Forwarded from SecAtor
Как одна маленькая ошибка может подорвать безопасность целой индустрии?
А очень просто поскольку в популярном клиенте SSH и Telnet в версиях PuTTY с 0.68 по 0.80, выпущенных до обновления 0.81, была найдена критическая уязвимость (CVE-2024-31497), позволяющая атакующему восстановить секретный ключ пользователя.
Эта уязвимость особенно опасна в сценариях, когда злоумышленник может читать сообщения, подписанные с помощью PuTTY или Pageant. Набор подписанных сообщений может быть доступен публично, например, если они хранятся на общедоступном Git-сервисе, использующем SSH для подписи коммитов.
Это означает, что злоумышленник может уже иметь достаточно информации для компрометации частного ключа жертвы, даже если уязвимые версии PuTTY больше не используются.
Ахтунг, собственно, кроется в том, что после компрометации ключа злоумышленник может провести атаки на цепочку поставок программного обеспечения, хранящегося в Git.
Более того, существует второй, независимый сценарий, который включает в себя злоумышленника, управляющего SSH-сервером, к которому жертва аутентифицируется (для удаленного входа или копирования файлов), даже если этот сервер не полностью доверен жертвой.
Оператор такого сервера может вывести частный ключ жертвы и использовать его для несанкционированного доступа к другим сервисам. Если эти сервисы включают в себя Git-сервисы, то злоумышленник снова может провести атаки на цепочку поставок.
Уязвимость затрагивает не только PuTTY, но и другие популярные инструменты, такие как FileZilla до версии 3.67.0, WinSCP до версии 6.3.3, TortoiseGit до версии 2.15.0.1 и TortoiseSVN до версии 1.14.6.
Предупрежден, значит обновлен. Увы не тот случай, когда с обновлением можно повременить.
А очень просто поскольку в популярном клиенте SSH и Telnet в версиях PuTTY с 0.68 по 0.80, выпущенных до обновления 0.81, была найдена критическая уязвимость (CVE-2024-31497), позволяющая атакующему восстановить секретный ключ пользователя.
Эта уязвимость особенно опасна в сценариях, когда злоумышленник может читать сообщения, подписанные с помощью PuTTY или Pageant. Набор подписанных сообщений может быть доступен публично, например, если они хранятся на общедоступном Git-сервисе, использующем SSH для подписи коммитов.
Это означает, что злоумышленник может уже иметь достаточно информации для компрометации частного ключа жертвы, даже если уязвимые версии PuTTY больше не используются.
Ахтунг, собственно, кроется в том, что после компрометации ключа злоумышленник может провести атаки на цепочку поставок программного обеспечения, хранящегося в Git.
Более того, существует второй, независимый сценарий, который включает в себя злоумышленника, управляющего SSH-сервером, к которому жертва аутентифицируется (для удаленного входа или копирования файлов), даже если этот сервер не полностью доверен жертвой.
Оператор такого сервера может вывести частный ключ жертвы и использовать его для несанкционированного доступа к другим сервисам. Если эти сервисы включают в себя Git-сервисы, то злоумышленник снова может провести атаки на цепочку поставок.
Уязвимость затрагивает не только PuTTY, но и другие популярные инструменты, такие как FileZilla до версии 3.67.0, WinSCP до версии 6.3.3, TortoiseGit до версии 2.15.0.1 и TortoiseSVN до версии 1.14.6.
Предупрежден, значит обновлен. Увы не тот случай, когда с обновлением можно повременить.
👍1
https://www.oreilly.com/live-events/cybersecurity-risk-management-with-the-nist-20-framework/0636920081497/
Учебный курс 1-2 мая про NIST CSF 2.0. При регистрации - 10 дневный триал на хорошей платформе с множеством актуальных книг и курсов (на английском).
Учебный курс 1-2 мая про NIST CSF 2.0. При регистрации - 10 дневный триал на хорошей платформе с множеством актуальных книг и курсов (на английском).
Oreilly
Cybersecurity Risk Management with the NIST 2.0 Framework
* How the new NIST 2.0 cybersecurity framework reflects the ever-changing cybersecurity risk management challenges
* How to better manage cybersecurity risks to your organization’s systems, assets, data, and capabilities
* Approaches for monitorin...
* How to better manage cybersecurity risks to your organization’s systems, assets, data, and capabilities
* Approaches for monitorin...
Forwarded from Листок бюрократической защиты информации
📣 Порядок сертификации процессов безопасной разработки ПО СрЗИ
Официально опубликован приказ ФСТЭК России от 01.12.2023 № 240 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации».
