Forwarded from DevSecOps Talks
Secure Coding Practices
Всем привет!
По ссылке доступен внушительный материал, посвященный лучшим практикам по безопасной разработке.
«Воды» практически нет, все по делу: код с уязвимостью, описание уязвимости; код без уязвимости, описание решения.
Рассматриваются такие темы, как:
🍭 Broken access control
🍭 Injection
🍭 Insecure Design
🍭 Security Misconfiguration
🍭 Identification/Authentication Failures и не только
Подборка содержит примеры для языков: .NET, PHP, Golang, Python, Java, Android Java, Swift. Для каких-то языков материалов больше, для каких-то чуть меньше. Но самое главное – много примеров, пояснений и, конечно же, кода!
Всем привет!
По ссылке доступен внушительный материал, посвященный лучшим практикам по безопасной разработке.
«Воды» практически нет, все по делу: код с уязвимостью, описание уязвимости; код без уязвимости, описание решения.
Рассматриваются такие темы, как:
🍭 Broken access control
🍭 Injection
🍭 Insecure Design
🍭 Security Misconfiguration
🍭 Identification/Authentication Failures и не только
Подборка содержит примеры для языков: .NET, PHP, Golang, Python, Java, Android Java, Swift. Для каких-то языков материалов больше, для каких-то чуть меньше. Но самое главное – много примеров, пояснений и, конечно же, кода!
Devsecopsguides
Secure Coding Cheatsheets
In today's interconnected digital landscape, security is paramount for developers across various platforms and programming languages.
👍2
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Наши хорошие товарищи Антон Жаболенко и Алексей Федулаев в рамках
Данная презентация посвящена
HighLoad++ 2023 выступали с любопытным докладом под названием "Как собрать контейнер и не вооружить хакера". И сейчас стала доступна видеозапись выступления и статья на Хабре по мотивам доклада.Данная презентация посвящена
Living off the Land (LotL) атакам. По сути, это атаки с использованием легитимных программ, которые уже присутствуют в целевой системе куда попал атакующий. В данном случае это в образах контейнеров. В статье есть множество разных трюков/приемов о которых должен знать любой представитель красной команды) Ну а оппоненты из синей команды должны знать способы как это либо предотвратить, либо своевременно обнаружить ;)Хабр
Как собрать контейнер и не вооружить хакера
Известно, что с контейнерами бывает огромное количество разнообразных проблем, в том числе, связанных с информационной безопасностью. Как их избежать и не дать взломщику лазеек в ваш сервис —...
👍1
Forwarded from SecAtor
Исследователи ETH Zurich раскрыли новую атаку ZenHammer, которая затрагивает процессоры на базе новейшей микроархитектуры AMD Zen и модули оперативной памяти DDR5, опровергая мнение об их уязвимости для атак Rowhammer DRAM.
Как известно, ранее задокументированный метод атаки подробно Rowhammer исследовался преимущественно на процессорах Intel и ARM.
В то время, как процессоры AMD с архитектурой Zen остались практически неисследованными из-за проблем, связанных с схемами адресации DRAM, синхронизации с командами обновления и достижением высокой пропускной способности активации строк.
С помощью ZenHammer исследователям из ETH Zurich удалось решить эти проблемы путем обратного проектирования сложных и нелинейных функций адресации DRAM на платформах AMD.
Им удалось разработать новые методы синхронизации, позволяющие реализовать атаки с помощью команд обновления DRAM, что имело решающее значение для обхода таких мер, как обновление целевой строки TRR.
Кроме того, исследователи оптимизировали шаблоны доступа к памяти, чтобы увеличить скорость активации строк, что является критическим фактором эффективности атак Rowhammer.
По итогу исследователи продемонстрировали, как ZenHammer может вызвать перестановку битов на устройствах DDR4 на платформах AMD Zen 2 (Ryzen 5 3600X) и Zen 3 (Ryzen 5 5600G), проведя 7 успешных из 10 тестов на DDR4/AMD Zen 2 и в 6 из 10 - на DDR4/AMD Zen 3.
Кроме того, удалось добиться успеха с чипами DDR5 на платформе AMD Zen 4, которая ранее считалась более защищенной от атак Rowhammer.
Однако тест оказался успешным только на 1 из 10 систем, Ryzen 7 7700X, в виду улучшенных мер в DDR5 по смягчению последствий Rowhammer (встроенный код исправления ошибок (ECC) и более высокая частота обновления (32 мс).
Во всех выполненных атаках исследователи смогли обойти безопасность систем, включая манипулирование записями таблицы страниц для несанкционированного доступа к памяти.
На одной из тестовых систем Zen 3 они получили root-права в результате 10 успешных атак со средним временем 93 секунды, начиная с момента обнаружения опасного переворота битов.
