Вакансия Junior Security Researcher от Veeam:
https://careers.veeam.com/vacancies/quality-assurance/junior_security_researcher-743999775493509
https://careers.veeam.com/vacancies/quality-assurance/junior_security_researcher-743999775493509
Veeam Software
Career Opportunities at Veeam Software
Learn more about what makes us veeamazing, which opportunities you have at Veeam Software and how to successfully apply.
.NET 5, Source Generators, and Supply Chain Attacks
Source Generators is a powerful .NET feature that makes it easier to develop robust applications that perform tedious tasks automatically freeing developers from writing boilerplate code.
Its flexibility, unfortunately, allows adversaries to attack applications and enterprises in novel ways which are difficult to protect against without scrutinizing dependencies source code. In order to prevent similar attacks, only defense-in-depth solutions or a combination of the whole spectrum of security controls will be able to reduce risk to an acceptable level.
https://www.veracode.com/blog/secure-development/net-5-source-generators-and-supply-chain-attacks
Source Generators is a powerful .NET feature that makes it easier to develop robust applications that perform tedious tasks automatically freeing developers from writing boilerplate code.
Its flexibility, unfortunately, allows adversaries to attack applications and enterprises in novel ways which are difficult to protect against without scrutinizing dependencies source code. In order to prevent similar attacks, only defense-in-depth solutions or a combination of the whole spectrum of security controls will be able to reduce risk to an acceptable level.
https://www.veracode.com/blog/secure-development/net-5-source-generators-and-supply-chain-attacks
Veracode
.NET 5, Source Generators, and Supply Chain Attacks | Veracode
IDEs and build infrastructure are being a target of various threat actors since at least 2015 when XcodeGhost has been discovered - https://en.wikipedia.org/wiki/XcodeGhost - malware-ridden Apple Xcode IDE that enabled attackers to plant malware in iOS applications…
Безопасная разработка: как жить в цифре, писать много кода и не стать жертвой хакеров
Участники пресс-клуба расскажут о трендовых угрозах и примерах кибератак, виной которым послужили бреши в исходном коде ПО. Мы подискутируем о том, нужна ли компаниям безопасная разработка, как эксперты оценивают степень проникновения этого подхода в российский бизнес и какие результаты уже достигнуты. Отдельной темой беседы станет обсуждение элементов DevSecOps и SSDL1: не только в плане технологий, но и культуры разработки, подходов и принципов.
https://youtu.be/Txa22taohEw
Участники пресс-клуба расскажут о трендовых угрозах и примерах кибератак, виной которым послужили бреши в исходном коде ПО. Мы подискутируем о том, нужна ли компаниям безопасная разработка, как эксперты оценивают степень проникновения этого подхода в российский бизнес и какие результаты уже достигнуты. Отдельной темой беседы станет обсуждение элементов DevSecOps и SSDL1: не только в плане технологий, но и культуры разработки, подходов и принципов.
https://youtu.be/Txa22taohEw
YouTube
Безопасная разработка: как жить в цифре, писать много кода и не стать жертвой хакеров
Друзья, мы продолжаем встречи Positive Tech Press Club, на которых обсуждаем эволюцию угроз и технологий информационной безопасности. Будем рады видеть вас на очередном мероприятии, в этот раз посвященном теме уязвимостей и безопасности исходного кода.
Участники…
Участники…
Очевидная математика протокола Диффи-Хеллмана
Обычно, протокол Диффи-Хеллмана (DH) описывают на примере вычетов, то есть, арифметики остатков. Это так называемый классический вариант реализации протокола, который тоже используется на практике. При этом, протокол успешно обобщается на другие математические структуры, лишь бы они обладали некоторыми специальными свойствами.
https://dxdt.ru/2021/10/11/9117/
Обычно, протокол Диффи-Хеллмана (DH) описывают на примере вычетов, то есть, арифметики остатков. Это так называемый классический вариант реализации протокола, который тоже используется на практике. При этом, протокол успешно обобщается на другие математические структуры, лишь бы они обладали некоторыми специальными свойствами.
https://dxdt.ru/2021/10/11/9117/
Forwarded from SecAtor
Ученые из Кембриджского университета в Соединенном Королевстве раскрыли обнаруженный еще 25 июля вектор атаки Trojan Source, позволяющий внедрять уязвимости в исходный код программного обеспечения таким образом, чтобы рецензенты не могли их обнаружить, что создает угрозу популярному ПО и цепочкам поставок.
