• Прочитай и сделай: проводим сканирование сети самостоятельно
    0
    Добрый день! Вы абсолютно правы: PT BlackBox Scanner предназначен для проведения внешнего сканирования веб-приложений на наличие в них уязвимостей.

    Касаемо полученных вами результатов – мы будем очень признательны, если вы напишете нам на feedback.bbs@ptsecurity.com и в двух словах расскажете о тех уязвимостях, которые PT BlackBox Scanner увидел/не увидел конкретно в вашем кейсе. Для разбора ситуации необходим детальный анализ. Спасибо!
  • Aptly. Как организовать контроль пакетов из внешних репозиториев и делегировать управление в продуктовые команды
    0
    Спасибо за комментарий!

    Можете поподробнее рассказать как устроен ваш репозиторий на aptly?

    Полное зеркало официального + снэпшоты? Из официальных репозиториев мы забираем только установочные файлы, udeb и deb пакеты.

    Делаете ли deb пакеты со своими разработками или собираете бинарь в докере?

    Делаем свои пакеты и выкладываем в свой артефакторий, аптли для этого не используется. Докер контейнеры так же выкладываются в артефакторий после сборки из внешних пакетов с aptly и наших пакетов с артифактория.

    Фиксируете ли версии того, что сами пишите в Dockerfile?

    В докер файлах релизных контейнеров фиксируем снепшот аптли для данного релиза.

    Кто дергает API? curl в недрах CI или что-то другое?

    Работа с аптли реализована через GitLab CI и командно строчный интерфейс, это связано с рядом причин, например необходимостью запуска встроенного в аптли web сервера и проблемами обработки слеша. github.com/aptly-dev/aptly/issues/115 github.com/aptly-dev/aptly/issues/561
  • Прочитай и сделай: проводим сканирование сети самостоятельно
    0
    Добрый день! Все зависит от задачи, которую вы хотите решить. Самым бюджетным решением является аренда VPS с последующим развертыванием необходимых инструментов и проведением сканирования. Можно воспользоваться бесплатным облачным сканером для веб-приложений от Positive Technologies (https://bbs.ptsecurity.com/ru). Также может подойти упомянутый нами Shodan.
  • Все, что вы хотели знать о Sigma-правилах. Часть 1
    0
    Вы совершенно правы, для случая точечных атак, для которых запуск приложения уже является реализацией риска, такие правила малоэффективны, потому что при обнаружении факта атаки, уже не удастся избежать ущерба. Здесь нужно надеяться на средства предотвращения атаки и другие превентивные меры. Однако, в большинстве случаев, атаки намного сложнее и состоят из множества различных действий. Каждое действие можно поймать такими правилами.

    Например, злоумышленники завладели узлом в DMZ и начинают проводить сетевую разведку для выбора следующей цели и продвижения по сети. Если обнаружить их на таком промежуточном этапе, то можно локализовать угрозу и избежать серьёзного ущерба.

    Другим плюсом подобных проектов является наличие обширной базы знаний, накопленной разными исследователями. Так, посмотрев на то или иное правило, каждый специалист (администратор или сотрудник службы ИБ) может оценить насколько защищена его инфраструктура от подобных воздействий. Более того, такие базы знаний являются хорошими источниками гипотез при проведении Threat Hunting. Более подробно об этом мы рассказали тут: habr.com/ru/company/pt/blog/510362
  • Все, что вы хотели знать о Sigma-правилах. Часть 1
    0
    Да, в репозитории Sigma на данный момент не так много правил для выявления атак в Unix-подобных системах. Это видно из таблицы со статистикой и визуализаций. Но в скором времени планируется второй спринт OSCD, на котором вы, при желании, сможете применить свои знания в этой области и расширить список правил для данного класса операционных систем. Привлечение большего внимания и участников к этому мероприятию кажется нам важной задачей.
  • Волк в овечьей шкуре: как поймать хакера, который тщательно маскируется под обычного пользователя
    0

    Здесь имелось ввиду "получить правильный формат ящика". Текст уточнили.

