Как стать автором
Обновить
49
0
Уральский Центр Систем Безопасности @USSCLTD

ИТ-компания

Отправить сообщение

Фаззинг на пальцах. Часть 2: автоматизация фаззинг-тестирования на примере ClusterFuzz

Время на прочтение11 мин
Количество просмотров1.8K

Это вторая часть цикла статей, посвященных фаззинг-тестированию, от сотрудников направления безопасной разработки Центра кибербезопасности УЦСБ. У нас есть практический опыт проверки программ, и мы готовы делиться знаниями.

Первая часть цикла статей доступна по ссылке.

Читать далее
Всего голосов 2: ↑2 и ↓0+3
Комментарии0

Поиск уязвимостей в исходном коде с помощью ручного статического анализа

Время на прочтение7 мин
Количество просмотров3.1K

Ручной анализ исходного кода – это проверка кода на наличие уязвимостей и проблем, связанных с бизнес-логикой, которую выполняет квалифицированный специалист. Выполнять анализа кода вручную можно «в лоб», просматривая весь код от начала и до конца, или придерживаться определенного подхода — например, определив сначала поверхность атаки.

Поверхность атаки программного обеспечения (ПО) — совокупность интерфейсов и реализующих их модулей ПО, посредством прямого или косвенного использования которых могут реализовываться угрозы безопасному функционированию ПО. Для определения поверхности атаки обычно используются статические анализаторы исходного кода.

Однако обнаружить уязвимости можно с помощью ручного статического анализа. В статье рассмотрим, какие есть основные этапы обнаружения уязвимостей при ручном статическом анализе, на что обязательно стоит обратить внимание.

Читать далее
Всего голосов 5: ↑2 и ↓3+3
Комментарии2

Анализ Приказа ФСТЭК России №118 «Об утверждении требований по безопасности информации к средствам контейнеризации»

Время на прочтение15 мин
Количество просмотров13K

Рассмотрим требования к безопасности информации в средствах контейнеризации, указанные в Выписке из Приказа ФСТЭК России № 118 «Требования по безопасности информации к средствам контейнеризации», приведем разъяснения к каждому требованию. Также в статье проанализируем техническую реализацию требований Приказа ФСТЭК России № 118 на примере ОС Astra Linux Special Edition и программные механизмы реализации в среде ОС.

Читать далее
Всего голосов 9: ↑9 и ↓0+9
Комментарии12

Передача данных по радиоканалу

Время на прочтение4 мин
Количество просмотров19K

Идея для этой статьи зародилась, когда мы проводили анализ защищенности в удаленном районе в условиях отсутствия Интернета и любых средств связи. У нас были только рации, через которые мы переговаривались. Но нам также нужно было удаленно обмениваться небольшими файлами. Так у нас появилась идея проверить, возможно ли передавать информацию с одного ноутбука на второй, используя рации.

Важно! Здесь не будет информации о юридических особенностях использования радиосвязи, а также о частотах, мощности передачи, позывных и т. п. Применение радиосвязи имеет ограничения и регулируется Федеральным законом N 126-ФЗ «О связи».

Читать далее
Всего голосов 36: ↑36 и ↓0+36
Комментарии63

Когда SIEM бесполезна: что важно учесть до внедрения системы

Время на прочтение4 мин
Количество просмотров3.9K

Существует несколько факторов, без которых использование даже самой продвинутой SIEM-системы не даст ожидаемого результата. Тем, кто планирует внедрить решение, важно оценить, насколько инфраструктура и процессы компании готовы к этому. Практика показывает, что в большинстве случаев обращать внимание нужно на три составляющие. Какие — рассказываем в этом материале.

Читать далее
Всего голосов 4: ↑2 и ↓2+2
Комментарии0

Что общего между PetitPotam, NTLM Relay и PrintNighmare? Рассказываем, к чему может привести отсутствие обновлений

Время на прочтение4 мин
Количество просмотров2.2K

Команда Центра кибербезопасности УЦСБ продолжает рассказывать о самых интересных практиках пентеста. Напоминаем, что в прошлой статье мы писали о том, как нам удалось пробить периметр с двух точек: Windows- и Linux-серверов, а также захватить внутреннюю инфраструктуру компании.

