Привет, меня зовут Дмитрий, в команде Бастион я отвечаю за этап внутреннего тестирования на проникновение.

Сегодня я на конкретном примере покажу, как антивирус может подставить под удар всю корпоративную сеть. Разберемся, почему средства централизованного управления необходимо охранять как зеницу ока, а затем сформулируем рекомендации по защите таких систем.

В моей практике было немало случаев, когда хорошо защищенные сети были скомпрометированы из-за систем централизованного управления. Один из них произошел этим летом.

Крупная промышленная компания заказала у нас пентест. Для внутреннего тестирования выбрали сценарий, в котором злоумышленник подключил свой ПК к локальной сети организации.

Столкнулся с ситуацией когда GoogleDrive for Desktop нужно запустить на рабочем месте, но при этом, по корпоративным стандартам, включен SSL decryption. И просто установленный и запущенный пакет дает ошибку синхронизации.
На профильных сайтах все советуют ставить в исключения из SSL decryption список хостов, куда обращается GoogleDrive. Это тоже решение, но его скорее всего зарежет информационная безопасность. И будет права со своей точки зрения.

Для старой версии было решение запускать программу с ключом  --unsafe_network но в более новой версии (у меня Version: 54.0.2.0 ) такое не работает.

Зато отлично сработал более логичный вариант - добавить копоративные сертификаты переподписания в доверенные для GoogleDrive. Они лежат в файле "C:\Program Files\Google\Drive File Stream\54.0.2.0\config\roots.pem" в стандартном текстовом формате pem. И перезапустить GoogleDrive. Файл можно распространить GPO политикой всем кому разрешено пользовать GoogleDrive.

P.S.: вопросы моральности чтения SSL в корпоративной среде мы не обсуждаем. Хочешь пользовать личные секреты - не неси их в рабочую сеть.

Привет, Хабр!

Для тех кто забыл - мы производим рентгеновские детекторы и системы для дефектоскопии на их базе. Дела идут неплохо, железо продается, софт пилится - смотри предыдущую статью.

Эта публикация - клич к заинтересованной общественности. Примерно полгода назад мы выпустили первые образцы бюджетных микротомографов (воксель 15-50 мкм) и сейчас нуждаемся в интересных кейсах по их применению. В идеале это различные промышленные задачи, как традиционно решаемые рентгеновским контролем, так и что-то новое-модное "на попробовать".

Приветствую!

Меня зовут Максим Торнов и я продолжительное время занимаюсь проектами в области управления рисками и аудитом ИТ и ИБ. Помимо этого, я долгое время работал в различных областях ИТ, а также занимался проектами по оценке эффективности и внедрению систем внутреннего контроля, в одной из консалтинговых компаний «Большой четверки».

В данном материале мне бы хотелось рассказать Вам об основах управления риском ИТ.

Уверен, в настоящее время тема управления рисками присущими информационным технологиям не перестает быть актуальной. От того насколько организация эффективно управляет риском ИТ зависит достижение многих целей организации, например таких как надежность и эффективность работы бизнес-процессов, соответствие организации требованиям регуляторных органов, достоверность финансовой отчетности и многие другие.

Я искренне надеюсь, что данный материал будет Вам полезен и возможно натолкнет Вас на какие-то новые идеи, которые Вы сможете направить на благо Вашего личного развития и развития Вашей организации.

При проведении Red Team операций часто возникает вопрос обхода средств защиты. В данной статье будет рассмотрен один из методов отключения антивирусов и EDR.

Значится, сидим мы с коллегой (пливет, @Acrono!) на площадке у Заказчика, воткнутые в скоммутированную сетевую розетку, да пентестим свои внутряки. Повсюду эти ваши 802.1x, AppLocker-ы, PowerShell CLM-ы, LAPS-ы, аверы лютуют, блоча попытки получить заветный хендл к lsass.exe, вся инфра на 2019-х серваках, небо над головой цвета экрана телевизора, настроенного на мертвый канал. В общем, страшный сон (этичного) хакера. И продолжается все это уже третий день. Благо сегодня все будет по-другому, благо сегодня я прочитал про спуфинг sAMAccountName по дороге в офис...