Однако стоит отметит, что такие атаки имеют высокую сложность и требуют от злоумышленника глубокого понимания как программных, так и аппаратных компонентов.
В свою очередь, AMD опубликовала бюллетень по безопасности в ответ на результаты ZenHammer с рекомендациями по устранению проблем, заверяя выпустить обновления.
Более подробно исследование описано в технической статье университета ETH Zurich.
Как известно, ранее задокументированный метод атаки подробно Rowhammer исследовался преимущественно на процессорах Intel и ARM.
В то время, как процессоры AMD с архитектурой Zen остались практически неисследованными из-за проблем, связанных с схемами адресации DRAM, синхронизации с командами обновления и достижением высокой пропускной способности активации строк.
С помощью ZenHammer исследователям из ETH Zurich удалось решить эти проблемы путем обратного проектирования сложных и нелинейных функций адресации DRAM на платформах AMD.
Им удалось разработать новые методы синхронизации, позволяющие реализовать атаки с помощью команд обновления DRAM, что имело решающее значение для обхода таких мер, как обновление целевой строки TRR.
Кроме того, исследователи оптимизировали шаблоны доступа к памяти, чтобы увеличить скорость активации строк, что является критическим фактором эффективности атак Rowhammer.
По итогу исследователи продемонстрировали, как ZenHammer может вызвать перестановку битов на устройствах DDR4 на платформах AMD Zen 2 (Ryzen 5 3600X) и Zen 3 (Ryzen 5 5600G), проведя 7 успешных из 10 тестов на DDR4/AMD Zen 2 и в 6 из 10 - на DDR4/AMD Zen 3.
Кроме того, удалось добиться успеха с чипами DDR5 на платформе AMD Zen 4, которая ранее считалась более защищенной от атак Rowhammer.
Однако тест оказался успешным только на 1 из 10 систем, Ryzen 7 7700X, в виду улучшенных мер в DDR5 по смягчению последствий Rowhammer (встроенный код исправления ошибок (ECC) и более высокая частота обновления (32 мс).
Во всех выполненных атаках исследователи смогли обойти безопасность систем, включая манипулирование записями таблицы страниц для несанкционированного доступа к памяти.
На одной из тестовых систем Zen 3 они получили root-права в результате 10 успешных атак со средним временем 93 секунды, начиная с момента обнаружения опасного переворота битов.
Однако стоит отметит, что такие атаки имеют высокую сложность и требуют от злоумышленника глубокого понимания как программных, так и аппаратных компонентов.
В свою очередь, AMD опубликовала бюллетень по безопасности в ответ на результаты ZenHammer с рекомендациями по устранению проблем, заверяя выпустить обновления.
Более подробно исследование описано в технической статье университета ETH Zurich.
Forwarded from AKTIV.CONSULTING
• ГОСТ Р 57580.3-2022 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения».
• ГОСТ Р 57580.4-2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер».
1. Банкам с размерами активов более 500 млрд. рублей и банкам с универсальной лицензией и активами менее 500 млрд. рублей обеспечить реализацию усиленного уровня защиты согласно ГОСТ Р 57580.3
2. Остальным КО обеспечить реализацию стандартного уровня защиты согласно ГОСТ Р 57580.3.
1. Банкам с размерами активов более 500 млрд. рублей обеспечить реализацию усиленного уровня защиты согласно ГОСТ Р 57580.4.
2. Остальным КО обеспечить реализацию стандартного уровня защиты согласно ГОСТ Р 57580.4.
3. НФО, указанным в п.1.4.2 757-П, в числе которых:
• центральные контрагенты;
• центральный депозитарий;
• регистраторы финансовых транзакций
обеспечить реализацию усиленного уровня защиты согласно ГОСТ Р 57580.4.
4. НФО, указанным в п.1.4.3 757-П, в т.ч.:
• специализированным депозитариям инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (НПФ);
• клиринговым организациям;
• организаторам торговли;
• страховым организациям;
• НПФ;
• операторам инвестиционной платформы;
• операторам финансовой платформы
обеспечить реализацию стандартного уровня защиты согласно ГОСТ Р 57580.4.
5. НФО, указанным в п.1.4.4 757-П, в т.ч.:
• управляющим компаниям инвестиционных фондов, паевых инвестиционных фондов и НПФ;
• форекс-дилерам;
• операторам информационных систем, в которых осуществляется выпуск цифровых финансовых активов;
• операторам обмена цифровых финансовых активов;
• обществам взаимного страхования;
• страховым брокерам
обеспечить реализацию минимального уровня защиты согласно ГОСТ Р 57580.4.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from Листок бюрократической защиты информации
Сведения_о_принятых_стандартах_1_кв_2024.pdf
593.8 KB
📖 Сведения о принятых национальных и международных стандартах за 1 квартал 2024 года
ФСТЭК России опубликовала Сведения о принятых национальных и международных стандартах за 1 квартал 2024 года.