Trojan Source использует простой прием, который не требует модификации компилятора или прочих ухищрений, затрагивая C, C ++, C #, JavaScript, Java, Rust, Go и Python. Вся фишка состоит в использовании управляющих символов Unicode для изменения порядка токенов в исходном коде на уровне кодирования.
Как выяснилось, используя управляющие символы, встроенные в комментарии и строки, злоумышленник может переупорядочить исходный код, чтобы не меняя визуальной картинки изменить его логику таким образом, чтобы создать уязвимость, которую можно впоследствии поэксплуатировать.
Реализация Trojan Source происходит по двум сценариям: CVE-2021-42574 (или двунаправленная атака) и CVE-2021-42694 (гомоглифическая атака).
В первом случае применяются элементы управления Unicode для двунаправленного текста, чтобы определять направление, в котором отображается контент. К примеру, LRI и RLI. Двунаправленные (Bidi) элементы управления LRI и RLI являются невидимыми символами, и они не единственные. Вводя эти инструкции, компилятор может скомпилировать код, полностью отличный от того, что видит человек.
Внедряя символы переопределения Unicode Bidi в комментарии и строки, злоумышленник может создать синтаксически корректный исходный код на большинстве современных языков, для которого порядок отображения символов представляет собой логику, отличающуюся от реальной логики.
Второй вариант атаки основывается на применении гомоглифов, то есть разных символов, которые хоть и имеют одинаковое визуальное представление, но реализуют разный функционал. Человеческий глаз будет видеть обе функции идентичными, в то время как компилятор различает латинскую «H» и кириллическую «H» и обрабатывает код как имеющий две разные функции, поэтому результат разным.
Оказывается также, что символы Bidi сохраняются при копировании/вставке в большинстве браузеров, редакторов и операционных систем. Trojan Source работает практически во редакторах кода и веб-репозиториях (оцените сами ниже в таблице)
За свои изыскания научные деятели получили в среднем 2 246 долларов по bugbounty. На GitHub они предоставили PoC, которые демонстрируют, насколько серьезной угрозой может быть атака: тем более, что Trojan Source затрагивает почти все компьютерные языки, а патчи еще толком не выпущены, оставляя уязвимыми почти два десятка поставщиков программного обеспечения.
Trojan Source использует простой прием, который не требует модификации компилятора или прочих ухищрений, затрагивая C, C ++, C #, JavaScript, Java, Rust, Go и Python. Вся фишка состоит в использовании управляющих символов Unicode для изменения порядка токенов в исходном коде на уровне кодирования.
Как выяснилось, используя управляющие символы, встроенные в комментарии и строки, злоумышленник может переупорядочить исходный код, чтобы не меняя визуальной картинки изменить его логику таким образом, чтобы создать уязвимость, которую можно впоследствии поэксплуатировать.
Реализация Trojan Source происходит по двум сценариям: CVE-2021-42574 (или двунаправленная атака) и CVE-2021-42694 (гомоглифическая атака).
В первом случае применяются элементы управления Unicode для двунаправленного текста, чтобы определять направление, в котором отображается контент. К примеру, LRI и RLI. Двунаправленные (Bidi) элементы управления LRI и RLI являются невидимыми символами, и они не единственные. Вводя эти инструкции, компилятор может скомпилировать код, полностью отличный от того, что видит человек.
Внедряя символы переопределения Unicode Bidi в комментарии и строки, злоумышленник может создать синтаксически корректный исходный код на большинстве современных языков, для которого порядок отображения символов представляет собой логику, отличающуюся от реальной логики.
Второй вариант атаки основывается на применении гомоглифов, то есть разных символов, которые хоть и имеют одинаковое визуальное представление, но реализуют разный функционал. Человеческий глаз будет видеть обе функции идентичными, в то время как компилятор различает латинскую «H» и кириллическую «H» и обрабатывает код как имеющий две разные функции, поэтому результат разным.