  • Новые стандарты информационной безопасности: усложним жизнь злоумышленникам
    0
    imbasoft, teecat, спасибо за интерес к нашим стандартам. Бенчмарки PT Essential доступны пользователям продукта MaxPatrol 8. Познакомиться с ними можно с помощью бесплатной демоверсии этой системы. По ссылке можно оформить заявку для ее получения. Если будут какие-то вопросы – напишите нам на sales@ptsecurity.com, оперативно ответим.
  • Кастомизация песочниц: почему это нужно вам прямо сейчас
    +1
    Бояться гипотетической провокации преступников не стоит. В целевых атаках им по большей части все равно, как именно защищается цель: они намерены пробивать её защиту в любом случае. И в подавляющем большинстве случаев у них есть более значимый интерес, нежели просто проверить песочницу на слабо.

    Цель песочницы именно в том, чтобы заставить потенциально опасный файл запуститься — от этого зависит, найдем мы угрозу или нет. Песочница — безопасный способ это сделать, так как ее виртуальная среда изолирована от инфраструктуры.

    Вредоносные программы практически всегда проверяют, в какое окружение они попали – и не запускаются, если понимают, что находятся в песочнице. Если виртуальное окружение песочницы окажется совсем неинтересным (имя пользователя «test/test», например), зловред не запустится, песочница сочтет файл безопасным, он попадет в инфраструктуру и уже там нанесет ущерб.
  • Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK на примере PT Network Attack Discovery
    0
    В нашу эпоху шифрования всего расшифровать все, к несчастью (или счастью), не получится. Не все ПО использует стандартное TLS шифрование и стандартную проверку сертификатов. По нашему скромному мнению, в большинстве случаев расшифровка трафика для поиска злоумышленников не нужна. Но если очень хочется, то можно интегрировать в PT NAD специализированные инструменты дешифровки такого трафика.
  • Бесфайловый вымогатель FTCODE теперь крадет учетные записи
    0
    Да, вы поняли верно – это может помочь. В качестве примера можно посмотреть эту запись: twitter.com/reecdeep/status/1184777885468508161 Но адреса С2 меняются, это общее решение. Также файлы .hta в данной волне атак не использовались для распространения полезной нагрузки, но можно и их добавить в список правил.
  • Управление хаосом: наводим порядок с помощью технологической карты
    0
    Спасибо! Мы сами до идеи простой техкарты дошли только в конце прошлого года, когда процессы сильно усложнились и поддерживать сложные процессные idef-модели оказалось не под силу :)
  • Операция Calypso: новая APT-группировка атакует госучреждения в разных странах мира
    0
    О какой конкретно атаке идет речь?
  • Операция Calypso: новая APT-группировка атакует госучреждения в разных странах мира
    0
    Конечно это могут быть и скомпрометированные машины и прокси. Однако все найденные IP при расследовании находятся в Азии и даже судя по тем местам где они оставили данные артефакты можно судить о недостаточной подготовленности атакующих. Поэтому данные IP скорее всего являются реальными адресами злоумышленников.
  • Опубликован список из 25 самых опасных уязвимостей ПО
    0
    Сейчас все должно быть ок
  • Итоги кибербитвы The Standoff, или Как PT Expert Security Center следил за атакующими
    +1
    Вообще у нас есть раздел с видео на сайте: www.phdays.com/ru/broadcast

    Кроме того, существует официальный ютуб-канал Positive Technologies, где также можно найти видео: www.youtube.com/user/PositiveTechnologies/playlists
  • Как обнаружить атаки на Windows-инфраструктуру: изучаем инструментарий хакеров
    0
    Спасибо за вопрос. Мы провели небольшое исследование на эту тему. Рассмотренные в статье инструменты используют системные директории – те же директории, которые разрешены в SRP с запретом на выполнение из всех папок кроме Program Files и Windows. Для неограниченной работы инструментов может быть необходим аккаунт с правами администратора.

