Bug hunters *

Ни для кого не секрет, что багхантинг с каждым годом набирает популярность, привлекая внимание как компаний, стремящихся повысить безопасность своих продуктов, так и белых хакеров, желающих применить свои технические навыки и заработать на поиске уязвимостей. Все больше компаний создают собственные багбаунти-программы, некоторые интегрируются в уже существующие площадки.

В 2010 году, когда направление багбаунти еще не получило широкой известности, корпорация Google запустила свою программу вознаграждений за уязвимости. С тех пор в Google Vulnerability Reward Program поучаствовало более 3000 исследователей безопасности. Каждый год Google обновляет списки своих лучших багхантеров, которые нашли наибольшее количество уязвимостей в их продуктах. И нам удалось пообщаться с одной из них.

Привет, Хабр! Если вы это читаете — значит, вы интересуетесь кибербитвой Standoff. Эта статья первая из цикла, цель которого познакомить с платформой всех, кто мечтает поучаствовать в кибербитве впервые. Интересно будет и матерым игрокам — ведь даже самая незначительная крупица опыта коллеги может стать неоспоримым преимуществом во время кибербитвы.

На связи Антипина Александра (N3m351d4) aka капитан команды Cult. Если ваш опыт не похож на наш, мы всем комьюнити будем рады узнать, как участвует в Standoff ваша команда. Ждем ваши истории в комментариях 😊

Не так давно мы рассказывали про атаки киберпреступников в странах Юго-Восточной Азии. Регион СНГ не отстает по интересу к нему злоумышленников. Одна из основных угроз здесь — атаки кибершпионских групп. В 2023-м и первой половине 2024 года их доля составила 18% от общего числа успешных атак  на СНГ в этот период.

В этой статье мы расскажем про APT-группировки, «работающие» на территории СНГ, и методы, которые они используют в атаках, а также поделимся интересными инсайтами из большого исследования, полную версию которого можно найти на сайте.

Привет, меня зовут Олег Уланов (aka brain). Я занимаюсь пентестами веб-приложений и активно участвую в багбаунти, зарабатывая на чужих ошибках. Свой путь в наступательной безопасности я начал совсем недавно, но, несмотря на это, меньше чем за год мне удалось ворваться в топ-10 исследователей на Standoff Bug Bounty (сейчас я на 5-м месте — можете проверить 😉).

В своем дебютном посте кратко расскажу об уязвимости с подделкой запросов на стороне сервера (SSRF) и ее видах, покажу, как обнаруживать этот баг и почему его стоит искать даже на статических сайтах, а заодно подсвечу особенности работы с Burp Suite, Collaborator Everywhere и Wappalyzer. Статья будет полезна для прокачки скилов и поможет легче и быстрее обнаруживать SSRF в сервисах, размещенных на площадках багбаунти.

Хабр, на связи Standoff 365. В мае состоялась первая студенческая кибербитва. И впервые это было соревнование с участием команд атакующих, а не только защитников. Решили поделиться фидбэеком от участников движняка. Ребята сами рассказали о своих удачах и разочарованиях. Если интересно, ныряйте под кат за разборами цепочек атак.

Становясь старше и опытнее, понимаешь, что если есть возможность купить время, это нужно обязательно сделать. То же самое можно применить и к бизнесу. Если компания зрелая, если руководство понимает ценность бизнеса, как он устроен, как работает и как приносит деньги, то оно также понимает, что вынужденный простой обойдется компании гораздо дороже, чем средства, затраченные на ИТ-инфраструктуру.

Всем привет! Меня зовут Артем Мелёхин, я занимаюсь продвижением нового направления Positive Technologies, а именно продвижением подхода к определению времени атаки и вероятных маршрутов хакеров. В этой статье я расскажу, как мы определяем время атаки и вероятные маршруты хакеров и о том, что нужно предпринять с точки зрения ИТ-инфраструктуры, чтобы максимально усложнить путь атакующему.

Привет! На связи организаторы кибербитвы Standoff, и в этой статье мы с командой 5HM3L поделимся с вами одним из свежих кейсов. В майской кибербитве принял участие наш партнер «Научно-производственное предприятие „Исток“ им. Шокина». Компания тестировала защищенность своей платформы IIoT.Istok. Как ломали российский промышленный IoT — рассказываем под катом.

Мы продолжаем цикл публикаций «Топ-10 профессий в сфере кибербезопасности». И сегодня в рубрике Positive Education — профессия «VM-специалист». На что похожа профессия специалиста по управлению уязвимостями? Может, на работу врача, который следит за здоровьем пациента? Но к врачу обычно пациенты сами приходят с жалобами, а к VM-специалисту никто сам не пойдет. Со временем стало понятно: работа виэмщика больше всего напоминает работу инспектора из государственного органа надзора… Но обо всем по порядку и из первых уст, естественно.