Оказывается также, что символы Bidi сохраняются при копировании/вставке в большинстве браузеров, редакторов и операционных систем. Trojan Source работает практически во редакторах кода и веб-репозиториях (оцените сами ниже в таблице)
За свои изыскания научные деятели получили в среднем 2 246 долларов по bugbounty. На GitHub они предоставили PoC, которые демонстрируют, насколько серьезной угрозой может быть атака: тем более, что Trojan Source затрагивает почти все компьютерные языки, а патчи еще толком не выпущены, оставляя уязвимыми почти два десятка поставщиков программного обеспечения.
Secure software supply chain: why every link matters
The new threats in software development are not only related to the specific company itself. The whole software supply chain is a target for attackers and it is really important to make sure that we put all our effort into securing each link because if one fails, everything will be affected.
https://sysdig.com/blog/software-supply-chain-security/
The new threats in software development are not only related to the specific company itself. The whole software supply chain is a target for attackers and it is really important to make sure that we put all our effort into securing each link because if one fails, everything will be affected.
https://sysdig.com/blog/software-supply-chain-security/
Sysdig
Software supply chain attacks: why every link matters
It is impossible to secure everything, you have to focus on protecting each layer from software supply chain attacks.
Вакансия от Positive Technologies (PT Application Inspector)
Ищем C#-разработчиков на проект движка анализа кода для PT Application Inspector. Наукоёмкие задачи, компиляторные технологии, чуть-чуть аппсека и никакого кровавого энтерпрайза (весь проект представляет собой сетевое консольное приложение с некоторым количеством библиотек).
Более подробно: https://hh.ru/vacancy/43539774?from=employer
Ищем C#-разработчиков на проект движка анализа кода для PT Application Inspector. Наукоёмкие задачи, компиляторные технологии, чуть-чуть аппсека и никакого кровавого энтерпрайза (весь проект представляет собой сетевое консольное приложение с некоторым количеством библиотек).
Более подробно: https://hh.ru/vacancy/43539774?from=employer
spb.hh.ru
Вакансия C# разработчик (PT Application Inspector) в Санкт-Петербурге, работа в компании Positive Technologies (вакансия в архиве…
Зарплата: не указана. Санкт-Петербург. Требуемый опыт: 3–6 лет. Полная занятость. Дата публикации: 15.01.2022.
Forwarded from Positive Events
Горячие подробности The Standoff: день #1 🔥
⏰ С 11:00 на киберполигоне вас ждут экскурсии по инфраструктуре города-государства: мы познакомимся с программой кибербитвы, заглянем к защитникам в SOC-центр, узнаем тренды промышленной кибербезопасности и принципы работы команд обеих сторон.
⏰ В 12:30 начнется презентация платформы для проведения киберучений нон-стоп, а после этого участники команд атаки и защиты расскажут об устройстве полигона, а также дадут свои прогнозы на исход учений.
Ждем вас в прямом эфире The Standoff 👉 https://standoff365.com
#TheStandoff #security #cybersecurity #IT #DevSecOps
⏰ С 11:00 на киберполигоне вас ждут экскурсии по инфраструктуре города-государства: мы познакомимся с программой кибербитвы, заглянем к защитникам в SOC-центр, узнаем тренды промышленной кибербезопасности и принципы работы команд обеих сторон.
⏰ В 12:30 начнется презентация платформы для проведения киберучений нон-стоп, а после этого участники команд атаки и защиты расскажут об устройстве полигона, а также дадут свои прогнозы на исход учений.
Ждем вас в прямом эфире The Standoff 👉 https://standoff365.com
#TheStandoff #security #cybersecurity #IT #DevSecOps
Standoff365
Standoff 365
Standoff 365 — платформа для исследователей безопасности, которая включает в себя киберполигон, багбаунти и митапы.
