О безопасной разработке

Разработчики уделяют большое внимание дизайну программных продуктов для гаджетов, стараясь сделать их максимально удобными. Люди охотно устанавливают мобильные приложения и регистрируются в них 🙆

А что насчет безопасности данных, которые мы доверяем производителям этих приложений? И как вообще научиться создавать безопасные приложения?

Наши коллеги из Яндекса поделились своим опытом на PHDays и показали систему, позволяющую тренироваться в поиске и исправлении уязвимостей. Каждое задание в этой системе состоит из кода, содержащего уязвимости. Задача разработчика найти заложенную проблему и ее исправить

🔊 Слушать
👀 Смотреть

#ЧитаемPositiveResearch – ну что ж, остался всего один непрочитанный материал из текущего номера нашего сборника исследований по практической безопасности. Устраивайтесь поудобнее и переходите на страницу 95. Будет интересно.

📍Сегодня в номере – взгляд на битву The Standoff со стороны #PTExpertSecurityCenter, который уже несколько лет играет роль глобального SOC кибербитвы. О том, на каких технологиях – продуктах Positive Technologies – работал SOC и кому стоит обязательно проверить свои компетенции или ПО в следующем The Standoff, рассказал заместитель управляющего директора по технологиям кибербезопасности Павел Кузнецов.

Есть пара вопросов 😃

Вы были на PHDays и The Standoff?

Что вам понравилось, а что нет? Как вам формат? Все ли удобно на площадке? Хотели бы что-то убрать или наоборот добавить? Как вам приглашенные спикеры? Открыли ли что-то новое для себя? Удобно ли вам было смотреть онлайн-трансляцию?

🚀 А если не были, то хотели бы пойти? На что вы готовы ради этого?

Авторам двух понравившихся нам ответов подарим мерч 😎

Как мы делаем The Standoff  👇🏼

Для сохранения баланса между реалистичностью инфраструктуры и ее сложностью на киберполигоне, мы выделяем и упрощаем ключевые элементы систем в ИТ-ландшафтах типовых компаний.

Чтобы в боевых условиях проверить, смогут ли атакующие пройти, мы стремимся использовать реальный софт, приделать настоящие настройки и «закрутить гайки безопасности».

Например, базовая корпоративная инфраструктура объектов на полигоне состоит из современного офисного софта: почтового сервера, файлового сервера, CRM- и ERP-систем, а также другого прикладного ПО, которое мы все так или иначе используем для работы 🧐

В спецвыпуске security-новостей главред SecurityLab.ru Александр Антипов и его гость Ярослав Бабин расскажут о самых заметных новостях и инцидентах, связанных с уязвимостями веб-приложений.

Темы нового ролика:

🔴 хакеры эксплуатируют 0-day-уязвимость в WordPress-плагине Fancy Product Designer,
🔴 неизвестные взломали Git-репозиторий PHP для внедрения бэкдора в исходный код,
🔴 хакеры взламывают WordPress-сайты через уязвимость в плагине Easy WP SMTP.

Что интересного посмотреть вечером?

📌 Сегодня в 18:00 (мск) Ярослав Бабин расскажет о том, как стал пентестером, даст свои советы будущим исследователям, а также вместе с ребятами из Codeby обсудит наш легендарный киберполигон The Standoff.

Кто такой Яр Бабин?

▪️ Руководитель отдела анализа защищенности приложений в Positive Technologies @ptswarm
▪️ Специалист по веб и финансовым приложениям, социальной инженерии, пентесте ATM
▪️ Организатор The Standoff и Positive Hack Days
▪️ Спикер PowerOfCommunity, PacSec, ZeroNights, KazHackStan, ArmSec и др.
▪️ В прошлом - багхантер (Яндекс, Mail.Ru, Mozilla и др.), участник CTF-команды Antichat

Смотрите прямой эфир на канале Codeby

Не пропустите AM Camp Summer 2021 Anti-Malware.ru! Прямая трансляция стартует совсем скоро.

В панельной дискуссии в 10:00 примет участие Максим Филиппов, где вместе с коллегами из BI.ZONE, Ростелеком, Check Point Software Technologies и Ростелеком-Солар обсудит последние изменения карты рисков кибербезопасности.

Подключиться🚀

Об атаках через цепочку поставок

🤷 Есть мнение, что слабым звеном в экосистеме являются маленькие организации, которые находятся в ее периметре, имеют доступ к информационным ресурсам крупных организаций, к их базам данных, но при этом не в состоянии оценить, насколько рискован собственный бизнес, и не понимают, как выстраивать его информационную безопасность.