Порядок вступает в силу с 01.06.2024.
Официально опубликован приказ ФСТЭК России от 01.12.2023 № 240 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации».
Порядок вступает в силу с 01.06.2024.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from DevSecOps Talks
Semgrep Academy!
Всем привет!
Многие производители решений нет-нет, да и сделают собственные программы обучения. Мы уже писали про такие примеры от SNYK, Chainguard, Isovalent, Aqua Security и других.
Semgrep не является исключением! С его учебными курсами можно ознакомиться в Академии.
На текущий момент доступен небольшой набор:
🍭 Application Security Foundations Level 1
🍭 Application Security Foundations Level 2
🍭 Application Security Foundations Level 3
🍭 Principles of Functional Programming
В среднем на курс приходится около 3,5 часов видео записей. С программами можно ознакомиться, перейдя по ссылке Академии, никакая регистрация не требуется. И, что самое приятное – Enroll for free!
Всем привет!
Многие производители решений нет-нет, да и сделают собственные программы обучения. Мы уже писали про такие примеры от SNYK, Chainguard, Isovalent, Aqua Security и других.
Semgrep не является исключением! С его учебными курсами можно ознакомиться в Академии.
На текущий момент доступен небольшой набор:
🍭 Application Security Foundations Level 1
🍭 Application Security Foundations Level 2
🍭 Application Security Foundations Level 3
🍭 Principles of Functional Programming
В среднем на курс приходится около 3,5 часов видео записей. С программами можно ознакомиться, перейдя по ссылке Академии, никакая регистрация не требуется. И, что самое приятное – Enroll for free!
👍2
Forwarded from Егор Погорелко
Коллеги, всем доброго дня!
22 апреля в МГТУ им. Н.Э. Баумана💛 состоится четвертый тематический день "Интерпретаторы" уникального цикла лекций "Школа фундаментальных технологий разработки безопасного ПО".
Программа дня:
🔵 с 14:00 до 16:00 Александр Дроздов, инженер по РБПО и информационной безопасности «Axiom JDK» выступит с лекций "Java VM - внутренний мир виртуальной машины, проблемы JIT компиляции и сборки мусора, организация процесса безопасной разработки ПО"
🔵 с 16:00 до 16:30 кофе-брейк
🔵 с 16:30 до 18:30 Никита Соболев, независимый open-source разработчик выступят с лекций "Python - история создания, основные идеи и механизмы"
Всего же "Школа фундаментальных технологий РБПО" объединяет 12 лекций (по две в день), зарегистрироваться и ознакомиться с полной программой и спикерами курса можно на сайте и в телеграм-боте✈️ .
🗓 Когда? 22.04 (понедельник) с 14:00 до 18:30
📍 Где? Читальный зал МГТУ им. Н.Э. Баумана (Главный учебный корпус, ауд. 345), 2-я Бауманская улица, 5с3
‼️ Регистрация для участия необходима!
22 апреля в МГТУ им. Н.Э. Баумана
Программа дня:
Всего же "Школа фундаментальных технологий РБПО" объединяет 12 лекций (по две в день), зарегистрироваться и ознакомиться с полной программой и спикерами курса можно на сайте и в телеграм-боте
🗓 Когда? 22.04 (понедельник) с 14:00 до 18:30
📍 Где? Читальный зал МГТУ им. Н.Э. Баумана (Главный учебный корпус, ауд. 345), 2-я Бауманская улица, 5с3
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from Порвали два трояна
Cisco опубликовала свой
Можно спорить о том, какой вес исследователи назначили каждой из категорий, но общие результаты налицо — 60% компаний относятся к категории formative, то есть защитные решения из соответствующей категории в них не внедрены полноценно, а еще 11% только задумываются о внедрении 😒.
В наименьшей степени внедрены средства управления identity (18% прогрессивных и зрелых внедрений) и средства защиты облачных нагрузок (19%).
Впрочем, больше инструментов защиты не обязательно дают лучшую защиту. В 67% компаний используется более 10 решений для обеспечения ИБ, а 80% признают, что изобилие инструментов снижает эффективность их команды.
Выход видится в платформенном подходе и применении комплексных решений одного вендора, а также широком внедрении автоматизации.
Любопытно, но 80% опрошенных фирм считает себя достаточно киберустойчивыми. Исследователи тактично называют это «несоответствием с быстро эволюционирующим ландшафтом киберугроз». Заодно приводят оценку стоимости инцидента — в среднем от $300 тыс., а 12% — более $1 млн.