В этот раз мы покажем, как компрометация домена Active Directory (AD) может привести к полной остановке деятельности компании на неопределенное время. Надеемся, наши кейсы будут вам полезны, а этот опыт позволит избежать схожих проблем!

Читать далее
Всего голосов 4: ↑4 и ↓0+4
Комментарии0

ML SAST. Часть 1: как работают инструменты SAST и какие проблемы может решить применение машинного обучения?

Время на прочтение13 мин
Количество просмотров2.7K

Машинное обучение (ML) в сфере анализа безопасности приложений SAST (Static Application Security Testing) — это область, которая с каждым годом становится все более актуальной в мире разработки ПО. Многие компании активно исследуют ее, а некоторые уже внедряют машинное обучение в продукты для анализа кода. УЦСБ разрабатывает собственную платформу по непрерывному анализу защищенности приложений и занимается внедрением моделей машинного обучения в качестве рекомендательной системы при поиске и верификации проблем безопасности. В серии статей, посвященной этой теме, планируем рассказать о потенциале внедрения машинного обучения в инструменты SAST и пошагово разработать модель анализа кода.

Читать далее
Всего голосов 1: ↑1 и ↓0+1
Комментарии1

Как за одну неделю захватить контроллер домена, или Пивотинг за 300

Время на прочтение4 мин
Количество просмотров11K

У этичных хакеров не принято держать при себе то, что поможет кому-то найти брешь в системе защиты до того, как наступит недопустимое событие. А семь лет практики в анализе защищенности ИТ-инфраструктур дают свои плоды. Например, нетривиальные кейсы, о которых хочется рассказать. По этим причинам мы решили поделиться своим опытом и выпустить серию публикаций о необычных пентестах нашей команды.

Предупреждаем заранее: все данные, которые могли бы указывать на конкретных людей или компании, изменены, а любые совпадения — случайны. Конфиденциальность — это то, что мы гарантируем по умолчанию.

Итак, начнем с истории о том, как за одну неделю удалось захватить контроллер домена ИТ-инфраструктуры промышленного предприятия.

Читать далее
Всего голосов 6: ↑6 и ↓0+6
Комментарии5

Фаззинг на пальцах. Часть 1: идея, техника и мера

Время на прочтение7 мин
Количество просмотров5.2K

О чем вы думаете, когда слышите слово «фаззинг»? Одни вспоминают о приказе ФСТЭК России № 239, другие — об утилитах с пугающими отчетами, а кто-то и вовсе озадаченно пожимает плечами. Рассказываем, для чего нужен фаззинг, зачем его применять и каким он бывает.

Навигация по статье:

• Ввод понятия

• Подходы к тестированию (White/Black/Grey Box)

• Необходимость проведения

• Ограничения в выборе

• Международные практики

• Вместо заключения

• Для статистики 

Ввод понятия 

В ГОСТ 58142 «Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения» есть следующее определение: «фаззинг — это тестирование, использующее как корректные, так и случайные (включая некорректные) входные данные для проверки, устанавливающей, обрабатываются ли должным образом интерфейсом случайные входные данные или возникает ошибочная ситуация (ошибочное условие), указывающая (указывающее) на наличие недостатков при разработке (ошибки исходного кода) или при эксплуатации».

Если проще, то фаззинг — это проверка на то, могут ли при обработке случайных, в том числе некорректных, входных данных некоторыми частями софта возникнуть «странности» в поведении ПО, которые разработчики не закладывали в его функционал.

Из определений ясно, что фаззинг позволяет обнаружить ошибки сразу на нескольких стадиях жизненного цикла программного средства: разработки и применения. Неужели этот метод настолько универсален?

