Pull to refresh
63
0
Сергей Зеленский @ramses2

Информационная безопасность

Send message

Экстенсивный подход. Как много техник можно обнаружить в одном образце вредоносного программного обеспечения (ВПО)

Reading time 10 min
Views 7K

— "Прошу расшифровать трафик в адрес …" - описание задачи в трекере.

— "Давай, Морти! Приключение на 20 минут. Зашли и вышли." - ответил голос в голове.

Но, как и у героев мультфильма, приключение несколько затянулось. Расшифрованный трафик только привлек внимание и подогрел интерес к обнаруженному образцу. Самая любопытная часть исследования, а именно используемые ВПО техники, и будет изложена в данной статье.

Читать далее
Total votes 18: ↑18 and ↓0 +18
Comments 1

Введение в сетевую часть облачной инфраструктуры

Reading time 74 min
Views 33K


Облачные вычисления все глубже и глубже проникают в нашу жизнь и уже наверно нет ни одного человека, который хотя бы раз не пользовался какими либо облачными сервисами. Однако что же такое облако и как оно работает в большинстве своем мало кто знает даже на уровне идеи. 5G становится уже реальностью и телеком инфраструктура начинает переходить от столбовых решений к облачным решениями, как когда переходила от полностью железных решений к виртуализированным «столбам».

Сегодня поговорим о внутреннем мире облачной инфраструктуре, в частности разберем основы сетевой части.
Читать дальше →
Total votes 16: ↑16 and ↓0 +16
Comments 12

Начинаем переводить фреймворк ИБ-специальностей NICE (National Initiative for Cybersecurity Education)

Reading time 3 min
Views 2.2K

Начинаем переводить фреймворк ИБ-специальностей NICE (National Initiative for Cybersecurity Education)

 И призываем создавать свой «КИОСК»* (Каталог информации для образования в сфере кибербезопасности. *Временное название для привлечения внимания)

Привет, Хабр.

Нас, представителей рынка ИБ, легко обвинить в идеализме. Когда мы рассказываем про то, как важно для безопасности делать «так» и «эдак», в воздухе повисает вопрос: а где взять всех этих прекрасных людей, которые выстроят безопасный контур, пропатчат все дыры, закупят и настроят всё ПО, обучат сотрудников и приведут в порядок документы? Кто их учит? Как правильно составить вакансию, чтобы отыскать этих гениев? А если ты сам тот специалист, который должен всё это делать – как найти себе место в необъятном ИБ, понимать свою силу и ограничения?

Этим постом мы хотим начать серию публикаций перевода полезного фреймворка NICE, созданного Национальным институтом стандартов и технологий (NIST, подразделение Управления по технологиям США, одного из агентств Министерства торговли США).

Читать далее
Total votes 4: ↑4 and ↓0 +4
Comments 6

Гудбай AV/EDR или как обойти защиту EDR в Windows

Reading time 11 min
Views 8.4K

При проведении Red Team операций часто возникает вопрос обхода средств защиты. В данной статье будет рассмотрен один из методов отключения антивирусов и EDR.

Читать далее
Total votes 9: ↑9 and ↓0 +9
Comments 1

Chrome DevTools: Хитрости при отладке

Reading time 7 min
Views 44K

В сети полно обзоров Chrome DevTools, которые демонстрируют многочисленные возможности этого прекрасного инструмента. DevTools настолько большие, что познать их полностью, как мне кажется, уже почти невозможно.

В этой заметке я бы хотел остановиться на различных нюансах, полезных при отладке. Какие-то из них я почерпнул в сети (например в комментариях на Хабре), до каких-то додумался сам. Надеюсь вы найдёте для себя что-нибудь полезное.

Под катом:

— Как отладить popup-ы, которые исчезают при потере фокуса
— Как убить повисший JS-цикл, не убивая вкладку
— Различные нюансы работы с breakpoint-ми
— Методы ведения войны с sourceMaps
— Перехват network-запросов
— Как отладить race-condition
— Почему стоит опасаться галочки "disable cache"
— Что делать если у вас не Hi-DPI экран?

Подробнее
Total votes 50: ↑49 and ↓1 +48
Comments 41

Артемии. Кого завести, когда нет места?

Reading time 6 min
Views 31K

На неделе я зашла в магазин, возвращаясь с работы. И в отделе игрушек и товаров для детей нашла забавную коробочку под названием “Питомец Юрского периода”. Естественно, я подумала, что это очередная растущая игрушка, коих в данном магазине сотни. Однако, взяв в руки коробочку, я поняла, что ошиблась.

