказываем вам о проектах, которые участвовали в мероприятии в этот раз, и о том, что у них получилось.
TOTP без смартфона, послесловие
После публикации статьи «TOTP без смартфона» она получила много интересных и полезных комментариев. Я решил подождать, пока обсуждение затихнет и провести работу над замечаниями и высказанными мыслями.
Поскольку объём работы оказался достаточно большой, то оформил её в виде отдельной публикации-послесловия.
Никому нельзя верить на слово в безопасной разработке, или Еще один взгляд на SCA
Захожу я в английский клуб. Там все сидят, выпивают, в карты играют. Смотрю — в очко режутся! Сел я за столик, взял карты. У меня — 18. А мой соперник говорит: «20». Я ему: «Покажи!». А он мне: «Мы, джентльмены, верим друг другу на слово». И вот тут-то мне поперло.
Но в ИБ так не пройдет, нужна здоровая паранойя. Поэтому на слово не верим никому, в том числе и инструментам анализа, а сначала их проверяем.
Security Week 2417: эксплуатация уязвимостей с помощью LLM
Общая схема эксперимента, проведенного авторами работы, показана на картинке выше. Оператор указывает цель (уязвимый веб-сайт) и конкретную уязвимость, после чего LLM предположительно делает всю работу. Исследователи проверяли данный метод на 15 известных уязвимостях. Большинство уязвимостей позволяют атаковать веб-сайты, например, через уязвимости в Wordpress или его плагины. Но есть и экзотические уязвимости, например проблема во фреймворке Astropy для вычислений в астрономии (в работе он указан с ошибкой, как astrophy). Способность LLM построить атаку только на основе информации об уязвимости (например, по ее идентификатору CVE) испытывалась для десяти разных моделей. Сразу отметим интересный вывод: хоть что-то у исследователей получилось в модели GPT-4, все остальные показали нулевые результаты.
Некоторые аспекты позитивной и негативной моделей платформы «Вебмониторэкс»
Каждый новый специалист нашей практики Защиты приложений проходит нечто среднее между посвящением и стажировкой. Обычно в рамках задачи нужно развернуть уязвимое приложение, WAF одного из наших фокусных партнеров, а потом найти конкретную уязвимость, проэксплуатировать ее, посмотреть что видно на WAF в режиме мониторинга, а затем настроить WAF, чтобы он начал обнаруживать и блокировать данную уязвимость. Конечно, уязвимости при этом выбираются не такие, чтобы сразу по сигнатуре можно было бы ее обнаружить.
В этой статье младший системный инженер “К2 Кибербезопасность” Даниил Золотарев поделится задачей, которая выпала ему.
В ходе работы Даниилу пришлось защищать Juice Shop средствами платформы «Вебмониторэкс» и столкнуться с некоторыми аспектами негативной и позитивной моделей данного WAF. Далее мы рассмотрим примеры создания пользовательских правил, для блокировки атак Improper Input Validation (Неправильная проверка ввода). Таким образом наглядно продемонстрируем одну из ключевых возможностей WAF – закрытие дыр приложения в проде до фикса.
Всё что вы хотели знать про ACL в Active Directory
В данной статье я постарался максимально полно и глубоко рассказать про построение и внутреннее использование ACL (Access Control List) внутри Active Directory. В этой статье нет рассказов про "null DACL" и "empty DACL" и тому подобного. Если читатель хочет изучить все более простые нюансы использования ACL, то рекомендую почитать другую мою статью или лучше сразу почитать комментарии к моему тестовому коду для этой статьи.
Что будет в этой статье:
- Расскажу про все 22 различных типа ACE, а также разделю их на 4 различных вида;
- Расскажу, почему прав вида "GENERIC" не существует;
- Покажу, как именно флаги из ACCESS_MASK работают при проверках в Active Directory;
- Расскажу почему вы не сможете "сделать RBCD" имея AllExtendedRights на "computer";
- Расскажу и дам ссылку на программу для получения всех "control access rights" (extended rights, validated writes, property sets);
- Покажу, как получить полный список всех атрибутов, связанных control access rights и подчинённых классов для любого объекта в домене;
- Расскажу про каждое "validated write" в отдельности и покажу как можно обойти их контроль;
- Как именно хранятся security descriptors в NTDS.DIT и почему их там мало;
- Дам таблицу для всех "extended access rights" со ссылками на алгоритмы их использования;
Ближайшие события
Как бы я взломал Рунет?
В сегодняшней статье мы поделимся результатами более чем годового проекта СайберОК, посвященного анализу защищенности периметра Рунета.
