Информационная безопасность *

Всем привет! Меня зовут Антон Володченко, в Positive Technologies занимаюсь разработкой продуктов на стыке ИТ, ИБ и R&D. Этим небольшим постом я хотел бы чуть сблизиться с нашей аудиторией и побольше узнать, что вас волнует в контексте работы с репозиториями пакетов, образов, библиотек. Это поможет нам в расстановке приоритетов в рамках разработки нового, пока не анонсированного продукта. Интересно будет мнение активных участников DevOps-процессов, небольших команд, да и просто разработчиков-фрилансеров.

В последнее время все чаще доступ к ресурсам по различным причинам оказывается ограничен. Вспомним историю Terraform или JetBrains, а еще случай Docker, но там все быстро вернулось в строй. Прибавьте к этому проблемы безопасности сторонних библиотек (одну из множества таких проблем описывали в нашей статье). В общем, нюансов с пакетами и образами бывает много разных, но хочется понять, насколько часто возникают такие проблемы — поэтому прошу вас ответить на несколько вопросов, связанных с организацией процесса разработки. Если у вас будет время и желание пообщаться на эту тему подробнее — смело пишите мне здесь @Zero5 или в Telegram @parazero5. А в комментариях к этому посту можно добавить свои варианты ответов и обсудить эту тему.

Думаю, для многих не секрет, что уязвимости в проекте могут оказать на него крайне негативное влияние. Существует ряд способов по борьбе с уязвимостями, начиная с ручного поиска и заканчивая использованием специализированных инструментов. Об одном из таких инструментов пойдёт речь в статье.

Всем привет. Сегодня я хочу рассказать о том, как мы прошли наш путь от хаоса к нашим Paas внутри нашего внутреннего облака. Меня зовут Михаил Марченко, я руководитель центра компетенций, сопровождения и построения процессов разработки. Это наше подразделение, где мы сосредотачиваем экспертизу DevOps. В девопсе я уже семь лет, из них последние три года в билайне. 

В большой бренд билайна входят достаточно большое число юрлиц, такие как Вымпелком, Датафорт, который реализует публичное облако билайна, и другие. И мы поняли, что IT у нас абсолютно распределённая и существует во всех юрлицах, во всех подразделениях и во всех командах, которые внутри этих юридических лиц. И внутри Вымпелкома есть отдельное подразделение, которое  возглавляю я, в котором сосредоточена экспертиза DevOps, мы его называем "DevOps Governance".

Делим мы его на две части. 

Помните, когда-то мы раскрыли неочевидную связь между гастритом… и системой выявления инцидентов? За это время MaxPatrol SIEM обновился 17 раз (не считая хотфиксов), перешагнул отметку в 650 инсталляций, включая географически распределенные, и приобрел множество новых фич. Я, Иван Прохоров, отвечаю за развитие этой SIEM-системы. Вместе с коллегой Романом Сергеевым, который трудится над архитектурой MaxPatrol SIEM и не только, мы решили, что пора — пора писать новую главу о разработке продукта.

Как удалось создать по-настоящему экспертную SIEM-систему и сделать ее более отзывчивой для аналитиков, заместить общедоступные технологии собственными (снизив при этом hardware footprint), сколько было подходов к снаряду и что получилось воплотить вопреки обстоятельствам — узнаете под катом.

Привет, Хабр. 19 июня мы в Т1 Облако отражали первую массированную DDoS-атаку одновременно на множество IP-адресов, зарегистрированных на нас. Ботнет атаковал наш транспортный, сетевой и прикладной уровень. На пике мы зафиксировали более 50 Гбит/с. входящего трафика. Длилось это не самое приятное событие почти 3 часа.

В этом посте расскажем, как прошла атака, какие инструменты помогли нам её отразить, насколько эффективными они оказались и какие выводы мы сделали после. Добро пожаловать под кат.

Вот вам карты «возможного» местоположения разработчиков Telegram и React для затравки.

