Forwarded from Пост Лукацкого
Про смерть SOCов, неэффективность аутсорсинговых SOCов, автоматизацию TI и другие наблюдения с SecOps Summit. Продолжение обзора мероприятий по SOC, которые прошли на первой неделе декабря. И это не про SOC Forum, хотя про него тоже будет - https://lukatsky.ru/secops/3-meropriyatiya-po-socam-v-techenie-odnoy-nedeli-chto-obschego-chast-1.html
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
3 мероприятия по SOCам в течение одной недели: что общего? Часть 1 - Бизнес без опасности
Коль скоро материалы SOC Forum 2021 уже выложены на сайте организаторов и делать обзор мероприятия уже не так интересно, я бы хотел посмотреть на него немного с другой стороны. А именно сравнить то, что в течение двух дней происходило в центре Москвы, с двумя…
https://cloudsecurityalliance.org/blog/2021/12/11/the-pros-and-cons-of-using-saas-security-services/
cloudsecurityalliance.org
The Pros and Cons of Using SaaS Security Services | CSA
Learn what to consider when using security services delivered from the cloud, both to protect cloud deployments and traditional on-premises infrastructure.
Forwarded from Social Engineering
💬 true story... Social Engineering.
Вопрос не в том «Взломают Вас или нет?», а «Насколько быстро Вы сможете обнаружить, что Вас уже взломали?!»
• Основатель компании The Security Awareness Уинн Швартау занимается аудитом более 25 лет. К нему обычно приходят за экспертной оценкой уже проведенных мероприятий по усилению безопасности. Однажды его попросили сделать это для крупного финансового учреждения в Нью-Йорке. Дело в том, что сотрудников банка только что напугали предыдущие аудиторы, которые нашли тонну проблем. Целый месяц весь персонал инструктировали на интенсивных тренингах. Сотрудники стали настоящими параноиками: не открывают подозрительных писем, не переходят по фишинговым ссылкам, не подбирают флешки, не разглашают ничего по телефону и строго следуют должностным инструкциям.
• «Да это же идеальные жертвы!» — подумал Швартау и принялся за работу. Он скопировал с сайта компании образец шапки делового письма, там же взял часть адресов обычной почты сотрудников, а остальные узнал из справочников. Вместе с помощниками Швартау составил примерно 1200 персонально адресованных бумажных писем, напечатал их на самодельных бланках проверяемой организации и отправил старым дедовским способом.
• В каждом письме говорилось, что недавно репутация их компании сильно пострадала из-за действий отдельных сотрудников, пренебрегавших элементарными мерами безопасности. Руководство не может допустить новых проколов, поэтому идет на беспрецедентные меры.
• Далее для усыпления бдительности следовал детальный план с обилием технических терминов, которые офисный сотрудник вряд ли сможет понять. Затем шла стандартная просьба информировать обо всех подозрительных действиях. В заключение письма говорилось, что с ИТ-отделом и службой безопасности теперь требуется общаться только посредством физической почты, так как это единственный канал связи, недоступный хакерам.
• P.S: указанный адрес не принадлежит компании, чтобы эти письма никто не мог вычислить и перехватить. «Мы будем помещать их в надежно охраняемый почтовый ящик, доступ к которому будет только у руководства и службы безопасности" — говорилось в письме. — "Прямо сейчас вам надлежит прислать свои учетные данные, чтобы мы проверили их вручную и завершили обновление системы». 30% сотрудников ответили на следующий же день, указав в письме все свои данные. Ни один тренинг не помог им понять, что и в 21 веке хакер может отправить письмо на бумаге.
• Вывод: Как бы долго и тщательно организация ни тренировала людей, какие бы административные и технические меры в ней ни принимались, она никогда не достигнет 100% защищенности. Любые высокие показатели безопасности — лишь временный эффект. Люди делают определенные выводы, становятся осторожнее, но не могут эффективно сопротивляться свойствам своей натуры. Каждый раз, сталкиваясь с необходимостью принять безотлагательное решение, испытывая жажду легкой наживы или страх чего угодно, они делают уязвимыми себя и свою компанию. Твой S.E. #СИ #Пентест #Взлом.
Вопрос не в том «Взломают Вас или нет?», а «Насколько быстро Вы сможете обнаружить, что Вас уже взломали?!»
🖖🏻 Приветствую тебя user_name.• Бывает, что одну фирму нанимают проверить качество работы другой. Когда речь идет о социальной инженерии, это особенно актуальная практика.
• Основатель компании The Security Awareness Уинн Швартау занимается аудитом более 25 лет. К нему обычно приходят за экспертной оценкой уже проведенных мероприятий по усилению безопасности. Однажды его попросили сделать это для крупного финансового учреждения в Нью-Йорке. Дело в том, что сотрудников банка только что напугали предыдущие аудиторы, которые нашли тонну проблем. Целый месяц весь персонал инструктировали на интенсивных тренингах. Сотрудники стали настоящими параноиками: не открывают подозрительных писем, не переходят по фишинговым ссылкам, не подбирают флешки, не разглашают ничего по телефону и строго следуют должностным инструкциям.
• «Да это же идеальные жертвы!» — подумал Швартау и принялся за работу. Он скопировал с сайта компании образец шапки делового письма, там же взял часть адресов обычной почты сотрудников, а остальные узнал из справочников. Вместе с помощниками Швартау составил примерно 1200 персонально адресованных бумажных писем, напечатал их на самодельных бланках проверяемой организации и отправил старым дедовским способом.