Однажды на новогодних каникулах, лениво листая интернет, бракоделы в нашем* R&D офисе заметили видео с испытаний прототипа роботакси. Комментатор отзывался восторженным тоном – революция, как-никак. Но тренированное ухо расслышало в шуме с испытательной площадки еще кое-что. Контроллер скорости (штука для управления тягой винтов) сыграл мелодию при старте, как это любят делать пилоты дронов, которые часто используют полётный контроллер Betaflight. Неужели там бета-флайт? Ну, или какая-то из ее немногих разновидностей.

Перед глазами побежали флешбеки, где-то из глубин подсознания всплыла забытая уже информация о прошивках для Тойоты на миллионы тысяч строк Си и 2 тысячи глобальных переменных (Toyota: 81564 ошибки в коде).

После просмотра исходного кода Betaflight на гитхабе стало еще страшнее, и чем дальше, тем хуже. Это – управляющая программа для тяжелого устройства с острыми винтами, которое летает высоко, быстро. Становится страшно: игрушки это одно, но я бы не хотел летать, на таком такси. Но ведь можно иначе? Можно, решили мы! И решили это доказать. На Avito был куплен акробатический FPV-“квадрик” на базе STM32F405, для отладки – Discovery-платы для этого же контроллера, а дальше все как в тумане..

Привет! Сегодня рассказываем о том, какие обновления и функции ждут пользователей новой версии MITRE ATT&CK: v10. Свежий релиз включает в себя новые источники данных, новый контент и улучшения, связанные с техниками, группами, программного обеспечения корпоративного сегмента и мобильных устройств.

Глобальные корпорации уже давно и прочно вошли в нашу повседневную жизнь своими продуктами, зачастую не оставляя пользователям альтернативного выбора. Или он все таки есть? Данная статья затрагивает проблему доминирования больших корпораций в определенных сегментах, и на примере Google предлагает оценить негативные последствия, а также содержит ряд практических советов. Спойлер одного их них : если вы пользователь Android то совет поможет продлить время работы вашего девайса и улучшить приватность.

Несколько месяцев я изучал тему интернет мошенничества с целью собрать наиболее полный список действий, которые обезопасили бы меня от жуликов и их махинаций. Итогом изучения стал чек-лист, которым хочу поделиться со всеми. Его цель - сделать взлом цифровых активов сложным и бессмысленным.

Мы создаем множество сложных программных продуктов и требования безопасности кода становятся все актуальнее. Автоматизация везде, в том числе и в сфере безопасности: алгоритмы говорят нам, как писать код. Очень хотелось бы иметь волшебный инструмент, который бы говорил, безопасен наш код или нет. Попробуем проверить, есть ли волшебная кнопка в мире DevSecOps. Для этого мы взяли несколько статический анализаторов кода, залили в них уязвимый код и посмотрели, что получилось на выходе.

Как пелось в песне группы Технология, “Нажми на кнопку – получишь результат, и твоя мечта осуществится”. О результатах эксперимента мы и поговорим далее.

В этой краткой заметке разберем, что такое киберучения, как они проводятся и какую пользу можно извлечь, анализируя отчеты об уже проведенных мероприятиях.

Доброго времени суток, друзья!

В этой статье я хочу поделиться с вами результатами небольшого исследования, посвященного HTTP-заголовкам, которые связаны с безопасностью веб-приложений (далее — просто заголовки).

Сначала мы с вами кратко разберем основные виды уязвимостей веб-приложений, а также основные виды атак, основанные на этих уязвимостях. Далее мы рассмотрим все современные заголовки, каждый — по отдельности. Это в теоретической части статьи.

В практической части мы реализуем простое Express-приложение, развернем его на Heroku и оценим безопасность с помощью WebPageTest и Security Headers. Также, учитывая большую популярность сервисов для генерации статических сайтов, мы настроим и развернем приложение с аналогичным функционалом на Netlify.

Исходный код приложений находится здесь.

Демо Heroku-приложения можно посмотреть здесь, а Netlify-приложения — здесь.

Основными источниками истины при подготовке настоящей статьи для меня послужили следующие ресурсы:

• Security headers quick reference — Google Developers
• OWASP Secure Headers Project
• Web security — MDN

Описание построения процесса календарного и оперативного планирования в связке JIRA<->"локальный MSProject" на примере реализации в одном российском банке.