За последнюю неделю сразу две российских ИБ-компании поделились своим виденьем концепции DevSecOps:

Positive Technologies, "Безопасная разработка: какую часть Sec занимает в DevSecOps", https://habr.com/ru/company/pt/blog/595955/

Swordfish Security, "DevSecOps by Swordfish Security", https://habr.com/ru/company/swordfish_security/blog/596817/ и https://habr.com/ru/company/swordfish_security/blog/596961/

Без лишних слов: Positive Hack Days состоится 18–19 мая!

А это значит, что на одной площадке снова соберутся хакеры, звёзды отечественной и зарубежной информационной безопасности, инфлюенсеры, представители бизнеса и госструктур, молодые ученые и журналисты.

И сейчас мы ищем докладчиков!

Выступить на PHDays может каждый — и признанный эксперт, и начинающий специалист. Если у вас есть важный доклад по одной из проблем ИБ, интересный своей актуальностью и новизной, — смело подавайте заявку. Мы рассмотрим все обращения до 1 марта и обязательно ответим до 1 апреля. Ждём ваших докладов: https://cfp.phdays.com/login

Positive Hack Days — это международный форум по практической безопасности, который организует компания Positive Technologies. Среди побывавших у нас хедлайнеров — легендарный криптограф Брюс Шнайер, один из разработчиков USB-эмулятора FaceDancer Трэвис Гудспид, соавтор концепции криптографии с открытым ключом Уитфилд Диффи, Founder & CEO в BINARLY Александр Матроcов.

Безопасность web3: уязвимости на стыке блокчейна и веб-технологий ✨Арсений Реутов

https://youtu.be/J4tZHDyM7rA

Напоминаем, что в рамках данного CFP принимаются также заявки на наш трек для разработчиков.

Как попасть на Positive Hack Days?

👉 Купить билеты или стать докладчиком!

Продлеваем прием заявок на выступление с докладами на форуме до 18 марта включительно.

Мы получили большое количество докладов, но вы еще можете успеть запрыгнуть в последний вагон.

Докладчиками могут стать и признанные эксперты, и начинающие специалисты. Мы приглашаем спикеров выступить с техническими докладами на темы поиска и эксплуатации уязвимостей, защиты от различных атак, практики разработки безопасного программного обеспечения.

🔥 Подать заявку можно здесь

Минутка вакансий:

Специалист по анализу защищенности кода, ПАО “Ростелеком”
#Appsec
ЗП: 120.000-180.000 гросс + бонусы и премии

Задачи:
• Участвовать в создании цикла безопасной разработки;
• Обеспечивать защиты разрабатываемых и используемых приложений компании;
• Проводить аудит кода в части недостатков ИБ;
• Моделировать угрозы и формировать требования к безопасности веб-приложений;
• Консультировать разработчиков и контролировать устранение выявленных уязвимостей;
• Участие в Red Teaming;
• Оформление сопутствующей документации (рекомендации по устранению уязвимостей и др.);

Требования:
• Опыт проведения анализа защищенности веб-приложений (динамический анализ; чёрный ящик);
• Опыт поиска и эксплуатации уязвимостей;
• Опыт нахождения уязвимостей в коде
• Понимание основных протоколов авторизации: SAML, OAuth и др.;
• Знание основных методик тестирования: OWASP, PCI DSS, PTES и др.;
• Знание основных скриптовых языков: Python, Bash и др.;

Будет плюсом:
• Участие в программах bug bounty;
• Участие в CTF;
• Наличие сертификатов OSCP, OSCE, OSWE и т.д.;
• Опыт разработки приложений;
• Знание базового стека Java (J2EE, Spring Framework, REST API и т.д.);
• Опыт работы с docker, docker-compose, k8s.

Контакты: Telegram,
89604959259 Татьяна @TatianaRTK

Друзья!

Ни для кого не секрет, что этот чат являлся также и официальным чатом пользовательской группы Positive Development User Group (посвящённой вопросам разработки безопасных приложений), с момента её создания. На этот год мы запланировали множество позитивных изменений, направленных на объединение этих двух групп в единое сообщество, дополнение его новыми форматами и повышение ценности для всех его участников.

Обо всех планах и грядущих изменениях мы расскажем в ближайшие недели, следите за новостями! А для того, чтобы переход прошёл более органично, мы начнём с переименования нашего канала и его чата в новое название объединённого сообщества: Positive Development Community.

​​Встречайте, Spring4Shell. Правда, если сравнивать обнаруженную RCE в Java Spring Framework с Log4Shell, эффект которой можно назвать бомбой, то новая 0-Day скорее всего на этом фоне будет выглядеть как связка петард.