ФСТЭК России опубликовала Сведения о принятых национальных и международных стандартах за 1 квартал 2024 года.
Please open Telegram to view this post
VIEW IN TELEGRAM
https://www.theregister.com/2024/03/26/fbi_cisa_sql_injection/
"The Federal Bureau of Investigation (FBI) and Cybersecurity and Infrastructure Security Agency (CISA) issued a Secure by Design Alert on Monday, reminding the tech community that there is no excuse for the decades-old vulnerability type to still be causing issues today.
They cited the MOVEit supply chain attacks from last year, ones enabled by a SQL injection zero day, as an example of the damage such issues can cause."
"The Federal Bureau of Investigation (FBI) and Cybersecurity and Infrastructure Security Agency (CISA) issued a Secure by Design Alert on Monday, reminding the tech community that there is no excuse for the decades-old vulnerability type to still be causing issues today.
They cited the MOVEit supply chain attacks from last year, ones enabled by a SQL injection zero day, as an example of the damage such issues can cause."
The Register
Uncle Sam's had it up to here with 'unforgivable' SQL injection flaws
Software slackers urged to up their game
Ещё около 2 недель до возвращения обогащения информации об уязвимостях от NIST в новом варианте.
Похоже уязвимости марта 2024 станут мерилом качества фидов сканеров уязвимостей и частым выбором пентестеров (и не только).
https://www.infosecurity-magazine.com/news/nist-unveils-new-nvd-consortium/
Похоже уязвимости марта 2024 станут мерилом качества фидов сканеров уязвимостей и частым выбором пентестеров (и не только).
https://www.infosecurity-magazine.com/news/nist-unveils-new-nvd-consortium/
Infosecurity Magazine
NIST Unveils New Consortium to Operate National Vulnerability Database
After weeks of speculation, NIST has finally confirmed its intention to establish an industry consortium to develop the NVD in the future
От американских органов власти теперь требуют правильно использовать ИИ и публиковать свои подходы на сайтах.
https://www.govinfosecurity.com/omb-issues-first-governmentwide-ai-risk-mitigation-rules-a-24723
https://www.govinfosecurity.com/omb-issues-first-governmentwide-ai-risk-mitigation-rules-a-24723
Govinfosecurity
OMB Issues First Governmentwide AI Risk Mitigation Rules
The Office of Management and Budget issued the first-ever governmentwide guidance for mitigating risks associated with the federal use of artificial intelligence,
Forwarded from Пост Лукацкого
Обещанная заметка про "смерть" EDR, о который "написал" Forrester. А заодно еще и про "смерть" IDS и SIEM, а также ряд очередных разоблачений ИБшных мифов от Gartner...
Один из примеров почему задача анализа кода все больше будет востребован на рынке, как минимум в течении ближайших 5-10 лет. Если не будет системных мер за это время,то и больше.
Forwarded from Порвали два трояна
Все выходные развивалась детективная история из мира open source. В библиотеке и утилитах для компрессии XZ был обнаружен бэкдор (CVE-2024-3094), который при определённых условиях предоставляет возможность выполнить произвольный код в системе, не оставляя следов в логах sshd.
Троянизированные версии 5.6.0 и 5.6.1 успели попасть в следующие популярные сборки Linux, выпущенные в марте:
Дрянь не была включена в стабильные дистрибутивы: Debian Stable, RHEL, Suse Linux Enterprise.
Arch Linux пишут, что хотя в образах были уязвимые пакеты, из-за специфики линковки openssh и liblzma в Arch бэкдор не может работать. Примерно то же самое сказано про Fedora 40 — вредоносные пакеты были, но троян не работает.
Для сомневающихся уже написано Yara-правило.
Тем, кто успел установить затрояненную версию, рекомендовано откатиться на более старые сборки и провести полноценное реагирование на инцидент.
Детективность истории состоит в том, что операция по внедрению длилась два года и включала в себя социальную инженерию, вытеснение предыдущего мейнтейнера и фейковые аккаунты разработчиков для продавливания нужных решений как в самой библиотеке XZ, так и в дистрибутивах, куда она входит.
Надежды на то, что разработчики ПО, использующего компоненты open source, значительно ужесточат «фейс-контроль» этих компонентов, у редакции, честно говоря, нет. Поэтому будем надеяться, что ИБ в крупных организациях повсеместно наладит комплексный мониторинг и детектирования аномалий в масштабе всей ИТ-инфраструктуры.
#новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Порвали два трояна
CISO_MindMap_2024-2.png
2.7 MB
Подоспело ежегодное обновление полезной шпаргалки CISO Mindmap.
Полная версия приложена к этому посту, а если совсем по верхам, то ИБ-лидерам рекомендовано сосредоточиться на таких улучшениях в подопечных организациях:
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1