❓Что думаете об этом?

Противодействие атакам через цепочку поставок (Supply Chain Attacks) — действительно одно из самых сложных направлений информационной безопасности. Включая в экосистему стороннего разработчика, развертывая его продукты на своих платформах организация попадает в зависимость от того, насколько добросовестно поставщик относится к вопросам безопасности. С одной стороны, владелец экосистемы не обладает полным контролем над процессом разработки, контроля качества и технической поддержки приложений, интегрируемых в экосистему. С другой стороны, такие приложения, если нарушитель обнаруживает в нем уязвимость, становятся плацдармом для развития атаки на остальные приложения экосистемы в обход большинства мер защиты экосистемы.

Подобные «слабые звенья» в экосистемах используются нарушителями очень часто. Так, уязвимости серверов контента, размещаемых в технологических сетях операторов связи, позволяют преступникам получать доступ к опорным сетям связи и манипулировать телефонными звонками - перехватывать звонки, звонить и отправлять SMS-сообщения от имени банков. Таким образом, тот вал телефонного мошенничества, который мы наблюдаем сегодня, отчасти стал результатом неспособности экосистемы сотовой связи защититься от использования нарушителями уязвимых сторонних компонентов 🤦

При этом масштаб атак через цепочки поставок постоянно возрастает: так, если массовое заражение вирусом-вымогателем клиентов компании MeDoc в 2017 году было экстраординарным событием, то сегодня новости о массовой компрометации клиентов через аутсорсинг (инциденты с компаниями SolarWinds, Kaseya и т.п.) воспринимаются как повседневное явление.

Посмотреть доклад Абхинава Васиштхи по этой теме можно здесь (только на английском)👀

По следам The Standoff, продолжение. Наступил черед рассказать вам о том, что интересного детектировал во время кибербитвы #MaxPatrolSIEM.

🔴 Какие сценарии взлома использовали атакующие?
🔴 Какие тактики и техники проникновения и закрепления стали самыми распространенными среди команд красных?
🔴 Эксплуатация какой нашумевшей уязвимости позволила уронить контейнеры в морском порту?
🔴 А что вызвало полную остановку ветрогенераторов в городе?

Ответы на эти и другие вопросы вы найдете в материале Алексея Леднева из команды #PTExpertSecurityCenter в нашем блоге на Habr.

Кейлогер Snake вошел в топ-3 активных вредоносов

Это первый случай, когда кейлогер вошел вглобальный рейтинг вредоносов 🤷

Snake занял и пятое место по России, успев поразить 4,3% организаций. Как отметили исследователи, он является модульным кейлогером, записывающим нажатия клавиш, фиксирующим учётные данные и передающим всю эту информацию злоумышленникам.

🤟Самое время поговорить про проактивный детект и изучить сценарии для обнаружения зловредного действия.

Слушать
Смотреть

Как научиться безопасной разработке

В погоне за удобными интерфейсами и модным дизайном программных продуктов для гаджетов, не забывают ли разработчики о безопасности? Люди охотно устанавливают мобильные приложения и регистрируются в них.

❓Что насчет данных, которые мы доверяем производителям? И как научить(ся) создавать безопасные приложения?

На майском PHDays наши коллеги из «Яндекса» — Анна Максимова и Алексей Мещеряков — поделились своим опытом в обучении разработчиков и показали участникам систему, позволяющую тренироваться в поиске и исправлении уязвимостей 😎

Идея обучения безопасной разработке в том, что уязвимость кто-то все равно когда-нибудь найдет, и код в итоге придется переписывать. Чтобы этого избежать, разработчиков необходимо научить писать хорошие коды (сразу!).

Подробнее на Хабре

Hack me, если сможешь. Это не призыв к действию, а подкаст! Не хотите читать? У нас отличная новость: можно послушать подкаст-версию этой статьи. Выбирайте удобную вам платформу — и вперед!

Двадцать седьмой выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru.

Темы нового ролика:

🔴 исследователи безопасности опасаются слежки из-за новой функции Apple для борьбы с детской порнографией,
🔴 опубликован загадочный универсальный декриптор для файлов, зашифрованных REvil,
🔴 уязвимость в генераторах случайных чисел затрагивает миллиарды IoT-устройств,
🔴 хакеры похитили более $600 млн в криптовалюте с платформы Poly Network,
🔴 власти Туркменистана борются с VPN-сервисами с помощью Корана,
🔴 в первом полугодии 2021 года средняя сумма выкупа вымогателям составила $570 тыс.,
🔴 в даркнете средняя цена доступа ко взломанным сетям составляет $10 тыс.,
🔴 Национальный демократический институт в США предупредил об опасности 5G,
🔴 созданные ИИ фишинговые письма оказались эффективнее, чем написанные человеком,
🔴 Avast и Norton объединяются для создания антивирусного гиганта,
🔴 Microsoft, Amazon и Alphabet помогут правительству США в борьбе с программами-вымогателями и кибератаками на облачных платформах,
🔴 малый и средний бизнес является главной мишенью для киберпреступников в 2021 году, предупреждает Acronis.