Уязвимость удаленного выполнения кода была обнаружена в среде Spring вскоре после того, как некий китайский исследователь, который выпустил на GitHub соответствующий PoC, который вскоре после этого удалил вместе со своими аккаунтами.

Spring - достаточно популярная платформа для создания приложений на основе Java EE (Enterprise Edition), которая позволяет быстро и легко их разрабатывать, а затем и разворачивать на серверах, в том числе Apache Tomcat, в виде автономных пакетов со всеми необходимыми зависимостями.

По данным Praetorian, непропатченная уязвимость затрагивает Spring Core в Java Development Kit (JDK) версии 9 и более поздних и является обходом другой уязвимости, отслеживаемой как CVE-2010-1622, что позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код в целевой системе.

Дополнительные сведения о новой уязвимости не разглашаются, специалисты по поддержке фреймворка Spring.io, дочерняя компания VMware, вовсю работают над исправлением. 

Новая бага отличается от двух предыдущих уязвимостей, раскрытых в структуре приложения на этой неделе, включая DoS-уязвимость выражений Spring Framework (CVE-2022-22950) и уязвимость доступа к ресурсам выражений Spring Cloud (CVE-2022-22963). Spring RCE вызвана небезопасной десериализацией переданных аргументов.

Praetorian также подтвердила, что ошибка зависит от определенных конфигураций для правильного использования. Для эксплуатации требуется конечная точка с включенным DataBinder (например, запрос POST, который автоматически декодирует данные из тела запроса) и сильно зависит от контейнера сервлетов для приложения.

Например, когда Spring развернут на Apache Tomcat, доступен WebAppClassLoader, что позволяет злоумышленнику вызывать геттеры и сеттеры, чтобы в конечном итоге записать вредоносный JSP-файл на диск. Однако, если Spring развернут с использованием встроенного контейнера сервлетов Tomcat, загрузчик классов — это LaunchedURLClassLoader, доступ к которому ограничен.

В некоторых конфигурациях эксплуатация этой проблемы проста, поскольку для этого требуется, чтобы злоумышленник отправил созданный запрос POST в уязвимую систему. 

По мнению специалистов Flashpoint, первоначальный анализ новой уязвимости выполнения кода в Spring Core предполагает, что ее влияние может быть несерьезным. Для эксплуатации уязвимости злоумышленникам необходимо будет найти и идентифицировать экземпляры веб-приложений, которые на самом деле используют DeserializationUtils.

Кроме того, несмотря на общедоступность эксплойтов, Rapid7 утверждают, что в настоящее время неясно, какие реальные приложения используют уязвимую функциональность. ISAC заявили, что еще не завершили свои тесты и не могут однозначно подтвердить действительность PoC для ошибки RCE.

Вместе с тем, согласно заключению аналитика Уилла Дорманна из CERT/CC, эксплойт Spring4Shell в дикой природе все же функционирует и существуют реальные уязвимые приложения. Вообще, по данным источников BleepingComputer, уязвимость активно используется в атаках.

Поскольку для этой уязвимости в настоящее время нет исправления, настоятельно рекомендуется как можно скорее реализовать меры по смягчению атак, связанных с ограничениями функционала Spring Core DataBinder.

🟥 Приглашаем на релиз новой версии PT Application Inspector 4.0.
Как выйти на уровень безопасной разработки

➡️ 82% всех уязвимостей инфраструктуры содержатся в коде приложения.
Каждая пятая из них грозит компании серьезными последствиями.
Для того, чтобы находить слабые места еще на стадии разработки нужен анализатор кода, такой, как PT Application Inspector.

Он комбинирует технологии SAST, DAST, IAST и SCA. Встраивается в процессы компании, помогает раз и навсегда подружить ИБ и разработку.

7 апреля эксперты Positive Technologies проведут митап для разработчиков и инженеров DevOps и DevSecOps, где расскажут:
🔻 Про методы анализа и абстрактную интерпретацию как способ повысить качество анализа
🔻Как посчитать выгоду DevSecOps для компании и подружить ИБ с разработкой
🔻Новые фичи PT Application Inspector версии 4.0

Зарегистрироваться

🎙Мы начинаем онлайн-митап «PT Application Inspector 4.0 Как выйти на уровень безопасной разработки» 😎 Нажмите "подключиться", чтобы следить за трансляцией в Телеграм

Подключиться 👈🏻

📌 Спасибо всем за участие в онлайн-релизе PT Application Inspector 4.0.
Для тех, кто не смог посмотреть трансляцию, мы опубликовали запись и презентацию

💎 Обладателями мерча от PT Application Inspector стали:

1. Михаил Черкашин, за лучший вопрос: появится в PT AI возможность анализа yaml-файлов для docker/kubernetes? Будет ли возможность проверки OpenAPI/Swagger файлов в решении? Появится ли возможность анализа разрабатываемых API интерфейсов

Ответ: Да, в планах есть, уже исследуем и прорабатываем вопросы и проверки конфигураций контейнеров, и работа с API. Для API планируется реализация и для статического анализа, и для динамического. Это проверять не только конфигурацию API, реализацию в коде, но и работу в режиме чёрного для развёрнутого сервиса.