T-Reqs: HTTP Request Smuggling with Differential Fuzzing
In this work, we step back from the highly-specific exploits hogging the spotlight, and present the first work that systematically explores HRS within a scientific framework. We design an experiment infrastructure powered by a novel grammar-based differential fuzzer, test 10 popular server/proxy/CDN technologies in combinations, identify pairs that result in processing discrepancies, and discover exploits that lead to HRS. Our experiment reveals previously unknown ways to manipulate HTTP requests for exploitation, and for the first time documents the server pairs prone to HRS.
https://bahruz.me/papers/ccs2021treqs.pdf
In this work, we step back from the highly-specific exploits hogging the spotlight, and present the first work that systematically explores HRS within a scientific framework. We design an experiment infrastructure powered by a novel grammar-based differential fuzzer, test 10 popular server/proxy/CDN technologies in combinations, identify pairs that result in processing discrepancies, and discover exploits that lead to HRS. Our experiment reveals previously unknown ways to manipulate HTTP requests for exploitation, and for the first time documents the server pairs prone to HRS.
https://bahruz.me/papers/ccs2021treqs.pdf
Атака с большим будущим: за что SSRF поместили в ТОП-10 киберугроз
В конце сентября сообщество OWASP (Open Web Application Security Project) выпустило обновленную версию списка наиболее опасных угроз для веб-приложений OWASP Top-10. Примечательным стало появление в нем A10:2021 – Server-Side Request Forgery (SSRF) или подделка запроса на стороне сервера. При этом 2 из 10 категорий угроз, включая SSRF, были отобраны по результатам опросов профессионального сообщества. Пока, по оценке экспертов OWASP, позволяющие проводить атаки SSRF уязвимости с высоким уровнем критичности встречаются нечасто. Но потенциал эксплуатабельности у них высокий, и скоро SSRF может стать серьезной киберугрозой. Мы тоже встречаем SSRF при проведении работ по анализу защищенности веб-приложений, и иногда эта атака открывает пентестерам (а, значит, и реальным хакерам) массу возможностей. А каких именно – расскажем в этом посте.
https://habr.com/ru/company/solarsecurity/blog/590673/
В конце сентября сообщество OWASP (Open Web Application Security Project) выпустило обновленную версию списка наиболее опасных угроз для веб-приложений OWASP Top-10. Примечательным стало появление в нем A10:2021 – Server-Side Request Forgery (SSRF) или подделка запроса на стороне сервера. При этом 2 из 10 категорий угроз, включая SSRF, были отобраны по результатам опросов профессионального сообщества. Пока, по оценке экспертов OWASP, позволяющие проводить атаки SSRF уязвимости с высоким уровнем критичности встречаются нечасто. Но потенциал эксплуатабельности у них высокий, и скоро SSRF может стать серьезной киберугрозой. Мы тоже встречаем SSRF при проведении работ по анализу защищенности веб-приложений, и иногда эта атака открывает пентестерам (а, значит, и реальным хакерам) массу возможностей. А каких именно – расскажем в этом посте.
https://habr.com/ru/company/solarsecurity/blog/590673/
Хабр
Атака с большим будущим: за что SSRF поместили в ТОП-10 киберугроз
В конце сентября сообщество OWASP (Open Web Application Security Project) выпустило обновленную версию списка наиболее опасных угроз для веб-приложений OWASP Top-10. Примечательным стало появление в...
Генераторы случайных чисел в разных ОС
Как-то поздним летним вечером мне пришлось разобраться, как устроены генераторы случайных чисел в Windows и Linux. Собственно, в этой статье я попробую привести саккумулированную информацию, и преподнести ее максимально простыми словами, без необходимости лезть в исходники, туториалы и статьи.
https://habr.com/ru/post/593543/
Как-то поздним летним вечером мне пришлось разобраться, как устроены генераторы случайных чисел в Windows и Linux. Собственно, в этой статье я попробую привести саккумулированную информацию, и преподнести ее максимально простыми словами, без необходимости лезть в исходники, туториалы и статьи.
https://habr.com/ru/post/593543/
Хабр
Генераторы случайных чисел в разных ОС
"Генерация случайных чисел слишком важна, чтобы оставлять ее на волю случая" - Роберт Р. Кавью Как-то поздним летним вечером мне пришлось разобраться, как устроены генераторы случайных чисел в Windows...