Читать далее
Total votes 91: ↑76 and ↓15 +61
Comments 85

Чаты на вебсокетах. Теперь про бэкенд

Reading time 4 min
Views 14K

Продолжаем рассказывать про чаты на вебсокетах, но уже со стороны бэкенда. Когда-то использовали сторонний сервис, но было важно решить ряд моментов, которые он не мог покрыть. Выбирать особо не пришлось, и мы принялись разрабатывать собственное решение.

Ниже подробности о том, что было до написания кастомных чатов и какие стояли требования к реализации, из каких компонентов они состоят, как вписываются в нашу инфраструктуру и что получилось в итоге. А в конце статьи — ссылки про особенности разработки наших чатов на вебсокетах для iOS и Android.

Читать далее
Total votes 51: ↑51 and ↓0 +51
Comments 17

Используем пайпы для пивотинга

Reading time 8 min
Views 5.5K
Ни для кого не секрет, что корпоративные IPS становятся все умнее и умнее. Сейчас уже никого не удивишь IPS с SSL-митмом на периметре сети или даже внутри корпоративной сети между сегментами. В то же время, помимо всем известных IPS, стали появляться и распространяться различные EDR-решения, которые уже непосредственно на хостах смотрят за устанавливаемыми соединениями. В связи с этим порядочному RedTeam специалисту с каждым днем все труднее и труднее скрываться от вездесущего взгляда BlueTeam. Приходится становиться все изобретательнее в своей нелегкой работе.

Одним из решений для маскировки наших «более полезных деструктивных действий»(с) внутри корпоративных сетей может послужить использование протоколов SMB или RDP. Можно спрятаться внутри них и замаскироваться под легитимный трафик. В этом ничего особо нового нет и техника маскировки внутри SMB используется со времен знаменитых APT-компаний Duqu и Sauron. Там ребята также с большим успехом использовали SMB протокол для передачи управляющих команд своим агентам. После этого данную технику переняли разработчики Metasploit и Cobalt Strike.

В данной статье мы рассмотрим варианты использования протокола SMB для пивотинга, а RDP уже оставим на потом.
Читать дальше →
Total votes 14: ↑12 and ↓2 +10
Comments 1

Если сотрудник убьёт сервис, он убьёт вашу компанию. Остановите его

Reading time 9 min
Views 18K

Представьте: вы долго работали сисадмином, обросли навыками DevOps и DevSecOps, стали профи и решили открыть свою аутсорсинговую компанию. В штате несколько сисадминов и эникеев, вы настоящая команда, заказчики радуются, что им не нужно нанимать админа в штат. Дело души, деньги, бонусы для сотрудников, корпоративы — вот она, внеофисная жизнь предпринимателя (на самом деле нет). И тут поступает один звонок, второй, третий… У первого заменили рабочую крутую видеокарту на самую бросовую, у второго опоздание на три часа, а к третьему сотрудник так и не дошёл. И вы не слышите, что Вася тиснул себе видюху, Маша безбожно опоздала, а Миша просто свалил на левый заказ — вы слышите «Не хочу иметь дела с вашей компанией». Просто потому что для заказчика нет конкретных людей, есть компания, которой он заплатил и на которую он рассчитывает. Сотрудники подвели компанию, она подвела его. Самое время уйти к конкурентам, оставить пару гневных отзывов и отсоветовать партнёрам иметь дело с этой «шарашкиной конторой». И вот вроде вы — профессионал и ответственный человек, но вам не верят. От вас уходят. Ваш бизнес губят простые ребята, которые ещё утром пили кофе и разбирали заказы. Ох уж этот f*cking человеческий фактор!   

Читать далее
Total votes 42: ↑29 and ↓13 +16
Comments 53

Продуктивность разработки

Reading time 3 min
Views 11K

Тот, кто научится правильно измерять продуктивность разработчиков, точно станет миллионером. Особенно на текущем рынке труда, где кандидаты просто называют случайные пятизначные числа желаемой зарплаты. Есть несколько вендорских платных решений, но они не получили распространения. Никто не ставит такую систему по умолчанию, как, например, CI/CD. Давайте посмотрим на возможные подходы к измерению продуктивности и поговорим об этом в комментариях.

Читать далее
Total votes 64: ↑39 and ↓25 +14
Comments 68

Бэкдоры в наших смартфонах живут уже 20 лет. И это не последние подарки от государства

Reading time 7 min
Views 85K

Оборудование для фальшивой базовой станции 4G/LTE, источник

Иногда складывается впечатление, что основная угроза безопасности граждан исходит от государственных спецслужб. Эти не размениваются на мелочи. Их интересует взлом не с одного сайта, а всего трафика в интернете. Прослушка не отдельного человека, а сразу всех. Спецслужбы неоднократно пытались внедрить бэкдоры в алгоритмы публичной криптографии (см. генератор «случайных» чисел Dual EC DRBG с бэкдором АНБ). Прослушка произвольного гражданина в любой стране, на любом устройстве — голубая мечта «Большого брата».

