Привет! На связи организаторы кибербитвы Standoff, и в этой статье мы с командой 5HM3L поделимся с вами одним из свежих кейсов. В майской кибербитве принял участие наш партнер «Научно-производственное предприятие „Исток“ им. Шокина». Компания тестировала защищенность своей платформы IIoT.Istok. Как ломали российский промышленный IoT — рассказываем под катом.
Мы продолжаем цикл публикаций «Топ-10 профессий в сфере кибербезопасности». И сегодня в рубрике Positive Education — профессия «VM-специалист». На что похожа профессия специалиста по управлению уязвимостями? Может, на работу врача, который следит за здоровьем пациента? Но к врачу обычно пациенты сами приходят с жалобами, а к VM-специалисту никто сам не пойдет. Со временем стало понятно: работа виэмщика больше всего напоминает работу инспектора из государственного органа надзора… Но обо всем по порядку и из первых уст, естественно.
Страны Юго-Восточной Азии с их вечным летом, теплыми морями и быстрорастущими экономиками, привлекают не только туристов и цифровых кочевников со всего мира, но и организованных киберпреступников. Это регион разительных контрастов: ультрасовременный Сингапур сильно опережает слаборазвитую Мьянму по уровню цифровизации и кибербезопасности. Мы всесторонне исследовали деятельность 20 APT-группировок, которые атаковали организации стран АСЕАН в период с января 2020 года по апрель 2024 (география APT-атак в исследовании представлена на рисунке ниже). В результате выяснилось, что больше всего киберпреступников в регионе интересуют такие страны, как Филиппины и Вьетнам, а тройка самых атакуемых отраслей включает госучреждения, телекоммуникации и ВПК.
Читайте под катом подробнее о целях, подходах, техниках и инструментах киберпреступных групп, действующих на юго-востоке Азии. Полный текст нашего исследования доступен по ссылке на сайте.
Привет, Хабр! Меня зовут Миша, я работаю ведущим экспертом по тестированию на проникновение в команде CICADA8 Центра инноваций МТС Future Crew. Недавно я занимался исследованием ранее неизвестных и просто любопытных способов закрепления в системах Windows. Я обратил внимание на одну особенность — в Windows очень много .NET-сборок. Как атакующие могут использовать их в своих целях против вас? Давайте разбираться.
Я сделал небольшой экскурс в прекрасный мир C#. Вы увидите, как злоумышленники прямо инфицируют сборки, принудительно добавляют в них импорты, внедряются с помощью AppDomain Manager, делают бэкдор через .NET-компилятор и Module Initializer.
Attention! Я рассказываю это все не для того, чтобы вы пошли взламывать чужие системы, а даю возможность увидеть, где и как злоумышленники могут закрепиться. Понимание принципов атаки позволяет быстро находить ее источник и реагировать на угрозу. Предупрежден — значит вооружен.
Привет Хабр! Меня зовут Петр Уваров, я руководитель направления Bug Bounty в VK. Есть много статей, где багхантеры рассказывают о Bug Bounty и своем опыте в нем. Но в этой статье, я бы хотел проанализировать текущую ситуацию на российском рынке, сравнив ее с тем, что было раньше, и поговорить про ситуацию с багхантерами. Некоторые вещи, которые я буду говорить прозвучат как цитаты Капитана Очевидность. Другие могут быть приписаны Генералу Ясенпеню, но тем не менее, про них стоит рассказать.
Друзья-разработчики, приглашаем вас продолжить захватывающее путешествие по дебрям кода Intel OpenVINO! Вооружившись статическим анализатором аки детективы, мы разоблачим наиболее коварные, интересные ошибки и опечатки, а также их скрытые тайны, оставшиеся за рамками первой части статьи.
Я активный участник программ Bug Bounty и достаточно часто смотрю не только веб‑приложения, но и мобильные приложения, чтобы определить все конечные точки API сервиса и попробовать найти баг в функционале до которого не всегда просто добраться. А почему непросто? Потому что в мобильных приложениях часто встречается SSL Pinning, который не дает перехватывать трафик, а поэтому анализ API приложения становится более сложным. В этой статье я изложу:
1. Как отключить SSL Pinning и получить возможность внедряться в процессы iOS приложений.
2. Как отключить SSL Pinning и внедриться в Android приложение без наличия смартфона на одноименной ОС.