Детальная информация о нашумевшей и активно эксплуатируемой в настоящее время RCE-уязвимости в log4j: https://www.lunasec.io/docs/blog/log4j-zero-day/
Изменения в коде log4j, устраняющие проблему: https://github.com/apache/logging-log4j2/pull/608/files
Изменения в коде log4j, устраняющие проблему: https://github.com/apache/logging-log4j2/pull/608/files
Ещё пара ссылок по теме Log4Shell (CVE-2021-44228):
1. https://github.com/christophetd/log4shell-vulnerable-app — минимальный пример уязвимого приложения;
2. https://github.com/Cybereason/Logout4Shell — "вакцина", эксплуатирующая уязвимость и изменяющая конфигурацию текущего экземпляра логгера атакованного приложения таким образом, чтобы сделать его неуязвимым к данной атаке :)
1. https://github.com/christophetd/log4shell-vulnerable-app — минимальный пример уязвимого приложения;
2. https://github.com/Cybereason/Logout4Shell — "вакцина", эксплуатирующая уязвимость и изменяющая конфигурацию текущего экземпляра логгера атакованного приложения таким образом, чтобы сделать его неуязвимым к данной атаке :)
GitHub
GitHub - christophetd/log4shell-vulnerable-app: Spring Boot web application vulnerable to Log4Shell (CVE-2021-44228).
Spring Boot web application vulnerable to Log4Shell (CVE-2021-44228). - christophetd/log4shell-vulnerable-app
An Analysis of The Log4Shell Alternative Local Trigger
Blumira’s security team discovered the potential for an alternative attack vector in the Log4j vulnerability, which relies on a Javanoscript WebSocket connection to trigger the RCE on internal and locally exposed unpatched Log4j applications.
https://www.blumira.com/analysis-log4shell-local-trigger/
Blumira’s security team discovered the potential for an alternative attack vector in the Log4j vulnerability, which relies on a Javanoscript WebSocket connection to trigger the RCE on internal and locally exposed unpatched Log4j applications.
https://www.blumira.com/analysis-log4shell-local-trigger/
Blumira
An Analysis of The Log4Shell Alternative Local Trigger
Blumira’s security team discovered the potential for an alternative attack vector in the Log4j vulnerability, which relies on a Javanoscript WebSocket connection to trigger the RCE on internal and locally exposed unpatched Log4j applications.
Apache Issues 3rd Patch to Fix New High-Severity Log4j Vulnerability
The issues with Log4j continued to stack up as the Apache Software Foundation (ASF) on Friday rolled out yet another patch — version 2.17.0 — for the widely used logging library that could be exploited by malicious actors to stage a denial-of-service (DoS) attack.
https://thehackernews.com/2021/12/apache-issues-3rd-patch-to-fix-new-high.html
The issues with Log4j continued to stack up as the Apache Software Foundation (ASF) on Friday rolled out yet another patch — version 2.17.0 — for the widely used logging library that could be exploited by malicious actors to stage a denial-of-service (DoS) attack.
https://thehackernews.com/2021/12/apache-issues-3rd-patch-to-fix-new-high.html
За последнюю неделю сразу две российских ИБ-компании поделились своим виденьем концепции DevSecOps:
Positive Technologies, "Безопасная разработка: какую часть Sec занимает в DevSecOps", https://habr.com/ru/company/pt/blog/595955/
Swordfish Security, "DevSecOps by Swordfish Security", https://habr.com/ru/company/swordfish_security/blog/596817/ и https://habr.com/ru/company/swordfish_security/blog/596961/
Positive Technologies, "Безопасная разработка: какую часть Sec занимает в DevSecOps", https://habr.com/ru/company/pt/blog/595955/
Swordfish Security, "DevSecOps by Swordfish Security", https://habr.com/ru/company/swordfish_security/blog/596817/ и https://habr.com/ru/company/swordfish_security/blog/596961/
Хабр
Безопасная разработка: какую часть Sec занимает в DevSecOps
Всем привет! Меня зовут Тимур Гильмуллин , я руководитель направления по построению процессов безопасной разработки в компании Positive Technologies. Раньше я работал в DevOps-отделе, где инженеры...