#советы #статистика @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Солдатов в Телеграм
11 апреля состоялся вебинар по мотивам работы MDR и DFIR в 2023. Слайды к вебинару не повторяли полностью материал из отчета MDR (отчет - общемировой, а в вебинаре я сравнивал РФ\СНГ с Миром, а также 2023 с 2022), поэтому, думаю, запись может быть интересной. Но сейчас не об этом.
Был один интересный вопрос от зрителей о том, наблюдается ли какая-либо сезонность в инцидентах. Мой ответ был, что да, наблюдается, и что начиная с 2024, Бог даст, динамику инцидентов по месяцам мы будем включать в отчет. Примером такой динамики может служить диаграмма во вложении по данным инцидентов MDR в 2023, не вошедшая в отчет. Числа - это удельное количество инцидентов, а цветом показаны сектора экономики. Прошлогоднюю сезонность несложно заметить: летом и зимой атакующие "отдыхают", в марте выходят с зимних "каникул", а с 1 сентября, как положено, - "в школу".
Был один интересный вопрос от зрителей о том, наблюдается ли какая-либо сезонность в инцидентах. Мой ответ был, что да, наблюдается, и что начиная с 2024, Бог даст, динамику инцидентов по месяцам мы будем включать в отчет. Примером такой динамики может служить диаграмма во вложении по данным инцидентов MDR в 2023, не вошедшая в отчет. Числа - это удельное количество инцидентов, а цветом показаны сектора экономики. Прошлогоднюю сезонность несложно заметить: летом и зимой атакующие "отдыхают", в марте выходят с зимних "каникул", а с 1 сентября, как положено, - "в школу".
Forwarded from Hacker News
GPT-4 может эксплуатировать уязвимости, изучив связанные бюллетени безопасности
https://xakep.ru/2024/04/18/llm-vs-cves/
https://xakep.ru/2024/04/18/llm-vs-cves/
XAKEP
GPT-4 может эксплуатировать уязвимости, изучив связанные бюллетени безопасности
Ученые из Иллинойского университета в Урбане-Шампейне (UIUC) пришли к выводу, что большая языковая модель (LLM) GPT-4 компании OpenAI может успешно эксплуатировать реальные уязвимости, если предварительно «прочтет» бюллетень безопасности об этой CVE, в котором…
Forwarded from Нецифровая экономика (Dasha Sapozhkova)
Безопасность данных в компании обеспечивают далеко не только специалисты ИБ. Причиной утечки может быть любой рядовой менеджер, установивший на компьютер вредоносное ПО. Тут важны комплексные инициативы.
На конференции Data Fusion вице-президент и директор департамента информационной безопасности Тинькофф Дмитрий Гадарь рассказал об одном из вариантов решения проблемы. Банк развернул у себя внутри комплексную программу поиска уязвимостей DataGuard на все 90 тысяч человек.
Каждый сотрудник может сообщить о найденной уязвимости или ошибке и получить вознаграждение в виде внутренней валюты Тинька и потратить их во внутреннем магазине на технику, гаджеты и мерч. Пул жалоб, за который можно получить вознаграждение, максимально широкий и связан далеко не только с IT: рискованные бизнес-процессы, проблемы с разграничением доступа к данным, передача избыточных данных.
У компании это уже не первая инициатива подобного рода:
➖ есть привычные для рынка программы bug bounty, в рамках которых Тинькофф выплатил «белым хакерам» более 25 млн рублей.
➖ проходят соревнования Month of Bugs по поиску уязвимостей за вознаграждение, а также чемпионат по спортивному хакингу среди сотрудников CTF.
Понимание каждым сотрудником важности защиты персональных данных и данных организаций — ключевое звено в цепочке информационной безопасности. Такой подход позволяет предотвратить потенциальные угрозы и создает прочную основу для доверия клиентов, укрепляя репутацию компании как надежного хранителя данных.
На конференции Data Fusion вице-президент и директор департамента информационной безопасности Тинькофф Дмитрий Гадарь рассказал об одном из вариантов решения проблемы. Банк развернул у себя внутри комплексную программу поиска уязвимостей DataGuard на все 90 тысяч человек.
Каждый сотрудник может сообщить о найденной уязвимости или ошибке и получить вознаграждение в виде внутренней валюты Тинька и потратить их во внутреннем магазине на технику, гаджеты и мерч. Пул жалоб, за который можно получить вознаграждение, максимально широкий и связан далеко не только с IT: рискованные бизнес-процессы, проблемы с разграничением доступа к данным, передача избыточных данных.
У компании это уже не первая инициатива подобного рода:
➖ есть привычные для рынка программы bug bounty, в рамках которых Тинькофф выплатил «белым хакерам» более 25 млн рублей.