Страны Юго-Восточной Азии с их вечным летом, теплыми морями и быстрорастущими экономиками, привлекают не только туристов и цифровых кочевников со всего мира, но и организованных киберпреступников. Это регион разительных контрастов: ультрасовременный Сингапур сильно опережает слаборазвитую Мьянму по уровню цифровизации и кибербезопасности. Мы всесторонне исследовали деятельность 20 APT-группировок, которые атаковали организации стран АСЕАН в период с января 2020 года по апрель 2024 (география APT-атак в исследовании представлена на рисунке ниже). В результате выяснилось, что больше всего киберпреступников в регионе интересуют такие страны, как Филиппины и Вьетнам, а тройка самых атакуемых отраслей включает госучреждения, телекоммуникации и ВПК.

Читайте под катом подробнее о целях, подходах, техниках и инструментах киберпреступных групп, действующих на юго-востоке Азии. Полный текст нашего исследования доступен по ссылке на сайте.

Привет, Хабр! Меня зовут Миша, я работаю ведущим экспертом по тестированию на проникновение в команде CICADA8 Центра инноваций МТС Future Crew. Недавно я занимался исследованием ранее неизвестных и просто любопытных способов закрепления в системах Windows. Я обратил внимание на одну особенность — в Windows очень много .NET-сборок. Как атакующие могут использовать их в своих целях против вас? Давайте разбираться.

Я сделал небольшой экскурс в прекрасный мир C#. Вы увидите, как злоумышленники прямо инфицируют сборки, принудительно добавляют в них импорты, внедряются с помощью AppDomain Manager, делают бэкдор через .NET-компилятор и Module Initializer.

Attention! Я рассказываю это все не для того, чтобы вы пошли взламывать чужие системы, а даю возможность увидеть, где и как злоумышленники могут закрепиться. Понимание принципов атаки позволяет быстро находить ее источник и реагировать на угрозу. Предупрежден — значит вооружен.

Привет Хабр! Меня зовут Петр Уваров, я руководитель направления Bug Bounty в VK. Есть много статей, где багхантеры рассказывают о Bug Bounty и своем опыте в нем. Но в этой статье, я бы хотел проанализировать текущую ситуацию на российском рынке, сравнив ее с тем, что было раньше, и поговорить про ситуацию с багхантерами. Некоторые вещи, которые я буду говорить прозвучат как цитаты Капитана Очевидность. Другие могут быть приписаны Генералу Ясенпеню, но тем не менее, про них стоит рассказать.

Друзья-разработчики, приглашаем вас продолжить захватывающее путешествие по дебрям кода Intel OpenVINO! Вооружившись статическим анализатором аки детективы, мы разоблачим наиболее коварные, интересные ошибки и опечатки, а также их скрытые тайны, оставшиеся за рамками первой части статьи.

Я активный участник программ Bug Bounty и достаточно часто смотрю не только веб‑приложения, но и мобильные приложения, чтобы определить все конечные точки API сервиса и попробовать найти баг в функционале до которого не всегда просто добраться. А почему непросто? Потому что в мобильных приложениях часто встречается SSL Pinning, который не дает перехватывать трафик, а поэтому анализ API приложения становится более сложным. В этой статье я изложу:

1. Как отключить SSL Pinning и получить возможность внедряться в процессы iOS приложений.

2. Как отключить SSL Pinning и внедриться в Android приложение без наличия смартфона на одноименной ОС.

Опираясь на собственный опыт (годы работы в 2 крупнейших российских финтех компаниях, отечественной коммерческой разработки, опыт международной IT компании) я все больше и больше убеждаюсь, что профессия QA обесценена. В данной статье я не хочу описывать разницу между QA, QC и тестированием (на Хабре довольно много статей, где можно подробно найти всю информацию). Я лишь попытаюсь сформулировать свои мысли по поводу того, во что превратилась профессия QA и как работодатели сами обесценивают эту профессию. А выводы каждый сделает сам.

По долгу своей роли я вынужден проводить большое количество собеседовании на роль специалистов контроля качества. Этих собеседований было больше сотни. Кого я только не встречал? Ко мне приходили бывшие медработники и библиотекари, люди, получившие высшее образование и не учившиеся ни в одном вузе, люди с базовым пониманием процесса разработки и без него. Все эти люди утверждали что они готовые специалисты по управлению контроля качества. Вопрос: может ли библиотекарь стать хорошим специалистом контроля качества?

"OpenVINO — набор инструментов, позволяющий проводить глубокое обучение AI для взаимодействия с реальным миром теперь ещё эффективнее!" — эта новость для нас прозвучала как призыв к действию. Код проекта проверен, ошибки найдены, и первая часть статьи готова к прочтению. Будет интересно!