Telegram Desktop. Всего 205 человек. Из них 3 основные. Из них два (работают с 2014 и 2019) в районе Самара-Кавказ (Армения, Грузия, Азербайджан) и один (работает с 2018) вероятно в Турции.

ReactJS. Всего 1854 человек. Основной состав: 14 работает, 26 уволилось. Примерно 50/50 сидят на восточном и западном побережье США.

Всем привет, гики и не очень!

Сегодня я решил почувствовать себя немного хакером (ну, почти) и отправился на поиски файлов, спрятанных в глубинах моего Wi-Fi трафика.

Телеграм довольно ответственно относится к конфиденциальности пользователей. В частности, можно удалить любое сообщение в переписке, как у себя, так и у собеседника. И сообщение действительно удалится, у обоих и навсегда. Но есть пара «но».

Всем привет! На нашем последнем ИТ-митапе на тему «Девопс, инфобез и ИИ» мы объединили серьезные темы с хорошим настроением, а также не забыли про вкусную еду и кучу нетворкинга.

Но это еще не все! В одном из наших докладов спрятана пасхалка! Первые три человека, которые ее найдут и напишут мне в ЛС правильный ответ, получат эксклюзивный мерч! Так что готовьте свои глазки и уши и поехали — под катом вас ждут удобные видеонарезки каждого из докладов.

DevSecOps — это не просто модное словечко, а целая философия, объединяющая разработку, безопасность и операции. Но как применить эту философию на практике? Здесь на помощь приходят международные стандарты.

В этой статье мы рассмотрим пять основных международных DevSecOps-стандартов: DSOMM, BSIMM, OWASP SAMM, Microsoft SDL и NIST SP 800-64. Мы разберем их особенности, сильные и слабые стороны, а также поговорим о том, как адаптировать эти стандарты к российским реалиям.

Неважно, работаете ли вы в крупной корпорации или небольшом стартапе, — понимание этих стандартов поможет вам выстроить более безопасный и эффективный процесс разработки. 

Когда был создан SMTP, он работал, передавая данный в открытом виде, поскольку тогда мы ещё не разработали решение для безопасной передачи данных, то, что мы называем сейчас «безопасность транспортного уровня» (transport layer security, TLS). Когда TLS наконец-то был готов, нам потребовалось придумать способ поэтапного внедрения TLS. Был создан STARTTLS, предлагающий шифрование «по возможности». По сути, почтовый сервер отправителя мог спросить почтовый сервер получателя: «Поддерживашь ли ты шифрование?», и, если ответ был положительным, устанавливалось TLS-соединение с использованием сертификата, предоставленного сервером. Если нет, использовалось SMTP-соединение с передачей данных в открытом виде.

Любой, кто знаком с темой сетевой безопасности, увидит здесь проблему. Активно действующий злоумышленник, осуществляющий атаку «атакующий посередине» (attacker-in-the-middle, AitM), может подставить свой собственный ответ, указывая, что шифрование не поддерживается, и обманом заставить отправителя использовать открытый текст, что позволит злоумышленнику перехватывать сообщения. Это классическая атака понижения версии.

В этой статье я расскажу о том, как мне удалось найти уязвимость для захвата аккаунта (Account Takeover, ATO) через ошибки конфигурации OAuth и украсть токены авторизации.

Всем привет!

Это заключительный материал из нашего импровизированного цикла «Standoff-онбординг». В первой статье мы разобрали, как реализовывать фишинг и ломать внешний периметр, а во второй — взламывали внутренний периметр и АСУ ТП, а также говорили про дополнительные полезные источники и матрицу MITRE ATT&CK.