2. Евгений Борисов, с за лучший вопрос: можно ли самому запускать абстрактную интерпретацию куска кода? Например, есть функция и я хочу понять при каких входных условиях она достигает определенной
точки исполнения.

Ответ: Мы сейчас активно работаем над расширением возможностей по заданию собственных правил и дополнению встроенной базы знаний на стороне пользователя. В том числе мы хотим реализовать что-то вроде песочницы, где можно будет проверять работоспособность создаваемых правил. В рамках этой фичи хотим добавить и работу с нашей моделью данных, что позволит проверять собственные гипотезы с помощью абстрактной интерпретации.

📩 Победителям напиcали на почту, указанную при регистрации.

Ждем всех 14 апреля на вебинаре "Безопасная разработка: плагины для IDE"

Зарегистрироваться 📝

Спасибо всем, кто проявил интерес и участвовал в вебинаре "Безопасная разработка: плагины для IDE" от 14.04.2022. Запись вебинара доступна по ссылке

На всякий случаем продублируем ещё раз полезные ссылки:
Плагины можно качать по ссылкам

https://github.com/POSIdev-community/AI.Plugin.IntelliJ/releases/tag/1.0.0

https://github.com/POSIdev-community/AI.Plugin.VSCode/releases/tag/1.0.0

На следующей неделе мы сообщим результаты по выбору лучшего вопроса 😉

Мы определили победителей лучших вопросов с вебинара "Безопасная разработка: плагины для IDE". Ими стали:

📌 TS Nikita, с вопросом
Планируется ли механизм корреляции событий SCA и SAST на предмет использования
уязвимых функций?

📌 Александр Кремлёв, с вопросом
Теги supress будут работать в дальнейшем, когда весь проект будет проверяться
перед релизом? Как предотвратить злоупотребления тегом?

Мерч от Application Inspector 4 найдёт своих героев в email (либо напишите здесь в комментариях, запросим данные для отправки подарков).

Если у вас остались вопросы по плагинам, или появились новые, задавайте их в комментариях 👇🏻

🔥 18 и 19 мая пройдет самая масштабная в России конференция в сфере кибербеза Positive Hack Days 💥

Традиционно мы организовываем трек по безопасной разработке.
Ниже представляем в значительной степени сформированную программу. Финальную сетку докладов выложим в ближайшее время.

📝 SAST против атаки на цепочку поставок: кто кого?
Владимир Кочетков

📝 Безопасная разработка в вашей IDE.
Андрей Лядусов

📝 Анализ клиентского JavaScript-кода для обнаружения HTTP-эндпоинтов.
Даниил Сигалов

📝 Фреймворк безопасной разработки от компании Swordfish Security.
Светлана Газизова

📝 Самооценка зрелости направлений и процессов AppSec.
Шаров Илья

📝 Поставить или положить. Атаки на цепочки поставок.
Евгений Полонский

📝 Актуальные вызовы композиционному анализу ПО.
Алексей Смирнов

📝 Пишем самый лучший livepatch ядра Linux.
Елена Быковченко

📝 Уязвимое мобильное приложение Allsafe глазами аналитика исходного кода для начинающих.
Куцовол Татьяна

📝 Игры в безопасность.
Алексей Бабенко

📝 Network Policy - родной межсетевой экран Kubernetes.
Дмитрий Евдокимов

📝 Application Inspector vs embedded malware.
Дмитрий Рассадин

📝 Новый подход к автоматизированной генерации эксплойтов для больших веб-приложений.
Даниил Садырин

Планируете в этом году посетить конференцию?

Билеты на трек по разработке в рамках форума Positive Hack Days!

Уже по традиции мы открываем сбор заявок на участие в треке по разработке. Билеты бесплатные, но их количество ограничено.

Для того чтобы подать заявку на бесплатное участие заполните, пожалуйста, анкету. Сбор заявок продлится до 6 мая.
Информация по билетам придет на эл.почту.