    На машинах без домена могут возникнуть проблемы с ошибкой access denied – это происходит потому, что по умолчанию на них отключен доступ к системных шарам, в том числе для локального администратора. Из-за этого некоторые модули, например, использующие RPC, не смогут выполниться. Эти проблемы решаются включением учетной записи встроенного локального администратора через удаленный реестр
  • Доступ к сетям сигнализации SS7 через радиоподсистему – теперь это возможно
    0
    Доступный SSH с дефолтным логином/паролем, отсутствие изоляции пользовательского сегмента.
  • Доступ к сетям сигнализации SS7 через радиоподсистему – теперь это возможно
    0
    А есть примеры?

    Есть, но мы не можем разглашать информацию ни об операторах у которых они имеют подключения, ни об операторах/абонентах на которые они проводят атаки. Информация передана операторам.

    Кем и когда он считался? В статье правильно написано — если создается канал от железки до железки, вполне логично предполагать, что удаленная железка может быть уязвима, что взломщики и продемонстрировали.

    Операторами, т.к. они всегда утверждают что сегмент пользователей изолирован не только от любых внутренних железок оператора, но и пользователей между собой. В данном случае канала от железки до железки быть не должно.

    Из статьи совершенно непонятно, зачем им было нужно «опенсорсное программное обеспечение для генерации сигнального траффика»?

    Для осуществления атак SS7 необходимо крафтить пакеты и направлять их на определенные сетевые элементы.
  • Разрабатываем процессорный модуль NIOS II для IDA Pro
    0
    Ожидал комментарии по коду модуля, его основных частей (т.е. что-то типа Пишем >процессорный модуль), а не описание того, что в нём есть.

    Сделан релиз модуля, он имеет много возможностей, прежде всего нужно было их описать. Возможно название не совсем точное.

    Т.к. то что есть, по сути, описывает и многие другие имеющиеся модули.

    То, что есть – описывает возможности процессорного модуля NIOS II. Поскольку это процессорный модуль, конечно он будет похож на другие. В нем на качественно другом уровне обрабатываются switch, реализован свой подход к 32 битным смещениям из 2-х частей и по количеству приятностей он ближе к более распространенным (x86, ARM, PowerPC, MIPS), чем к редким архитектурам, для которых есть примеры в IDA SDK.
  • Разрабатываем процессорный модуль NIOS II для IDA Pro
    0
    Нет, такое не делали. При задачах с периферией, если есть ее описание в виде включаемых файлов от производителя, например, STMicroelectronics, их содержимое обрабатывается отдельными скриптами, и в базе idb создаются необходимые области и обозначаются аппаратные регистры в них.
  • Примите участие в публичном тестировании сервиса Positive Technologies по поиску уязвимостей на сайтах
    0
    Проводились работы на почтовом сервисе и один из адресов поменялся, сейчас все работает штатно. Извиняемся за неудобства
  • Примите участие в публичном тестировании сервиса Positive Technologies по поиску уязвимостей на сайтах
    0
    Попробуйте еще разок сейчас. Там были небольшие проблемы, но теперь все должно быть ок — как раз в том числе и подобные вещи тестирование помогает исправить на будущее
  • Примите участие в публичном тестировании сервиса Positive Technologies по поиску уязвимостей на сайтах
    0
    Почему? Если у вас есть какие-то сложности или вопросы, то напишите — и мы поможем все разрулить
  • Примите участие в публичном тестировании сервиса Positive Technologies по поиску уязвимостей на сайтах
    0
    Да, можно анализировать сайты в локальной сети
  • Автоматизация процессов разработки: как мы в Positive Technologies внедряли идеи DevOps
    0
    Большое спасибо, за высокую оценку! Мы рады, что добавили свою копеечку в общее дело! Насчёт Jenkins. В 2014 году мы не стали рисковать пересаживаться на опен-сорс решения в виде Jenkins – в то время, нам показалось, что может быть множество проблем с обновлениями самого Jenkins, его поддержкой и многочисленных плагинов, которые нам были нужны. Также, в то время были не очень хорошие отзывы о нём со стороны инженеров. Которые работали с ним более плотно, а TeamCity очень хорошо себя показал на пилотных испытаниях проектов, продемонстрированных тем, кто принимал тогда решение о его использовании.