Disclosing Shamir’s Secret Sharing vulnerabilities and announcing ZKDocs
Trail of Bits is publicly disclosing two bugs that affect Shamir’s Secret Sharing implementation of Binance’s threshold signature scheme library (tss-lib) and most of its active forks.
https://blog.trailofbits.com/2021/12/21/disclosing-shamirs-secret-sharing-vulnerabilities-and-announcing-zkdocs/
Trail of Bits is publicly disclosing two bugs that affect Shamir’s Secret Sharing implementation of Binance’s threshold signature scheme library (tss-lib) and most of its active forks.
https://blog.trailofbits.com/2021/12/21/disclosing-shamirs-secret-sharing-vulnerabilities-and-announcing-zkdocs/
The Trail of Bits Blog
Disclosing Shamir’s Secret Sharing vulnerabilities and announcing ZKDocs
Trail of Bits is publicly disclosing two bugs that affect Shamir’s Secret Sharing implementation of Binance’s threshold signature scheme library (tss-lib) and most of its active forks. Here is the full list of affected repositories: Binance’s tss-lib Clover…
Tencent Cloud Code Analysis
Tencent Cloud Code Analysis (TCA for short, code-named CodeDog inside the company early) is a code comprehensive analysis platform, which includes three components: server, web and client. It supports the integration of common code analysis tools in the industry. Its main function is to ensure the code quality under agile iterations of multiple engineering projects, and Support the team to inherit the code culture.
https://github.com/Tencent/CodeAnalysis
Tencent Cloud Code Analysis (TCA for short, code-named CodeDog inside the company early) is a code comprehensive analysis platform, which includes three components: server, web and client. It supports the integration of common code analysis tools in the industry. Its main function is to ensure the code quality under agile iterations of multiple engineering projects, and Support the team to inherit the code culture.
https://github.com/Tencent/CodeAnalysis
GitHub
GitHub - Tencent/CodeAnalysis: Static Code Analysis - 静态代码分析
Static Code Analysis - 静态代码分析. Contribute to Tencent/CodeAnalysis development by creating an account on GitHub.
The JNDI Strikes Back – Unauthenticated RCE in H2 Database Console
Very recently, the JFrog security research team has disclosed an issue in the H2 database console which was issued a critical CVE – CVE-2021-42392. This issue has the same root cause as the infamous Log4Shell vulnerability in Apache Log4j (JNDI remote class loading).
https://jfrog.com/blog/the-jndi-strikes-back-unauthenticated-rce-in-h2-database-console/
Very recently, the JFrog security research team has disclosed an issue in the H2 database console which was issued a critical CVE – CVE-2021-42392. This issue has the same root cause as the infamous Log4Shell vulnerability in Apache Log4j (JNDI remote class loading).
https://jfrog.com/blog/the-jndi-strikes-back-unauthenticated-rce-in-h2-database-console/
JFrog
The JNDI Strikes Back - Unauthenticated RCE in H2 Database Console
Critical JNDI-based vulnerability exploiting the same root cause of Log4Shell. Read more from the JFrog Security Research Team describing the attack vector >
WebSpec: Towards Machine-Checked Analysis of Browser Security Mechanisms
The complexity of browsers has steadily increased over the years, driven by the continuous introduction and update of Web platform components, such as novel Web APIs and security mechanisms. Their specifications are manually reviewed by experts to identify potential security issues. However, this process has proved to be error-prone due to the extensiveness of modern browser specifications and the interplay between new and existing Web platform components. To tackle this problem, we developed WebSpec, the first formal security framework for the analysis of browser security mechanisms, which enables both the automatic discovery of logical flaws and the development of machine-checked security proofs.
https://arxiv.org/abs/2201.01649
The complexity of browsers has steadily increased over the years, driven by the continuous introduction and update of Web platform components, such as novel Web APIs and security mechanisms. Their specifications are manually reviewed by experts to identify potential security issues. However, this process has proved to be error-prone due to the extensiveness of modern browser specifications and the interplay between new and existing Web platform components. To tackle this problem, we developed WebSpec, the first formal security framework for the analysis of browser security mechanisms, which enables both the automatic discovery of logical flaws and the development of machine-checked security proofs.
https://arxiv.org/abs/2201.01649