Напоследок мы решили подготовить вам подробный рассказ о том, как правильно взаимодействовать с порталом Standoff 365 и как попасть на соревнования, а также составили инструкцию по написанию баг-репорта и очень полезный чек-лист для подготовки к кибербитве. Подробности под катом, а с вами как всегда Антипина Александра (N3m351d4) — капитан команды Cult 😊

Привет, Хабр! Рассказываем об одном из вариантов применения Open Source инструментов Software Supply Chain Security. Коллеги по цеху попросили выложить небольшой его обзор сюда:)

Эта статья является краткой текстовой версией моего доклада с конференции PHD2. Если тема вас заинтересует, можете посмотреть полное выступление по ссылкам: [RuTube] / [YouTube].

В этой статье мы разберем различные сценарии получения паролей в системе Windows.

Metasploit

Metasploit поставляется со встроенным модулем, который помогает нам провести атаку на получение учетных данных пользователя в открытом виде. Поскольку это модуль после эксплуатации, его просто нужно связать с текущей сессией. Чтобы использовать этот модуль, введите:

Эта статья про физическое проникновение в один из банков Ливана. Легальный проект, с неожиданной концовкой, который выполнял один из самых известных специалистов по физическому тестированию на проникновение Jason E. Street! Вся история — это набор фактов, смешанный с его личными комментариями с выступлений, интервью и общения в кулуарах. Поэтому подробности на личной совести эксперта, но я предлагаю ему поверить! Уж слишком громкая вышла история :)

Если вам интересно как проверяли физическую безопасность банка с помощью социальной инженерии, добро пожаловать под кат!

- контент не будет спаршен
- с ВПН работает
- выявит высокоуровневых JS ботов
- реальных не заблокирует
- фиксирование только настоящих просмотров
- рекомендательная система будет работать изумительно

Как интегрировать защиту, как выявить фейковых http ботов, как написать свой код верификации пользователя на прокси сервере и еще читайте далее.

В арифметике известны элементарные действия с числами (+), (–), (×), (/) и др., использование которых при заданных исходных данных дает нам возможность получать определенные результаты: сумму, разность, произведение, частное. Обратное действие с результатами в качестве исходных данных возможно далеко не всегда. Например, возведение в третью степень числа 7 ³ = 343, обратным действием имеет извлечение из результата корня третьей степени (343)^1/3= 7. При заданных результатах определить какими были исходные данные не всегда возможно.  Для суммы даже двух слагаемых 7 + 6 = 13 такого единственного обратного действия нет. Для числа 13 мы можем получить очень разные исходные 13 = 1+12 = 2+11 = 3+10 = 4 +9 = 5 + 8 = 6+7.

С умножением в качестве исходных составных чисел картина похожая, но если исходными сомножителями взяты простые числа, то обратной операцией для произведения является действие, называемое факторизацией числа – результата умножения. К сожалению, на сегодняшний день действие факторизации не может быть задано какими-то простыми вычислениями, а очень большие числа – результаты (сотни цифр в описании) вообще не могут быть факторизованы. Как выполнить поиск простых делителей результата-произведения мы сегодня не знаем.

Такие делители, вообще говоря, как-то распределены в числовых рядах. Например, в натуральном ряде чисел (НРЧ) или в последовательности нечетных чисел (ПНЧ) простые числа-делители и их кратные имеют достаточно регулярные распределения, каждое со своим шагом.

Задавая произведение простых чисел N = p˖q˖h˖s, мы понимаем, что каждое из p, q, h, s меньше самого N. Если ограничить начальный фрагмент НРЧ или ПНЧ значением N, то в пределах выделенного фрагмента будут присутствовать кратные делителей с возрастающими от 1 коэффициентами (для ПНЧ коэффициенты будут нечетными). Сможем ли мы увидеть и выделить такие кратные делителей N? Они ведь нам неизвестны.

Сегодня ответ на этот вопрос положителен. В 2014 году мной на Хабре был опубликован закон распределения делителей (ЗРД) натурального числа N в НРЧ. Применение закона позволяет получать для заданного натурального N его простые делители и их кратные в НРЧ. Ниже я кратко повторю публикацию 2014 года и приведу расширенную версию ЗРД на ряд целых чисел N.