    Насчёт легаси. Как и у всех достаточно крупных компаний, есть оно и у нас, но, что касается CI/CD инфраструктуры – его у нас минимально: из «старья» на поддержке остался только 1 сборочный сервер, со своей самописной CI-системой. Всё остальное было переведено на новые рельсы, описанные в статье. Сборочные сервера у нас имеются различных типов с различными ОС, это зависит от требований разработчиков, собирающих тот или иной модуль. На каждом из них стоит сборочный агент, поэтому проблем с их дружбой с текущей CI-системой не возникает.
  • Автоматизация процессов разработки: как мы в Positive Technologies внедряли идеи DevOps
    0
    К сожалению, сейчас прокомментировать что-то по сценариям использования Kubernetes для DevOps-задач я не могу, т.к. активно он в нашей команде не применяется. Возможно, в статье нужно было уточнить, что Kubernetes используется в разработке (dev+test) некоторых наших продуктов, которым мы помогаем, но не непосредственно нами. Подробнее про эти продукты я пока рассказать не могу.
  • Автоматизация процессов разработки: как мы в Positive Technologies внедряли идеи DevOps
    0
    Спасибо за вопрос. Возможно я повторюсь, но мне кажется, в статье я уже подробно ответил на него:

    «На TeamCity мы перешли после долгого периода эксплуатации и сборок на MS TFS. Переезд долго тестировался, обкатывался на небольших продуктах, и лишь затем его провели полностью. Основная причина — необходимость в простых типовых решениях и масштабируемости сборочной и тестовой инфраструктуры для многокомпонентных продуктов, написанных на различных языках программирования. TFS этого нам дать не мог.»

    К этому могу добавить только то, что это был 2014 год (когда мы искали замену CI на базе TFS), а что-то вменяемое для CI на базе GitLab начинает появляться только сейчас. Мы тоже сейчас экспериментируем с GitLab-CI и переводом «простых» сборок на него, но TeamCity, всё-таки, сейчас гораздо приятнее внешне и мы хорошо отладили в нём масштабирование наших сборочных проектов. Можно долго спорить по этому поводу, но для больших многокомпонентных продуктов сейчас GitLab-CI ещё не очень удобен в эксплуатации. Но мы не теряем надежды на переезд в GitLab-CI и, кроме того, с помощью инструмента CrossBuilder мы надеемся сохранить и перенести все наши скриптовые наработки для TeamCity-метараннеров (которых у нас уже несколько сотен) в GitLab-CI.
  • Автоматизация процессов разработки: как мы в Positive Technologies внедряли идеи DevOps
    +1
    Я удивился, увидев такой ваш комментарий. Возможно, возникло какое-то недопонимание сути статьи. Более того, когда-то я с удовольствием прочитал вашу статью про девопс. Ещё раз перечитав её, я не нашёл противоречия с нашей: у нас нет ни «отдела девопс из 35 человек», мы не «нанимаем сисадминов с кучей доп.компетенций», и в то же время мы и пытаемся в нашей большой компании создать и внедрять «простые работающие решения». Кроме того, мы уже 4й год, также как и описывали вы в своей статье, работаем в направлении взаимодействия между разработчиками, тестировщиками и ИТ-службами. За что отвечает наша служба автоматизации и какие на неё возложены роли, мы честно и подробно написали в 3-4-5 абзацах статьи.