Исследование содержит в себе подробную статистику по некоторым кейсам, аналитические выводы, а также крупные инциденты и опасные уязвимости, выявленные в процессе работы. Особое внимание уделяется не только техническим, но и организационным аспектам реакции на выявленные уязвимости. Помимо этого, в статье приведены технические нюансы, с которыми мы сталкиваемся при реализации подобных масштабных проектов, а также применение таких модных словечек, как LLM, CNN и других, для автоматизации рутины и повышения эффективности работы.
Устройство памяти процессов в ОС Linux. Сбор дампов при помощи гипервизора
Иногда для анализа ВПО или, например, для отладки какого-либо процесса может потребоваться дамп памяти процесса. Но как его собрать без отладчика? Постараемся ответить на этот вопрос в этой статье.
Задачи:
- Обозначить цель сбора дампа процесса.
- Описать структуру памяти процессов в Linux и отметить различия в старой и новой версиях ядра ОС
- Рассмотреть вариант снятия дампа памяти процесса внутри виртуальной машины на базе связки гипервизора Xen и фреймворка с открытым исходным кодом DRAKVUF.
Мошенники. Вектор атаки на айтишников через LinkedIn
Кажется, только что испытал на себе новый вектор атаки на айтишников. Почему думаю, что на айтишников? Потому что через LinkedIn и, очевидно, с айтишников есть, что взять.
Анализ фишинга с Venom RAT
В начале апреля в организации Российской Федерации (и не только) пришли письма от неизвестного отправителя. В содержимом письма, кроме пожелания хорошего дня и просьбой ответить «скорее», находился RAR архив, а внутри архива *.bat файл.
После проверки содержимого в песочнице были предоставлены некоторые артефакты, указывая, что в письме явно содержится что-то подозрительное, но определить наверняка, вредонос это или нет СЗИ не удалось.
Зато были указаны некоторые составляющие bat файла: обфусцированные строки PowerShell.
Этого было достаточно чтобы начать анализ содержимого, найти IoC’и, и посмотреть на наличие таковых в трафике от организации.
Фальшивые криптокошельки в официальном каталоге Ubuntu — индикатор более серьёзной угрозы
Через официальный каталог приложений Ubuntu Snap некоторое время распространялся фейковый криптокошелёк, средства с которых сразу переводились на сторонний адрес. У одного из пользователей удалось увести 9,84 BTC.
Это типичная supply chain attack, один из самых опасных видов атак. Он предполагает внедрение зловредов в официальные каналы поставки ПО. Например, в прошивки от производителя оборудования, официальные обновления программ, которые распространяются через официальные сайты, и т д.
Инструменты, уязвимости и атаки на беспроводные технологии. Злой двойник и плата глушилка
Снова рады приветствовать дорогих читателей! Продолжаем рубрику статей "Без про-v-ода" в которой мы обозреваем для вас различные инструменты, уязвимости и атаки на беспроводные технологии или протоколы. Wi-Fi технология стала неотъемлемой частью нашей повседневной жизни. Мы используем беспроводные сети для доступа в интернет, обмена данными, стриминга видео и музыки, и многих других целей. Однако, с увеличением популярности Wi‑Fi сетей, также возрастает и риск для безопасности информации, передаваемой по этим сетям. В этой статье будет задействован мощный инструмент который поможет нам оценить уровень безопасности Wi‑Fi сетей и выявить потенциальные уязвимости и плата для тестирования на безопасность Wi‑Fi сетей.
Дисклеймер: Все данные, предоставленные в данной статье, взяты из открытых источников, не призывают к действию и являются только лишь данными для ознакомления, и изучения механизмов используемых технологий.
Препарируем Wazuh. Часть 3: источники не из коробки
В предыдущей статье мы говорили о том, как можно подключить к Wazuh стандартные источники, идущие, что называется, «из коробки». С ними все относительно просто: выполняем действия, представленные в инструкции по подключению Wazuh на источнике, выполняем необходимые правки на стороне агента и все должно начать работать без проблем.
Однако, в реальности все бывает не так просто. Во многих организациях есть самописное или сильно кастомизированное ПО, логи с которых SIEM не умеет нормализовывать. То есть по факту он просто незнаком с данным видом источников. Если такой нестандартный источник передает события по Syslog, то в SIEM, скорее всего, мы увидим событие практически в сыром виде. То есть поля, которые обычно заполняются при нормализации, в данном случае не будут заполнены.
В этой статье мы поговорим о том, что можно сделать средствами Wazuh для нормализации событий с таких источников.
Вклад авторов
alizar 21361.3marks 9200.7ptsecurity 8942.8LukaSafonov 6194.9GlobalSign_admin 5544.9ValdikSS 5478.6Kaspersky_Lab 4846.9esetnod32 3275.0zhovner 2947.0ru_vds 2748.4