Опираясь на собственный опыт (годы работы в 2 крупнейших российских финтех компаниях, отечественной коммерческой разработки, опыт международной IT компании) я все больше и больше убеждаюсь, что профессия QA обесценена. В данной статье я не хочу описывать разницу между QA, QC и тестированием (на Хабре довольно много статей, где можно подробно найти всю информацию). Я лишь попытаюсь сформулировать свои мысли по поводу того, во что превратилась профессия QA и как работодатели сами обесценивают эту профессию. А выводы каждый сделает сам.
По долгу своей роли я вынужден проводить большое количество собеседовании на роль специалистов контроля качества. Этих собеседований было больше сотни. Кого я только не встречал? Ко мне приходили бывшие медработники и библиотекари, люди, получившие высшее образование и не учившиеся ни в одном вузе, люди с базовым пониманием процесса разработки и без него. Все эти люди утверждали что они готовые специалисты по управлению контроля качества. Вопрос: может ли библиотекарь стать хорошим специалистом контроля качества?
"OpenVINO — набор инструментов, позволяющий проводить глубокое обучение AI для взаимодействия с реальным миром теперь ещё эффективнее!" — эта новость для нас прозвучала как призыв к действию. Код проекта проверен, ошибки найдены, и первая часть статьи готова к прочтению. Будет интересно!
На Хабре ещё не было статей про безопасность смарт-контрактов блокчейна Hyperledger Fabric. Так что буду первым. Я занимаюсь исследованием безопасности этого блокчейна год. И сегодня хочу рассказать о довольно серьёзной проблеме: манипуляции временем транзакции (UPD 27.08.2024 уязвимости присвоен идентификатор CVE-2024-45244 после моего обращения в MITRE). По классификации, уязвимость попадает в OWASP Smart Contract Top 10: SC03:2023 Timestamp Dependence.
Рассмотрим:
- как атакующий может произвести манипуляцию временем транзакции;
- к каким финансовым последствиям может привести атака (на примере концепта вымышленного уязвимого смарт-контракта, имитирующего цифровой финансовый актив);
- какие способы защиты я предлагаю.
Также, обсудим, почему для корректной защиты от атаки может потребоваться не только изменение смарт-контракта, но и налаживание взаимодействия между командой эксплуатации смарт-контракта и администраторами сети. Статья предполагает хотя бы базовый уровень знакомства читателя с Hyperledger Fabric.
В фильме “Матрица” есть мемная сцена, когда Нео замечает двух совершенно идентичных чёрных кошек, после чего его спутники говорят о “сбое в матрице”, который тут же выливается в полный расколбас. Пару недель назад я испытал подобное чувство deja vu тогда, когда меньше всего этого ожидал.
Мой друг Лёша Павлов пилит Android-приложение для подкаста “Теоэстетика”, и я вызвался помочь как альфа-тестировщик. Присылает он мне в Telegram файл theoaesthetics.apk размером 6,6 МБ, я его подгружаю в свой Telegram для Android, пытаюсь поставить, но системные настройки не позволяют. Сохраняю в папку “Загрузки”, пытаюсь поставить оттуда, да опять не выходит – наверное, у меня телефон слишком старый. Докладываю Лёше, он пересобирает приложение и присылает новый файл theoaesthetics.apk размером 5,6 МБ. Окей, скачиваю и пытаюсь поставить по той же схеме, но получаю тот же результат. И тут внимательный глаз замечает, что в папке “Download” лежит файл размером не 5,6 МБ, а 6,6 МБ. Ну ладно, не туда тапнул видимо. Скачиваю файл ещё раз и наяву наблюдаю: качаю файл размером в 5,6 МБ, а в папке лежит файл размером в 6,6 МБ. Окей, яжпрограммист, чищу кэш скачанных файлов, скачиваю правильную apk-шку, которая уже ставится и работает… Но ведь это же пренеприятный баг, сбой в матрице.
Если вызывали пояснительную бригаду по уязвимостям, она приехала. Я Миша Козлов, в Positive Technologies отвечаю за продукты по анализу инфраструктуры и детектированию уязвимостей. Вместе с командой экспертов делаем так, чтобы компании узнавали все о своих активах, искореняли shadow IT и уязвимости, и чтобы в итоге недопустимое становилось невозможным. В этой статье расскажу о том, какие бывают уязвимости, как их используют киберпреступники и каких брешей нужно бояться больше всего.
Привет, Хабр! Эту статью пришлось отложить на целый год по ряду причин… Но сейчас мне удалось выдохнуть, найти время и поделиться моим прошлым опытом руководства Bug Bounty программой VK, сокрыв всю чувствительную для компании информацию (мы же с вами за этику, аналитику и чистую математику 😉).