На Хабре ещё не было статей про безопасность смарт-контрактов блокчейна Hyperledger Fabric. Так что буду первым. Я занимаюсь исследованием безопасности этого блокчейна год. И сегодня хочу рассказать о довольно серьёзной проблеме: манипуляции временем транзакции (UPD 27.08.2024 уязвимости присвоен идентификатор CVE-2024-45244 после моего обращения в MITRE). По классификации, уязвимость попадает в OWASP Smart Contract Top 10: SC03:2023 Timestamp Dependence.

Рассмотрим:
- как атакующий может произвести манипуляцию временем транзакции;
- к каким финансовым последствиям может привести атака (на примере концепта вымышленного уязвимого смарт-контракта, имитирующего цифровой финансовый актив);
- какие способы защиты я предлагаю.

Также, обсудим, почему для корректной защиты от атаки может потребоваться не только изменение смарт-контракта, но и налаживание взаимодействия между командой эксплуатации смарт-контракта и администраторами сети. Статья предполагает хотя бы базовый уровень знакомства читателя с Hyperledger Fabric.

В фильме “Матрица” есть мемная сцена, когда Нео замечает двух совершенно идентичных чёрных кошек, после чего его спутники говорят о “сбое в матрице”, который тут же выливается в полный расколбас. Пару недель назад я испытал подобное чувство deja vu тогда, когда меньше всего этого ожидал.

Мой друг Лёша Павлов пилит Android-приложение для подкаста “Теоэстетика”, и я вызвался помочь как альфа-тестировщик. Присылает он мне в Telegram файл theoaesthetics.apk размером 6,6 МБ, я его подгружаю в свой Telegram для Android, пытаюсь поставить, но системные настройки не позволяют. Сохраняю в папку “Загрузки”, пытаюсь поставить оттуда, да опять не выходит – наверное, у меня телефон слишком старый. Докладываю Лёше, он пересобирает приложение и присылает новый файл theoaesthetics.apk размером 5,6 МБ. Окей, скачиваю и пытаюсь поставить по той же схеме, но получаю тот же результат. И тут внимательный глаз замечает, что в папке “Download” лежит файл размером не 5,6 МБ, а 6,6 МБ. Ну ладно, не туда тапнул видимо. Скачиваю файл ещё раз и наяву наблюдаю: качаю файл размером в 5,6 МБ, а в папке лежит файл размером в 6,6 МБ. Окей, яжпрограммист, чищу кэш скачанных файлов, скачиваю правильную apk-шку, которая уже ставится и работает… Но ведь это же пренеприятный баг, сбой в матрице.

Если вызывали пояснительную бригаду по уязвимостям, она приехала. Я Миша Козлов, в Positive Technologies отвечаю за продукты по анализу инфраструктуры и детектированию уязвимостей. Вместе с командой экспертов делаем так, чтобы компании узнавали все о своих активах, искореняли shadow IT и уязвимости, и чтобы в итоге недопустимое становилось невозможным. В этой статье расскажу о том, какие бывают уязвимости, как их используют киберпреступники и каких брешей нужно бояться больше всего.

Привет, Хабр! Эту статью пришлось отложить на целый год по ряду причин… Но сейчас мне удалось выдохнуть, найти время и поделиться моим прошлым опытом руководства Bug Bounty программой VK, сокрыв всю чувствительную для компании информацию (мы же с вами за этику, аналитику и чистую математику 😉).

В этот раз я посмотрю на Bug Bounty глазами управляющего менеджера и попробую коротко рассказать об опыте расчета стоимости вознаграждения! Если тебе интересно, как попадать в бюджет, опираясь на статистику и теорию вероятности, как привлекать Хантера для охоты на твоей программе, и как невидимая рука рынка управляет уровнем вознаграждений на Ru-сегменте — велкам под кат. 

На связи Positive Education, и мы продолжаем цикл публикаций о профессиях в сфере кибербезопасности. Потребность в таких экспертах растет с головокружительной скоростью, и сейчас это уже не одна профессия «специалист по информационной безопасности». Внутри отрасли сформировались более узкие специальности (ранее публиковали схему профессий), и мы решили рассказать о 10 самых трендовых профессиях в сфере кибербезопасности (о первых двух можно почитать здесь и здесь). Сегодня хотим познакомить вас с белым хакером — человеком, который последние 15 лет развивает это направление в России.

Привет, Хабр!

Меня зовут Дмитрий Серебрянников, и я хакер. Поправка: белый хакер. Я прежде всего исследователь — проверяю технологии на безопасность. Хорошие специалисты в нашей профессии — на вес золота. Хотите прокачать себя и стать лучшим? Тогда читайте дальше: я расскажу, что нужно сделать, чтобы попасть в мир белых хакеров — этично и без взлома.