О методах обмануть предсказание top-k

Глубокие нейронные сети произвели революцию и улучшили нашу жизнь. Но когда речь идет об ИИ, нужно иметь в виду, что его алгоритмы неточны 🤷 В рамках какой-то вероятности: нейронная сеть точно распознает что-то на 99%, но всегда есть данные, даже 1%, на которых модель ошибается. А задача злоумышленника — эти данные найти и чтобы реализовать возможность манипулировать системой 😒

Кроме того, нейросети очень уязвимы к малым возмущениям входных данных (adversarial attacks). Эти злонамеренные и хорошо продуманные крошечные изменения аккуратно вычислены и способствуют большим ошибкам нейросетей. Они могут целиться, чтобы классификатор выдавал какой-то конкретный класс (targeted attacks) или любой класс, отличающийся от правильного (untargeted attack). Эти атаки могут быть направлены на беспилотные автомобили, системы распознавание речи и идентификации лиц.

Узнать, какими способами можно обмануть предсказания top-k на датасетах Imagenet и CIFAR-10 можно в

🎧 нашем подкасте

🎥 записи выступления

Атаки на IoT-устройства

Часто IoT-устройства атакуют посредством эксплуатации уязвимостей. Например, так пополняются ботнеты Mirai и Gafgyt. Еще один метод взлома — подбор учетных данных, в результате чего злоумышленники получают полный доступ к устройствам. В начале 2021 года злоумышленник опубликовал на форуме в дарквебе список учетных данных для 500 000 серверов, домашних маршрутизаторов и других IoT-девайсов 🙁

А недавно обнаружена очередная критическая уязвимость веб-камер безопасности и устройств радионянь, через которую злоумышленники получают доступ к потоковому видео и аудио, что создает угрозу компрометации домашних сетей и учетных данных.

Этой уязвимости подвержены устройства, использующие сеть ThroughTek Kalay. Сведения об угрозах обнаружены специалистами компании Mandiant в сотрудничестве с Агентством по кибербезопасности и безопасности инфраструктуры (CISA) и ThroughTek.

По их данным, кроме записи видео и аудио, злоумышленники могут создавать бот-сети из скомпрометированных устройств и использовать инфраструктуру для дальнейших атак. Угрозе подвержено 83 миллиона устройств, подключенных к сети Kalay.

Эта уязвимость маркируется как CVE-2021-28372 и имеет оценку 9,6 по шкале CVSS, что позволяет классифицировать ее как критическую. 

❓Как защитить IoT-девайсы?

✅ В первую очередь нужно изменить учетные данные, установленные по умолчанию, и использовать надежные пароли. Необходимо проверить актуальность используемого ПО, следить за выпуском обновлений и своевременно устанавливать их. Вот и в этом кейсе представители компании настоятельно рекомендуется выполнить обновление до последней версии Kalay 3.1.10.

✅ Важно регулярно проводить инвентаризацию ресурсов на периметре компании, поскольку сейчас большинство техники, даже бытовой, имеет выход в интернет, и есть риск случайно подключить такое устройство к корпоративной сети. Для предотвращения компрометации критически важных систем, важно выделить IoT-устройства в отдельный сегмент сети. Все это позволит значительно уменьшить риски реализации атак на IoT.

Больше про безопасность IoT-устройств 👇🏼

🎧 Слушать

🎥 Смотреть

Авторы вредоносной программы Raccoon, предназначенной для кражи данных, решили попробовать новые функции своего детища. Не рассчитав свои силы, злоумышленники заразили собственные компьютеры и слили внутреннюю информацию 🤦

Напоминаем, что на The Standoff вы можете проверить свои силы, повысить уровень квалификации и всего за несколько дней наработать уникальный опыт киберпротивостояния. В обычной жизни на это уйдут годы 🤷

Источник: https://www.anti-malware.ru/news/2021-08-17-111332/36689

Двадцать восьмой выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru.