В этот раз я посмотрю на Bug Bounty глазами управляющего менеджера и попробую коротко рассказать об опыте расчета стоимости вознаграждения! Если тебе интересно, как попадать в бюджет, опираясь на статистику и теорию вероятности, как привлекать Хантера для охоты на твоей программе, и как невидимая рука рынка управляет уровнем вознаграждений на Ru-сегменте — велкам под кат.
На связи Positive Education, и мы продолжаем цикл публикаций о профессиях в сфере кибербезопасности. Потребность в таких экспертах растет с головокружительной скоростью, и сейчас это уже не одна профессия «специалист по информационной безопасности». Внутри отрасли сформировались более узкие специальности (ранее публиковали схему профессий), и мы решили рассказать о 10 самых трендовых профессиях в сфере кибербезопасности (о первых двух можно почитать здесь и здесь). Сегодня хотим познакомить вас с белым хакером — человеком, который последние 15 лет развивает это направление в России.
Привет, Хабр!
Меня зовут Дмитрий Серебрянников, и я хакер. Поправка: белый хакер. Я прежде всего исследователь — проверяю технологии на безопасность. Хорошие специалисты в нашей профессии — на вес золота. Хотите прокачать себя и стать лучшим? Тогда читайте дальше: я расскажу, что нужно сделать, чтобы попасть в мир белых хакеров — этично и без взлома.
Награда за обнаружение багов разного уровня зависит от сектора и типа уязвимости. Активнее всего с программами Bug Bounty работают IT-компании, онлайн-сервисы, сфера услуг, торговля, финансовые организации и блокчейн-проекты. Средняя сумма вознаграждения может составить:
критический уровень опасности — $40 000;
высокий уровень опасности — $20 000;
средний уровень опасности — $5000;
низкий уровень опасности — $0.
В одной из статей мы уже писали, что Bug Bounty — это не разовая услуга, которую можно приобрести и забыть, как в случае с пентестом. Компании должны понимать, что внедрение, поддержка и развитие этой практики обойдутся им недешево. Так, средняя стоимость годовой подписки на услуги платформ Bug Bounty начинается с $16 000 за рубежом и стартует с 600 000 ₽/год в России.
Мы решили поговорить с Лукой Сафоновым, чтобы узнать, могут ли компании сэкономить на Bug Bounty, и не потерять в эффективности программ. Вот, что из этого получилось.
Здравствуйте, дорогие хабровчане. Я давно уже хотел изучить результаты программы Яндекс BugBounty. Вот, наконец руки дошли. В этой простой и небольшой статье я рассмотрел доступные данные по ней, нашёл некоторые закономерности и вывел топ багхантеров. Если кому интересно, в каком квартале года больше всего отчётов об ошибках, или какой месяц самый лучший для их поиска, прошу под кат.
Современный мир - это быстрое развитие технологий, требующее от тестировщика постоянного обучения и адаптации к новым методам и инструментам тестирования. С ростом популярности этой профессии уровень конкуренции также возрастает, особенно среди тестировщиков с опытом или дополнительными навыками. Поэтому тем, кто хочет войти в IT, а именно в профессию тестирования в 2024 году, необходимо обладать значительно большими навыками, чем их коллеги несколько лет назад, из-за большой конкуренции и современных требований.
Если вы начитались мотивационных статей о том, что тестирование - самый легкий способ работать в IT, и вы будете попивать сок с ноутбуком на берегу моря с мыслями "ну, это же не программирование", то спешу вас немного разочаровать. Тестирование и программирование - это две разные области, каждая из которых имеет свои сложности и требования. Вот несколько причин, по которым тестирование не всегда является более легкой, а иногда и более тяжелой задачей, чем программирование:
Командный центр PVS-Studio: "Как быстро летит время... А ведь в этом году, второго января, Blender исполнилось 30 лет! Как будто ещё вчера мы публиковали статью с разбором ошибок... Как 8 лет назад? Надо срочно исправлять ситуацию!".
Привет, Хаброжители!
Лучшая защита – это нападение, причем на себя любимого. Все чаще бизнес выстраивает информационную безопасность именно по такому принципу. Своевременный пентест или Read Teaming, когда привлеченные подрядчики пытаются взломать корпоративную IT-инфраструктуру, помогает команде ИБ заранее обнаружить и закрыть бреши и сделать организацию по-настоящему неприступной для реальных злоумышленников. Однако Offensive Security не лишен нюансов и подводных камней.
Из чего складывается наступательная кибербезопасность, как правильно ее реализовать и выбрать компетентных подрядчиков, на что обратить особое внимание? Обо всем этом и не только шла речь на круглом столе, в котором принял участие один из наших ведущих специалистов по пентестам.
