Forwarded from Кибервойна
Российский аналог Have I Been Pwned от НКЦКИ
На сайте safe-surf ru запущен новый сервис по поиску себя в утёкших базах данных. Можно искать по электронной почте, логину, номеру телефона, паролю. В результатах поиска показываются совпадения в базах с указанием названия сервиса и даты утечки.
По сути, это выглядит, как сервис Have I Been Pwned. Сообщается, что сами данные не хранятся на сайте, а история запросов не сохраняется.
Сервису не помешало бы более детальное описание, откуда берутся данные и как они хранятся (по аналогии с HIBP). Пока это не очень понятно, можно предположить, что база утечек формируется из всех слитых баз. Сообщается: «Мы получаем данные об утечках из публично доступных источников». Данные обновляются несколько раз в неделю.
На сайте safe-surf ru запущен новый сервис по поиску себя в утёкших базах данных. Можно искать по электронной почте, логину, номеру телефона, паролю. В результатах поиска показываются совпадения в базах с указанием названия сервиса и даты утечки.
По сути, это выглядит, как сервис Have I Been Pwned. Сообщается, что сами данные не хранятся на сайте, а история запросов не сохраняется.
Сервису не помешало бы более детальное описание, откуда берутся данные и как они хранятся (по аналогии с HIBP). Пока это не очень понятно, можно предположить, что база утечек формируется из всех слитых баз. Сообщается: «Мы получаем данные об утечках из публично доступных источников». Данные обновляются несколько раз в неделю.
Forwarded from DevSecOps Talks
Attacking Supply Chain
Всем привет!
По ссылке доступна объемная статья (~ 12 минут), посвященная атакам на цепочку поставок программного обеспечения.
Рассматриваются такие сценарии, как:
🍭 Code Injection via Git Repository
🍭 Infrastructure as Code Injection
🍭 Supply Chain Supplier: Ansible Galaxy, Docker Hub
🍭 Compromised build artifacts и не только
Для всех рассматриваемых атак приведены примеры, код и параметры конфигураций. Для некоторых есть раздел «Real Case Scenario», который описывает как это было реализовано
P.S. Важно помнить, что для многих примеров у злоумышленника должны быть права например, на изменение файлов в Repo. Это лишний раз показывает важность корректной настройки окружения разработки в соответствии с лучшими ИБ-практиками
Всем привет!
По ссылке доступна объемная статья (~ 12 минут), посвященная атакам на цепочку поставок программного обеспечения.
Рассматриваются такие сценарии, как:
🍭 Code Injection via Git Repository
🍭 Infrastructure as Code Injection
🍭 Supply Chain Supplier: Ansible Galaxy, Docker Hub
🍭 Compromised build artifacts и не только
Для всех рассматриваемых атак приведены примеры, код и параметры конфигураций. Для некоторых есть раздел «Real Case Scenario», который описывает как это было реализовано
P.S. Важно помнить, что для многих примеров у злоумышленника должны быть права например, на изменение файлов в Repo. Это лишний раз показывает важность корректной настройки окружения разработки в соответствии с лучшими ИБ-практиками
Devsecopsguides
Attacking Supply Chain
In today's interconnected and rapidly evolving technological landscape, DevOps practices have revolutionized software development and deployment, emphasizing collaboration, automation, and continuous integration/continuous deployment (CI/CD).
👍1
"🏓 Интересный инструмент для ИБ-команд в телеком-компаниях. Рабочая группа по обеспечению безопасности Ассоциации GSM выпустила MoTIF — фреймворк, описывающий TTP злоумышленников при атаке на инфраструктуру 2G/3G/4G/5G. Охвачены не только специфические протоколы и инструменты телеком-операторов, но и обычные с учётом особенностей применения в телекоме. Авторы не стали делать вид, что ATT&CK и FiGHT не существуют в природе, а постарались расширить эти фреймворки и провести параллели межу ATT&CK и MoTIF, там где это уместно. Доступны определения для STIX."
источник новости https://news.1rj.ru/str/kasperskyb2b
источник новости https://news.1rj.ru/str/kasperskyb2b
Forwarded from Пост Лукацкого
Databricks выпустила очень неплохой фреймворк по безопасности искусственного интеллекта (DASF), где расписала 12 основных компонентов любой системы на базе ИИ, 55 рисков для них и меры защиты для каждого из выявленных рисков 🧠
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
Опубликовали записи с CISO Forum2024 https://www.youtube.com/@TrinityEventsGroup/videos
Forwarded from Московские новости
🚇В Московском метро запустили новый тематический поезд — он посвящён кибербезопасности
По дороге на работу можно узнать о правилах поведения в Сети. А ещё о том, как создать надежный пароль, чем отличаются настоящие сайты и письма от мошеннических, почему важно вовремя обновлять программы на устройствах.
Состав будет курсировать полгода на Сокольнической линии
По дороге на работу можно узнать о правилах поведения в Сети. А ещё о том, как создать надежный пароль, чем отличаются настоящие сайты и письма от мошеннических, почему важно вовремя обновлять программы на устройствах.
Состав будет курсировать полгода на Сокольнической линии
👍5
Forwarded from SecAtor
Как одна маленькая ошибка может подорвать безопасность целой индустрии?
А очень просто поскольку в популярном клиенте SSH и Telnet в версиях PuTTY с 0.68 по 0.80, выпущенных до обновления 0.81, была найдена критическая уязвимость (CVE-2024-31497), позволяющая атакующему восстановить секретный ключ пользователя.