Темы нового ролика:

🔴 атака Glowworm позволяет восстановить звук устройства от индикатора питания,
🔴 создатель инфостилера Raccoon случайно «слил» данные о нем ИБ-экспертам,
🔴 ученые нашли «недостающий фрагмент головоломки» в разработке квантовых компьютеров,
🔴 нацелившись на инфраструктуру США хакер похитил данные 100 млн абонентов T-Mobile,
🔴 77% россиян уверены, что за ними следят через гаджеты,
🔴 Госдеп США предложил хакерам в даркнете награду за информацию о группировках, атакующих США,
🔴 новое вымогательское ПО использует шифрование на уровне жестких дисков,
🔴 список разыскиваемых ФБР террористов утек в сеть,
🔴 Эрмитаж обвинил лидера Rammstein в продаже контрафактных NFT-токенов,
🔴 медицинская организация в США может потерять $106,8 млн из-за вымогателей,
🔴 разработчик «шпионского» софта Palantir Technologies Inc. потратил $50,7 млн на покупку золотых слитков,
🔴 Правительство Великобритании запустило программу Cyber Runway по поддержке новых ИБ-компаний.

✅ Киберполигон с технологическими и бизнес-процессами реальных компаний

✅ Команды атакующих

✅ Команды защитников

✅ Экспертный центр безопасности

✅ Системы безопасности самых смелых компании

✅ Расширенная деловая и техническая программа

Похоже на план очередной кибербитвы? Да, именно так!

🔥🧑‍🚒🔥 9–10 ноября 2021 года целая виртуальная страна окажется под ударом, ведь в Москве пройдет The Standoff!

Крупнейшие в мире киберучения с расширенной деловой и технической программой пройдут в гибридном формате в одном из самых больших павильонов ВДНХ в Москве.

Следите за новостями в наших пабликах в социальных сетях.

До встречи на The Standoff!

Тут эксперты назвали топ-15 уязвимостей, используемых в атаках на Linux

Если коротко: около 14 миллионов систем на базе Linux напрямую выходят в интернет, что делает их очень привлекательной целью для целого ряда кибер-атак: развертывание вредоносных веб-шеллов, майнеров, программ-вымогателей и других троянов.

На наших мероприятиях мы много говорим об этой ОС.

Например:

🔸 Сила четырех байтов: эксплуатация уязвимости в ядре Linux

🎧 Слушать
🎥 Смотреть

🔸Фаззинг ядра Linux

🎧 Слушать
🎥 Смотреть

Подробнее про уязвимости: https://www.securitylab.ru/news/523668.php

Как мы делаем The Standoff 🏭🏦🗼

С практической точки зрения главное в создании объектов на полигоне — сохранить важные свойства инфраструктуры выбранных компаний. Например, достаточный размер инфраструктуры.

У нас нет цели полностью воссоздать сеть крупного промышленного предприятия, в которой будут десятки тысяч узлов. Из-за своей сложности такие инфраструктуры бесполезны с точки зрения учений. Процесс их изучения защитниками и нападающими может занять месяцы, а нам все же необходимо сохранять условия битвы: чем больше офисов взломают атакующие, тем больше очков для победы они наберут.

С другой стороны, сеть из нескольких узлов тоже не сильно практична, так как ее мониторинг становится тривиальной задачей. Мы пришли к тому, что оптимальный размер инфраструктуры для одного предприятия — порядка сотни узлов (как серверов, так и клиентских компьютеров).

—————————

🔥🧑‍🚒🔥 9–10 ноября 2021 года целая виртуальная страна окажется под ударом, ведь в Москве пройдет The Standoff! Такое нельзя пропустить!

Двадцать девятый выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru.

Темы нового ролика:

🔴 власти Москвы ищут того, кто сможет взломать систему онлайн-голосования,
🔴 мужчина провел почти год в тюрьме из-за ошибочных доказательств на основе ИИ,
🔴 хакеры выложили 1.5 млн сканов паспортов российских граждан,
🔴 наркодилер стал миллионером из-за медлительности шведских властей,
🔴 банковские мошенники угрожают жертвам уголовным преследованием,
🔴 уязвимости в медицинском оборудовании B. Braun позволяют посторонним менять дозировку препаратов,
🔴 сбой в работе плагина привел к несанкционированной печати 3D-принтеров,
🔴 Tesla выпустит робота-гуманоида в 2022 году,
🔴 уязвимость в Razer позволяет получить привилегии администратора на Windows 10,
🔴 акции CrowdStrike Holdings подскочили в цене после заявления об их включении в Nasdaq-100,
🔴 главы ряда компаний на встрече с президентом США согласились выделить миллиарды долларов на кибербезопасность,
🔴 Байден ожидает от Путина принятия мер против киберпреступников.