Несколько лет назад вскрылись факты, что ЦРУ давно внедрилось в швейцарскую компанию Crypto AG, крупнейшего мирового производителя криптооборудования. Сейчас ФСБ навязывает российским гражданам отечественную криптографию, где тоже подозревают наличие бэкдора на уровне алгоритма.

Ещё одна интересная история — с алгоритмами шифрования GPRS, которые до сих пор поддерживаются в большинстве телефонов, включая Apple iPhone, Samsung Galaxy S9, Huawei P9 Lite, OnePlus 6T и многие другие.
Total votes 70: ↑66 and ↓4 +62
Comments 75

Обход 802.1х в LAN

Reading time 10 min
Views 28K

Внимание! Данная статья носит исключительно информационный характер и предназначена для образовательных целей.

Представим себе типичный внутренний пентест. Вы приезжаете к заказчику, подключаетесь к Ethernet-розетке.Вы заранее предупредили о своём приезде, попросили себе рабочее место с Ethernet-розеткой и договорились отключить 802.1x. В итоге нашли тонну критических уязвимостей и в деталях расписали, как всё плохо исправить. Вы выдали красивый отчёт, оценили риски и составили рекомендации. Заказчик смотрит в отчет, хмурит брови и выдает непробиваемый довод: просто я отключил 802.1х. Добились бы вы таких же результатов без доступов к сети?

В этом посте я продемонстрирую, как легко можно обойти 802.1x на внутреннем пентесте. За редкими исключениями, но их мы тоже обсудим.

Читать далее
Total votes 24: ↑24 and ↓0 +24
Comments 11

ТОП-12 книг для бизнеса-2021: рекомендации Gartner

Reading time 7 min
Views 13K
«Не дай нам Бог жить в эпоху перемен!», — гласит китайская мудрость. Не актуально. Перемены — уже наша жизнь. «Мы ждем перемен!» тоже устарело. «Мы меняем мир!» — вот что сейчас происходит.

Мы научились быстро адаптироваться, меняться, подстраиваться, получать удовольствие от того, что еще пару лет назад казалось бредом и пугало. Да, мир ускорился, и мы вместе с ним. Мы быстрее соображаем, более четко действуем, мгновенно принимаем решения. Мы не тратим время на пустую болтовню и демагогию. Много учимся, но не готовы на длительные теоретические опусы. Нам нужен правильный концентрат знаний и практика. Дальше сами разберемся. И сделаем все в лучшем виде. Иначе нельзя – мы же меняем этот мир, а значит, несем ответственность за него.

Предлагаю интересный концентрат правильных знаний — все как мы любим, не так ли? Эксперты компании Gartner составили подборку книг, которые помогут топ-менеджерам справляться с вызовами постковидного мира, выстраивать инклюзивные культуры и переосмысливать подходы к лидерству. Рекомендации отражают те изменения, с которыми столкнулись руководители и организации в 2020 году. Кроме того, в подборке от Gartner есть несколько неожиданных изданий, которые предлагают свежий взгляд на то, как мы живем, думаем и ведем за собой других.

Не на все книги есть перевод. Вернее, пока практически нет перевода. Это значит, что нам выдался замечательный шанс обрести зарубежную мудрость раньше, чем это сделают многие из наших русскоязычных коллег. 

Давайте этим шансом воспользуемся, пока нас не догнали. Интересно, кто станет лидером мнений? Кто готов прочитать быстрее всех и поделиться креативными мыслями и острыми цитатами? Мы в «Сетевой Академии ЛАНИТ» уже в марафоне! Приятного прочтения и жду комментарии.

Читать дальше →
Total votes 47: ↑45 and ↓2 +43
Comments 3

Вы пользуетесь уязвимым софтом, но я вам не могу об этом рассказать

Reading time 10 min
Views 38K

Я нашел несколько уязвимостей в сервисах, которыми вы, скорее всего, пользуетесь. Возможно, вы даже считаете, что эти сервисы хорошо защищены. Но всего лишь несколько команд — и ваша приватность больше не ваша.

Хотите узнать, какие именно уязвимости я нашёл? Но я не смогу вам об этом рассказать, даже если захочу. Без согласия вендора публично говорить о найденных уязвимостях мне не позволяет закон.

Читать далее
Total votes 73: ↑71 and ↓2 +69
Comments 93

Анонимный запрос

Reading time 4 min
Views 8K

Безопасные браузеры и приватность

У анонимности в интернете много задач (подключиться к удаленному серверу, заниматься анонимным парсингом), и здесь мы поговорим о самом востребованной — об анонимном сёрфинге. Проще говоря, как пользоваться браузером, не оставляя цифрового следа.