Читать далее
Всего голосов 4: ↑1 и ↓3-1
Комментарии3

Обзор изменений в законодательстве за апрель 2023

Время на прочтение11 мин
Количество просмотров2.6K

Автор: Татьяна Пермякова, старший аналитик

В обзоре изменений за апрель 2023 года рассмотрим: дополнительные требования для значимых объектов КИИ с удаленным управлением, госконтроль и аккредитация операторов в ЕБС, удостоверение личности с помощью Госуслуг, изменения в список контрольных вопросов Роскомнадзора, цифровые отпечатки в приложениях финансовых организаций, замена административных регламентов ФСТЭК России, порядок обращения с ДСП-документами, а также результаты работы ТК 362.

Требования Минэнерго по обеспечению безопасности значимых объектов КИИ

 Для общественного обсуждения представлен проект приказа Министерства энергетики Российской Федерации (далее ‑ Минэнерго России) «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры при организации ‎и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики ‎из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике».

Проектом предлагается установить дополнительные требования к обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) теплоэнергетического комплекса, при организации или осуществлении дистанционного управления технологическими процессами. Проект в явном виде устанавливает область действия требований, а также требования как для организации дистанционного управления, так и для тех субъектов КИИ, которые до вступления проекта в силу уже организовали и осуществляют дистанционное управление.

Читать далее
Всего голосов 2: ↑2 и ↓0+2
Комментарии0

УЦСБ и Positive Technologies успешно завершили внедрение PT Application Firewall в рамках импортозамещения

Время на прочтение3 мин
Количество просмотров1K

«Уральский центр систем безопасности» (УЦСБ) внедрил PT Application Firewall, чтобы обеспечить безопасную эксплуатацию веб-приложений. Главная цель проекта защитить веб-приложения от несанкционированного доступа, а также, в рамках импортозамещения, заменить зарубежный межсетевой экран уровня веб-приложений.

В поисках подходящего решения, по итогам анализа функционала и качества исполнения решений, эксперты УЦСБ остановились на PT Application Firewall, поскольку это российское решение в реестре отечественного ПО, прошедшее сертификацию во ФСТЭК. Кроме того, виртуальные интерфейсы (WAN) данной системы защиты, по сравнению с виртуальными IP-адресами (VIP), значительно упрощают администрирование системы, поскольку системным администраторам не нужно выделять пул внешних IP-адресов для веб-приложений. Также продукт позволяет кастомизировать дашборды, таким образом повышая эффективность задач аналитики.

Читать далее
Всего голосов 4: ↑2 и ↓2+1
Комментарии0

Обзор изменений в законодательстве за март 2023

Время на прочтение18 мин
Количество просмотров3.2K

Автор: Татьяна Пермякова, старший аналитик

В обзоре изменений за март 2023 года рассмотрим: изменения в законодательстве о персональных данных, вступившие в силу с марта, новые постановления про единую биометрическую систему, ограничение требований планового госконтроля, законопроект в области защиты государственной тайны, создание государственных информационных систем на платформе «ГосТех», отмена административных регламентов ФСБ России, прекращение применения некоторых средств защиты на аттестованных объектах информатизации, замена 719-П, требования для АИС страхования, руководство по управлению уязвимостями, а также новости в области стандартизации.

Реформа 152-ФЗ

Напомним, что в июле 2022 года были внесены изменения в Федеральный закон от 27.07.2006 №  152-ФЗ «О персональных данных» (далее – 152-ФЗ), которые утверждены Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части 14 статьи  30 Федерального закона «О банках и банковской деятельности» (далее – 266-ФЗ). Часть положений вступили в силу с 1 сентября 2022 года, остальные с 1 марта:

Читать далее
Всего голосов 3: ↑3 и ↓0+3
Комментарии0

Атаки на RDP и способы защиты от них

Уровень сложностиПростой
Время на прочтение15 мин
Количество просмотров32K

С распространением COVID-19 организации перевели сотрудников на удаленный режим работы, что напрямую повлияло на кибербезопасность организаций и привело к изменению вектора угроз.

В 2020 году увеличилось использование сторонних сервисов для обмена данными, работа сотрудников на домашних компьютерах в потенциально незащищенных сетях Wi-Fi. Увеличилось количество людей, использующих инструменты удаленного доступа. Это стало одной из главных проблем для сотрудников ИБ.