➖ проходят соревнования Month of Bugs по поиску уязвимостей за вознаграждение, а также чемпионат по спортивному хакингу среди сотрудников CTF.
Понимание каждым сотрудником важности защиты персональных данных и данных организаций — ключевое звено в цепочке информационной безопасности. Такой подход позволяет предотвратить потенциальные угрозы и создает прочную основу для доверия клиентов, укрепляя репутацию компании как надежного хранителя данных.
Известия
«Тинькофф» наградит сотрудников за найденные уязвимости в защите данных
«Тинькофф» решил ввести вознаграждения для сотрудников, обнаруживших проблемы в области защиты данных в компании. Об этом рассказал вице-президент, директор департамента информационной безопасности «Тинькофф» Дмитрий Гадарь.
Forwarded from Евгениально
И вновь ИИ 🤖
Мой недавний опрос «Кому выгоднее развитие ИИ — хакерам или безопасникам» показал, что большинство из вас (62%) считают, что это выгоднее атакующим. Понимаю эту точку зрения, при этом верю, что сторона защиты сможет использовать этот инструмент более умело. Как минимум, благодаря тому факту, что мы работаем в командах и регулярно обмениваемся лучшими практиками 🤝
Мне и коллегам в МТС RED стало интересно, насколько восстребованы знания ИИ на рынке труда в ИБ, и мы провели совместное исследование с сервисом HeadHunter.
Оказалось, что в 2023 году в России спрос на ИБ-специалистов, которые умеют работать с искусственным интеллектом, вырос на 30% по сравнению с предыдущим годом. А в этом году тренд продолжается — по итогам первого квартала 2024 навыки работы с ИИ стали требоваться в два раза чаще, чем в начале прошлого года.
Важно учесть, что в кибербезе чаще всего требуются именно специалисты, которые создают и обучают ИИ, а не просто используют готовые программы.
💬 Мы наблюдаем повсеместное внедрение ИИ в бизнес-процессы. Технологии машинного обучения становятся фокусом не только ИТ, но и ИБ, а значит, потребность в экспертах по кибербезопасности, которые не только используют ИИ в целях автоматизации, но также умеют искать уязвимости в системах машинного обучения, будет только увеличиваться.
Мой недавний опрос «Кому выгоднее развитие ИИ — хакерам или безопасникам» показал, что большинство из вас (62%) считают, что это выгоднее атакующим. Понимаю эту точку зрения, при этом верю, что сторона защиты сможет использовать этот инструмент более умело. Как минимум, благодаря тому факту, что мы работаем в командах и регулярно обмениваемся лучшими практиками 🤝
Мне и коллегам в МТС RED стало интересно, насколько восстребованы знания ИИ на рынке труда в ИБ, и мы провели совместное исследование с сервисом HeadHunter.
Оказалось, что в 2023 году в России спрос на ИБ-специалистов, которые умеют работать с искусственным интеллектом, вырос на 30% по сравнению с предыдущим годом. А в этом году тренд продолжается — по итогам первого квартала 2024 навыки работы с ИИ стали требоваться в два раза чаще, чем в начале прошлого года.
Важно учесть, что в кибербезе чаще всего требуются именно специалисты, которые создают и обучают ИИ, а не просто используют готовые программы.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from SecAtor
Изобретательности киберподполья не перестаешь удивляться.
Умельцы придумали и уже несколько месяцев используют фишку GitHub для распространения вредоносного ПО с использованием URL-адресов, связанных с репозиториями Microsoft и других известных компаний.
Злоумышленники загружают вредоносный файл в качестве комментария к проблеме в официальном проекте GitHub, но не отправляют отчет.
Оставляя комментарий, пользователь GitHub может прикрепить файл, который будет загружен в CDN GitHub и связан с соответствующим проектом, используя уникальный URL-адрес в следующем формате: https://www.github[.]com/{project_user}/{repo_name}/files/{file_id}/{file_name}.
Как в случае с обнаруженной McAfee кампанией с загрузчиком LUA, распространяемом в привязи к репозиториям Microsoft GitHub с URL-адресами:
- https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip;
- https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip.
При этом проблема не станет активной и будет не видна владельцу проекта, но вредоносный файл остается на серверах GitHub, а URL-адреса загрузки продолжат работать. Это позволяет злоумышленникам прикреплять свои вредоносные программы к любому хранилищу без их ведома.
Такой условно привязанный к официальному репозиторию URL-адрес способен ввести пользователя в заблуждение относительно принадлежности файла конкретному проекту, а избавиться от него также будет непросто.