    Что касается названия «Open DevOps Community» и всего прочего – да, частично согласен, возможно мы немного поспешили с его анонсом. Но с другой стороны – где нашим парням выкладывать свой код? Кроме того, опять же, почему «Tools, best practices and examples for the open community of automation engineers» — это перебор? Если мы именно это и хотим сделать в итоге, то зачем писать что то другое? А как бы вы предложили назвать? Кроме того, как я и написал в статье, проект фактически только стартовал и не претендует на мега-систему девопса и истину в последней инстанции. Будем развиваться потихоньку.
  • Автоматизация процессов разработки: как мы в Positive Technologies внедряли идеи DevOps
    0
    Спасибо! Постараемся довести их до ума в следующем году. PS/ Надо же, я удивился увидев, что когда то читал и использовал вашу статью про гугл-апи – она была полезной.
  • Выключаем Intel ME 11, используя недокументированный режим
    +4
    Не совсем так, ME встроен в PCH и на большинстве платформ. Но начинает функционировать до старта основного процессора в момент появления дежурного напряжения.
  • Выключаем Intel ME 11, используя недокументированный режим
    +2
    1. Статистику по ошибкам конфигурации можно найти тут www.blackhat.com/docs/us-17/wednesday/us-17-Matrosov-Betraying-The-BIOS-Where-The-Guardians-Of-The-BIOS-Are-Failing.pdf

    2. В книге Platform Embedded Security Technology Revealed, которая описывает внутренне устройство Intel ME заявляется, что доступ к коду модулей не должен компрометировать систему и не считается угрозой безопасности.
  • Как хакеры готовят атаки на банки
    +4
    Поскольку первым начал использовать такие суффиксы великий русский писатель Николай Семенович Лесков («смолевые непромокабли» в рассказе «Левша» 1881 года), мы решили, что нам тоже можно.

    И кстати, это именно суффикс, а не приставка, если вы так щепетильны к языку. Приставка располагается перед корнем, а не после него.
  • Как хакеры готовят атаки на банки
    0
    Большинство наших исследований связаны как раз с аудитом безопасности клиентов, включая и финансовые учреждения. В данной статье приведен общий пример анализа, но как правило мы показываем такие вещи именно конкретным организациям.
  • Хроники Противостояния: как взломать весь город за два дня
    0
    Защитники железной дороги (IBM) опубликовали свой обзор — взломать их не смогли, но атаки были (включая физические):
    https://habrahabr.ru/company/ibm/blog/331672/
  • Как победить вирус Petya
    0
    PS. Подробности по шифрованию — в следующем посте Дмитрия Склярова:
    https://habrahabr.ru/company/pt/blog/331962/
  • Как победить вирус Petya
    0
    В случае GPT, в не legacy режиме загрузки, GPT будет перезаписан, но загрузиться, вероятно, можно будет.

    Проверили на одной из железок. Он затер GPT, но диск с Windows (загрузились с него) позволил восстановить его из резервной копии.
  • Как победить вирус Petya
    +2
    >вероятно, больше является вайпером, а не шифровальщиком

    Когда вы пишете столь уверенные наезды на экспертов, лучше избегать красивых, но неточных терминов.

    Вирус подменяет MBR и затирает следующие за ним 18 секторов, заменяя их на собственный загрузчик.
    Предположительно, в этих секторах не должно быть ничего важного для пользователя.

    Файлы пользователя шифруются обратимо при условии наличия приватного ключа RSA. Поэтому термин «шифровальщик» вполне корректен.

  • Как победить вирус Petya
    +1
    В каталоге C:\Windows должен лежать файл с именем, идентичным наименованию самой DLL, производящей вредоносные действия, только без расширения.

    Если эта библиотека носит название perfc.dat, то должен присутствовать файл C:\Windows\perfc
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    0
    Вот наш детектор для Пети и WannaCry:
    https://github.com/ptresearch/Pentest-Detections/tree/master/WannaCry_Petya_FastDetect
  • SigPloit: опубликован фреймворк для тестирования телеком-уязвимостей в протоколах SS7, GTP, Diameter и SIP
    +1
    Если нажать на соответствующую ссылку, то станет ясно, что нет