• В каждом письме говорилось, что недавно репутация их компании сильно пострадала из-за действий отдельных сотрудников, пренебрегавших элементарными мерами безопасности. Руководство не может допустить новых проколов, поэтому идет на беспрецедентные меры.
• Далее для усыпления бдительности следовал детальный план с обилием технических терминов, которые офисный сотрудник вряд ли сможет понять. Затем шла стандартная просьба информировать обо всех подозрительных действиях. В заключение письма говорилось, что с ИТ-отделом и службой безопасности теперь требуется общаться только посредством физической почты, так как это единственный канал связи, недоступный хакерам.
• P.S: указанный адрес не принадлежит компании, чтобы эти письма никто не мог вычислить и перехватить. «Мы будем помещать их в надежно охраняемый почтовый ящик, доступ к которому будет только у руководства и службы безопасности" — говорилось в письме. — "Прямо сейчас вам надлежит прислать свои учетные данные, чтобы мы проверили их вручную и завершили обновление системы». 30% сотрудников ответили на следующий же день, указав в письме все свои данные. Ни один тренинг не помог им понять, что и в 21 веке хакер может отправить письмо на бумаге.
• Вывод: Как бы долго и тщательно организация ни тренировала людей, какие бы административные и технические меры в ней ни принимались, она никогда не достигнет 100% защищенности. Любые высокие показатели безопасности — лишь временный эффект. Люди делают определенные выводы, становятся осторожнее, но не могут эффективно сопротивляться свойствам своей натуры. Каждый раз, сталкиваясь с необходимостью принять безотлагательное решение, испытывая жажду легкой наживы или страх чего угодно, они делают уязвимыми себя и свою компанию. Твой S.E. #СИ #Пентест #Взлом.
Forwarded from SecAtor
Apache Software Foundation выпустили срочные исправления для серьёзных CVE-2021-44790 и CVE-2021-44224 во флагманском продукте Apache HTTP Server, в том числе связанным с удаленным выполнением кода и получить контроль над скомпрометированной системой.
Ошибка CVE-2021-44790 позволяет посредством определённого запроса вызывать переполнение буфера в многокомпонентном парсере mod_lua в Apache HTTP Server 2.4.51 и более ранних версий. Исследователи из Apache Software Foundation не обнаружили эксплойта для уязвимости, но допустили потенциальную возможность его создания.
Другая CVE-2021-44224 может позволить направлять запросы на конечную точку Unix Domain Socket, вызывая подделку запросов на стороне сервера. Ошибка связана с разыменованием NULL или SSRF в конфигурациях прямого прокси в Apache HTTP Server 2.4.51 и более ранних версиях.
Учитывая значительное доминирование HTTP-сервера Apache в сети и начавшуюся активную эксплуатацию другой CVE-2021-40438 подделки запросов на стороне сервера SSRF в дикой природе, применить патч для кроссплатформенного веб-сервера следует незамедлительно, о чем также озаботилось CISA, спешно добавив новые баги в свой каталог эксплуатируемых CVE.
Ошибка CVE-2021-44790 позволяет посредством определённого запроса вызывать переполнение буфера в многокомпонентном парсере mod_lua в Apache HTTP Server 2.4.51 и более ранних версий. Исследователи из Apache Software Foundation не обнаружили эксплойта для уязвимости, но допустили потенциальную возможность его создания.
Другая CVE-2021-44224 может позволить направлять запросы на конечную точку Unix Domain Socket, вызывая подделку запросов на стороне сервера. Ошибка связана с разыменованием NULL или SSRF в конфигурациях прямого прокси в Apache HTTP Server 2.4.51 и более ранних версиях.
Учитывая значительное доминирование HTTP-сервера Apache в сети и начавшуюся активную эксплуатацию другой CVE-2021-40438 подделки запросов на стороне сервера SSRF в дикой природе, применить патч для кроссплатформенного веб-сервера следует незамедлительно, о чем также озаботилось CISA, спешно добавив новые баги в свой каталог эксплуатируемых CVE.
httpd.apache.org
Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project
https://logging.apache.org/log4j/2.x/security.html очередная уязвимость log4j. теперь 2.17.1 актуальная версия 🙂 cvss 6.6
https://lukatsky.ru/calendar теперь на 2022 год
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Календарь крупных мероприятий по ИБ на 2024 год
Я более 10 лет публиковал список крупных мероприятий по информационной безопасности, проводимых в России (критерии включения описаны здесь), но в этом году решил, что надо прекращать это делать в том варианте, как это было раньше. Хочу пересмотреть всю историю…
анализ обнаруженной завирусовонной прошивки HP servers provide a management module called iLO (a.k.a. Integrated Lights-Out), which turns on as soon as the power cable is connected, loading a full-blown proprietary operating system. This module has full access to all the firmware, hardware, software, and operating system installed on the server. In addition to managing the server hardware, it allows the admin to remotely turn the server on and off, gain access to the server’s console, and even install an operating system on it.
https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/
https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/
Поздравляем всех с наступающим 2022 годом!
Желаем прохождения всех аудитов и в жизни и по работе без значимых несоответствий!
Ассоциация ISACA начала активную модернизацию в 2021 не все прошло гладко, но уверены все шереховатости отшлифуются в 2022 году, и мы продолжим Вас информировать об интересных решениях используемых в ИБ в Мире и РФ!
С наступающим 2022!
Желаем прохождения всех аудитов и в жизни и по работе без значимых несоответствий!
Ассоциация ISACA начала активную модернизацию в 2021 не все прошло гладко, но уверены все шереховатости отшлифуются в 2022 году, и мы продолжим Вас информировать об интересных решениях используемых в ИБ в Мире и РФ!
С наступающим 2022!