Одним из наиболее популярных протоколов прикладного уровня, позволяющим получать удаленный доступ к рабочей станции или серверу под управлением ОС Windows, является проприетарный протокол Microsoft — RDP (англ. Remote Desktop Protocol - Протокол удаленного рабочего стола). Во время карантина в сети Интернет появилось большое количество компьютеров и серверов, к которым можно подключиться удаленно. Наблюдался рост активности злоумышленников, которые хотели воспользоваться текущим положением вещей и атаковать корпоративные ресурсы, доступные для сотрудников, отправленных на удаленную работу. На рисунке 1 представлена статистика атак на RDP. По графику видно, что количество атак на RDP значительно увеличилось с начала пандемии.

Читать далее
Всего голосов 6: ↑6 и ↓0+6
Комментарии13

Обзор изменений в законодательстве за февраль 2023

Время на прочтение24 мин
Количество просмотров3.4K

В обзоре изменений за февраль 2023 года рассмотрим: положение о единой биометрической системе (далее – ЕБС), взаимодействие оператора регионального сегмента ЕБС с Министерством внутренних дел Российской Федерации (далее – МВД России) и Федеральной службой безопасности Российской Федерации (далее – ФСБ России), порядок обработки биометрических персональных данных (далее – ПДн) и изменение случаев и сроков их использования, национальные стандарты по безопасности финансовых операций и управлению компьютерными инцидентами, изменения в приказе Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) № 235, отраслевой план перехода на использование отечественного программного обеспечения (далее – ПО) на значимых объектах критической информационной инфраструктуры (далее – КИИ) и порядок оценки актуальности сведений о субъектах КИИ, новые формы заявлений ФСТЭК России по лицензированию, контроль защиты государственной тайны, управление федеральной государственной информационной системой (далее – ГИС) «Управление государственной единой облачной платформой» (далее – ГосОблако), внеплановые проверки Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор), перечень иностранных сервисов и другие новости.

Читать далее
Рейтинг0
Комментарии0

Встраиваем JS- скрипты в PDF для социальной инженерии — пошаговое руководство

Время на прочтение7 мин
Количество просмотров15K

Введение

Согласно статистике, большинство всех атак совершается с использованием вредоносного программного обеспечения, а половина от всех атак проводится с использованием методов социальной инженерии.

Таким образом, для проведения проверок с использованием методов социальной инженерии полезно научиться отслеживать реакцию пользователей, что они будут делать с полученным документом. Причём делать это необходимо штатными средствами, никого не взламывая. JavaScript идеально подходит для этих целей.

Мы, Маргарита Белоусова, аналитик аналитического центра и Анастасия Прядко, специалист по анализу защищенности компании УЦСБ написали пошаговую инструкцию, как сделать фишинговый документ: детали и примеры кода. Кроме того, мы кратко рассмотрели структуру PDF-файла, как и куда в него внедрять JavaScript, а также способы маскировки факта внедрения скрипта. Наш опыт пригодится безопасникам, системным администраторам и всем, кто связан с ИБ.

Структура PDF

Организация данных в памяти

PDF способен на большее, чем просто отображать текст. Он может также включать в себя изображения и другие мультимедийные элементы, может быть защищён паролем, выполнять JavaScript и многое другое. Вне зависимости от версии структура PDF документа неизменна:

Читать далее
Всего голосов 15: ↑14 и ↓1+15
Комментарии7

Обзор изменений в законодательстве за ноябрь 2022

Время на прочтение20 мин
Количество просмотров4.2K

В обзоре изменений законодательства в области информационной безопасности (далее –ИБ) за ноябрь 2022 года рассмотрим: проект порядка осуществления мониторинга защищенности во исполнение Указа №250, перечень сведений потенциально используемых против безопасности РФ, новый регламент лицензирования ФСБ России, требования по защите информации с использованием криптографических средств в государственных информационных системах (далее – ГИС), требования к отечественному программному обеспечению (далее – ПО), требования к линиям связи, пересекающим границу РФ, требования к оценке вреда субъектам ПДн в случае нарушения 152‑ФЗ, требования к подтверждению уничтожения ПДн и иные изменения в области ПДн, а также новые стандарты по управлению компьютерными инцидентами, результаты работы ТК 362 и другие новости в нормативном поле ИБ.