Даже если компания все же узнает, что ее репозитории используются для распространения вредоносного ПО, то не сможет найти никаких настроек, позволяющих управлять прикрепленными к проектам файлами.
Более того, можете защитить учетную запись GitHub от такого злоупотребления можно будет только отключив комментарии, но это уже может существенно повлиять на развитие проекта.
Если в случае с Microsoft добиться удаления вредоносного ПО удалось, то в аналогичных случаях с httprouter и Aimmy - вредоносное ПО по-прежнему доступно.
Умельцы придумали и уже несколько месяцев используют фишку GitHub для распространения вредоносного ПО с использованием URL-адресов, связанных с репозиториями Microsoft и других известных компаний.
Злоумышленники загружают вредоносный файл в качестве комментария к проблеме в официальном проекте GitHub, но не отправляют отчет.
Оставляя комментарий, пользователь GitHub может прикрепить файл, который будет загружен в CDN GitHub и связан с соответствующим проектом, используя уникальный URL-адрес в следующем формате: https://www.github[.]com/{project_user}/{repo_name}/files/{file_id}/{file_name}.
Как в случае с обнаруженной McAfee кампанией с загрузчиком LUA, распространяемом в привязи к репозиториям Microsoft GitHub с URL-адресами:
- https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip;
- https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip.
При этом проблема не станет активной и будет не видна владельцу проекта, но вредоносный файл остается на серверах GitHub, а URL-адреса загрузки продолжат работать. Это позволяет злоумышленникам прикреплять свои вредоносные программы к любому хранилищу без их ведома.
Такой условно привязанный к официальному репозиторию URL-адрес способен ввести пользователя в заблуждение относительно принадлежности файла конкретному проекту, а избавиться от него также будет непросто.
Даже если компания все же узнает, что ее репозитории используются для распространения вредоносного ПО, то не сможет найти никаких настроек, позволяющих управлять прикрепленными к проектам файлами.
Более того, можете защитить учетную запись GitHub от такого злоупотребления можно будет только отключив комментарии, но это уже может существенно повлиять на развитие проекта.
Если в случае с Microsoft добиться удаления вредоносного ПО удалось, то в аналогичных случаях с httprouter и Aimmy - вредоносное ПО по-прежнему доступно.
OALABS Research
GitHub Bug Used to Infect Game Hackers With Lua Malware
Triaging this elaborate infection chain
👍3
Forwarded from Порвали два трояна
Злоумышленники активно отслеживают ошибки в DNS-инфраструктуре уважаемых компаний:
Оперативно выкупая освободившиеся домены и пользуясь ошибками конфигурации DNS, они по сути получают частичный доступ к легитимному основному домену атакованной компании. Это позволяет размещать вредоносные кампании на поддоменах легитимных организаций, рассылать спам с доменов с хорошей репутацией и вести другие теневые операции.
Подробный разбор каждой механики и советы по защите ИТ-инфраструктуры читайте в нашем посте на блоге.
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Секьюрно
23 апреля вышло плановое мажорное обновление матрицы MITRE ATT&CK v15 (v14.1 - v15.0). Это уже третье мажорное обновление проекта с апреля 2023 (v 13 – апрель, v14 - октябрь). Пару дней до этого также был обновлен ATT&CK Roadmap на 2024 год
В новой версии авторы проекта сделали упор на:
Что интересного:
🔹 Поскольку злоумышленники все чаще используют инструменты искусственного интеллекта (LLM) для своих задач: разработка полезной нагрузки, генерация фишинговых писем, исследование уязвимостей, автоматизация отдельных технических задач и другие задачи была добавлена техника: T1588.007: Obtain Capabilities: Artificial Intelligence
🔹 Добавлена техника атак на периферийные и сетевые устройства с выходом в сеть Интернет, компрометация которых направлена не на получение первоначального доступа, а для дальнейшего таргетинга
🔹 Обновлен раздел Campaigns, описаны новые атаки на промышленные объекты: Triton, Unitronics и другие.
Сухая статистика:
▪️В Enterprise добавлено 12 новых техник, внесены изменения в 150
▪️В Mobile добавлено 5 новых техник, изменены 3
▪️И в ICS новые 2 техники и изменены 3
Полный лог изменений в том числе по группировкам, ПО, методам смягчения доступен в ATT&CK SYNC, release notes и официальной странице проекта не medium. Приятного чтива на майские!
#mitre
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
ATT&CK 2024 Roadmap
Enhancing usability, expanding scope, optimizing defenses