Эта уязвимость особенно опасна в сценариях, когда злоумышленник может читать сообщения, подписанные с помощью PuTTY или Pageant. Набор подписанных сообщений может быть доступен публично, например, если они хранятся на общедоступном Git-сервисе, использующем SSH для подписи коммитов.
Это означает, что злоумышленник может уже иметь достаточно информации для компрометации частного ключа жертвы, даже если уязвимые версии PuTTY больше не используются.
Ахтунг, собственно, кроется в том, что после компрометации ключа злоумышленник может провести атаки на цепочку поставок программного обеспечения, хранящегося в Git.
Более того, существует второй, независимый сценарий, который включает в себя злоумышленника, управляющего SSH-сервером, к которому жертва аутентифицируется (для удаленного входа или копирования файлов), даже если этот сервер не полностью доверен жертвой.
Оператор такого сервера может вывести частный ключ жертвы и использовать его для несанкционированного доступа к другим сервисам. Если эти сервисы включают в себя Git-сервисы, то злоумышленник снова может провести атаки на цепочку поставок.
Уязвимость затрагивает не только PuTTY, но и другие популярные инструменты, такие как FileZilla до версии 3.67.0, WinSCP до версии 6.3.3, TortoiseGit до версии 2.15.0.1 и TortoiseSVN до версии 1.14.6.
Предупрежден, значит обновлен. Увы не тот случай, когда с обновлением можно повременить.
А очень просто поскольку в популярном клиенте SSH и Telnet в версиях PuTTY с 0.68 по 0.80, выпущенных до обновления 0.81, была найдена критическая уязвимость (CVE-2024-31497), позволяющая атакующему восстановить секретный ключ пользователя.
Эта уязвимость особенно опасна в сценариях, когда злоумышленник может читать сообщения, подписанные с помощью PuTTY или Pageant. Набор подписанных сообщений может быть доступен публично, например, если они хранятся на общедоступном Git-сервисе, использующем SSH для подписи коммитов.
Это означает, что злоумышленник может уже иметь достаточно информации для компрометации частного ключа жертвы, даже если уязвимые версии PuTTY больше не используются.
Ахтунг, собственно, кроется в том, что после компрометации ключа злоумышленник может провести атаки на цепочку поставок программного обеспечения, хранящегося в Git.
Более того, существует второй, независимый сценарий, который включает в себя злоумышленника, управляющего SSH-сервером, к которому жертва аутентифицируется (для удаленного входа или копирования файлов), даже если этот сервер не полностью доверен жертвой.
Оператор такого сервера может вывести частный ключ жертвы и использовать его для несанкционированного доступа к другим сервисам. Если эти сервисы включают в себя Git-сервисы, то злоумышленник снова может провести атаки на цепочку поставок.
Уязвимость затрагивает не только PuTTY, но и другие популярные инструменты, такие как FileZilla до версии 3.67.0, WinSCP до версии 6.3.3, TortoiseGit до версии 2.15.0.1 и TortoiseSVN до версии 1.14.6.
Предупрежден, значит обновлен. Увы не тот случай, когда с обновлением можно повременить.
👍1
https://www.oreilly.com/live-events/cybersecurity-risk-management-with-the-nist-20-framework/0636920081497/
Учебный курс 1-2 мая про NIST CSF 2.0. При регистрации - 10 дневный триал на хорошей платформе с множеством актуальных книг и курсов (на английском).
Учебный курс 1-2 мая про NIST CSF 2.0. При регистрации - 10 дневный триал на хорошей платформе с множеством актуальных книг и курсов (на английском).
Oreilly
Cybersecurity Risk Management with the NIST 2.0 Framework
* How the new NIST 2.0 cybersecurity framework reflects the ever-changing cybersecurity risk management challenges
* How to better manage cybersecurity risks to your organization’s systems, assets, data, and capabilities
* Approaches for monitorin...
* How to better manage cybersecurity risks to your organization’s systems, assets, data, and capabilities
* Approaches for monitorin...
Forwarded from Листок бюрократической защиты информации
📣 Порядок сертификации процессов безопасной разработки ПО СрЗИ
Официально опубликован приказ ФСТЭК России от 01.12.2023 № 240 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации».
Порядок вступает в силу с 01.06.2024.
Официально опубликован приказ ФСТЭК России от 01.12.2023 № 240 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации».
Порядок вступает в силу с 01.06.2024.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from DevSecOps Talks
Semgrep Academy!
Всем привет!
Многие производители решений нет-нет, да и сделают собственные программы обучения. Мы уже писали про такие примеры от SNYK, Chainguard, Isovalent, Aqua Security и других.
Semgrep не является исключением! С его учебными курсами можно ознакомиться в Академии.
На текущий момент доступен небольшой набор:
🍭 Application Security Foundations Level 1
🍭 Application Security Foundations Level 2
🍭 Application Security Foundations Level 3
🍭 Principles of Functional Programming
В среднем на курс приходится около 3,5 часов видео записей. С программами можно ознакомиться, перейдя по ссылке Академии, никакая регистрация не требуется. И, что самое приятное – Enroll for free!
Всем привет!
Многие производители решений нет-нет, да и сделают собственные программы обучения. Мы уже писали про такие примеры от SNYK, Chainguard, Isovalent, Aqua Security и других.
Semgrep не является исключением! С его учебными курсами можно ознакомиться в Академии.
На текущий момент доступен небольшой набор:
🍭 Application Security Foundations Level 1
🍭 Application Security Foundations Level 2
🍭 Application Security Foundations Level 3
🍭 Principles of Functional Programming
В среднем на курс приходится около 3,5 часов видео записей. С программами можно ознакомиться, перейдя по ссылке Академии, никакая регистрация не требуется. И, что самое приятное – Enroll for free!
👍2