Читать далее
Всего голосов 2: ↑2 и ↓0+2
Комментарии2

Обзор изменений в законодательстве за октябрь 2022

Время на прочтение21 мин
Количество просмотров2.4K

В обзоре изменений за октябрь 2022 года рассмотрим: поручения о размещении согласий субъектов персональных данных на Госуслугах, назначение оператора единой биометрической системы и законопроект о системе, порядок ведения реестра инцидентов Роскомнадзора и обмена сведениями об инцидентах с ФСБ России, а также внутренние документы об обработке персональных данных в Роскомнадзоре, изменения в правила категорирования объектов критической информационной инфраструктуры, методические рекомендации об импортозамещении, положение о платформе для создания государственных информационных систем, дополнение к правилам допуска к государственной тайне, публикация профессиональных стандартов специалистов в области ИБ и ИТ, изменения в порядок сертификации средств защиты в системе ФСТЭК России, результаты работы ТК 362 и т.д.

Читать далее
Всего голосов 4: ↑4 и ↓0+4
Комментарии1

Компетенции ИБ-специалиста

Время на прочтение4 мин
Количество просмотров3.9K

Рост количества кибератак и ежедневные сообщения об утечках персональных данных пользователей – это новые реалии информационного мира. Уберечь компании от этих проблем помогают эксперты по информационной безопасности (ИБ). Круг обязанностей коллег по устранению киберугроз широк, однако есть определенные компетенции, которые ценятся в этой сфере. В нашей статье подробно расскажем о навыках, которые пригодятся, если вы хотите начать карьеру или уже работает в сфере ИБ.

Читать далее
Всего голосов 2: ↑0 и ↓2-2
Комментарии1

Пентестеры: думать, как взломщики, чтобы усилить защиту

Время на прочтение4 мин
Количество просмотров2.8K

За последние несколько лет картина российского ИТ-мира сильно изменилась. Число атак на информационные системы предприятий и компаний возросло лавинообразно. Сегодня любой организации стоит быть готовой к тому, что объектом вторжения может стать ее ИТ-инфраструктура, и сделать все, чтобы оно не увенчалось успехом.

Так сложилось, что в русском языке слово «хакер» имеет скорее негативное значение – умелец, который проникает в информационные системы организаций, чтобы нарушить работу или украсть данные. На самом деле это искажение. Хакер – это специалист, который умеет мыслить нестандартно, находить обходные, неочевидные пути к своим целям и использовать их.

Как и у любой силы, у этой есть темная и светлая стороны. Киберситхи взламывают системы с преступными намерениями. Киберджедаи ищут слабые места в информационной безопасности организации, чтобы их усилить. Они действуют только во благо компании и всегда задумываются о последствиях своих действий. В вакансиях киберджедаев называют специалистами по анализу защищенности, инженерами аудита информационной безопасности и инженерами кибербезопасности. В ИТ-мире они известны как пентестеры, от penetration test – тест на проникновение.

Читать далее
Всего голосов 2: ↑1 и ↓1+1
Комментарии1

Обзор изменений в законодательстве за сентябрь 2022

Время на прочтение13 мин
Количество просмотров2.5K

В обзоре изменений за сентябрь 2022 года рассмотрим: изменения в продолжение «реформы 152-ФЗ»: новые электронные формы уведомления от Роскомнадзора, разъяснения ведомства о порядке отнесения фотографии к категории биометрических персональных данных, проекты постановлений Правительства РФ об исключениях применения требований и порядке принятия решений о запрещении/ограничении трансграничной передачи данных; требования к использованию средств криптографической защиты информации в государственных информационных системах, расширение области действия требований о защите платежной системы, результаты работы ТК 362 и другие изменения.

Читать далее
Всего голосов 3: ↑1 и ↓2+1
Комментарии0

Информация

В рейтинге
Не участвует
Откуда
Екатеринбург, Свердловская обл., Россия
Работает в
Зарегистрирован
Активность