В большинстве случаев браузер выбирается исходя из удобства и скорости работы, но в последнее время растет запрос  на безопасность . Как и растет количество пользователей у браузеров, которые имеют репутацию защищенных. Самый известный и востребованный из них — Tor: браузер и сеть, которая реализована «луковичным способом».

Читать далее
Total votes 10: ↑5 and ↓5 0
Comments 5

Android — запрещенные приемы

Reading time 8 min
Views 9.7K

В данной статье проведем попытку изучения используемых конструкций языка программирования для работы вредоносного программного обеспечения. Основная задача — выяснить, содержат ли вредоносы для ОС Android какие-либо полезные и интересные недокументированные возможности ОС или же это просто приложения, которые ловко выполняют свой функционал при помощи стандартных приемов.

ВПО может состоять из десятков тысяч строк исходного кода, если не больше. Поэтому для ориентира в этом море кода будем рассматривать следующие характеристики:

Читать далее
Total votes 13: ↑9 and ↓4 +5
Comments 4

Выбираем методы активной защиты с помощью MITRE

Reading time 3 min
Views 3.8K

В поле нашего зрения попала матрица Shield от MITRE, в которой приводятся тактики активной защиты от действий злоумышленников. В отличие от матрицы ATT&CK, которую многие знают, уважают и используют, Shield не так хорошо известна. Тем не менее, описанные в ней тактики помогут более эффективно противостоять атакам.

Злоумышленники очень изобретательны и редко пасуют перед трудностями. Поэтому методы активной защиты, подразумевающие изучение их поведения, отслеживание действий и реагирование в реальном времени всегда будут актуальны.

Привычная всем нам классификация методов защиты выглядит следующим образом:

Читать далее
Total votes 11: ↑10 and ↓1 +9
Comments 0

Никогда такого не было и вот опять. Почему нужно использовать self-hosted VPN. Релиз Amnezia

Reading time 11 min
Views 153K
Вот и пришло время для релиза VPN-клиента, родившегося благодаря хакатону DemHack, и выращенного при поддержке РосКомСвободы, PrivacyAccelerator и Теплицы социальных технологий.

Спустя полгода с того момента, как идея была впервые озвучена, мы презентуем готовый продукт — бесплатный опенсорсный клиент для self-hosted VPN, с помощью которого вы сможете установить VPN на свой сервер в несколько кликов.

Вместо скучной технической статьи о том, что вот оно: что-то сделали, что-то не успели, что-то пересмотрели, которую можно сократить до нескольких абзацев сути, я решил написать о своих размышлениях, о том, что вообще происходит, о бешеных принтерах, о развитии Интернета, в контексте его приватности, анонимности и блокировок.

image
Читать дальше →
Total votes 130: ↑128 and ↓2 +126
Comments 168

Смотрим любое кино мгновенно

Reading time 2 min
Views 145K

После ареста серверов Moonwalk жить стало в разы труднее. Лично я уже совсем отвык от торрентов. Нужно что-то качать, ждать, чем-то открывать, куда-то кликать, иногда еще и место на диске кончается. Как можно ждать час пока скачается фильм? За час можно жизнь прожить. Пришлось искать решение, которое позволит смотреть кино также просто, как и раньше. Норматив: от идеи посмотреть что-нибудь до начала просмотра - не более минуты.

Вы скажете: есть Popcorntime, не морочь нам голову. Все так, есть Popcorntime, идея классная, но реализация не совсем та, какую хотелось бы. Часто нет нужных дорожек, субтитров, все как-то непрозрачно работает. Вот бы можно было иметь интерфейс, который ищет необходимое кино по всем нужным трекерам и мгновенно его начинает крутить. Есть такой интерфейс.

Читать далее
Total votes 94: ↑80 and ↓14 +66
Comments 266

Хакаем CAN шину авто. Мобильное приложение вместо панели приборов

Reading time 7 min
Views 110K

Я продолжаю изучать CAN шину авто. В предыдущих статьях я голосом открывал окна в машине и собирал виртуальную панель приборов на RPi. Теперь я разрабатываю мобильное приложение VAG Virtual Cockpit, которое должно полностью заменить приборную панель любой модели VW/Audi/Skoda/Seat. Работает оно так: телефон подключается к ELM327 адаптеру по Wi-Fi или Bluetooth и отправляет диагностические запросы в CAN шину, в ответ получает информацию о датчиках.

По ходу разработки мобильного приложения пришлось узнать, что разные электронные блоки управления (двигателя, трансмиссии, приборной панели и др.) подключенные к CAN шине могут использовать разные протоколы для диагностики, а именно UDS и KWP2000 в обертке из VW Transport Protocol 2.0.

Как телефон взаимодействует с автомобилем
Total votes 109: ↑109 and ↓0 +109
Comments 123

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Works in
Registered
Activity