Наши эксперты рассказали о главных багах безопасности уходящего года и поделились своими прогнозами на предстоящий период. Делимся подробностями.
🕵️ Уязвимости, обнаруженные экспертами PT SWARM (@ptswarm)
За 11 месяцев 2024 года команда PT SWARM (эксперты, исследующие безопасность систем и устройств) помогла устранить 100 уязвимостей нулевого дня в продуктах крупнейших мировых и отечественных производителей. При этом 75 найденных уязвимостей имели высокий или критически высокий уровень опасности.
В российском программном обеспечении специалистами PT SWARM было обнаружено на 39% больше недостатков безопасности, чем в 2023-м. При этом 42% выявленных брешей имеют высокий или критически высокий уровень опасности.
В первую очередь большое количество найденных недостатков связано с возросшим вниманием к кибербезопасности: компании начали активнее искать уязвимости, привлекать специалистов и проводить аудит ПО. Кроме того, увеличилось число исследователей, которые выявляют проблемы и сообщают о них.
Диана Абдурахманова, руководитель группы координированного раскрытия уязвимостей Positive Technologies, отметила:
«В связи с тем, что скорость патч-менеджмента увеличивается, злоумышленники будут еще активнее искать и использовать уязвимости нулевого дня, внимательно отслеживать сведения о свежих багах и создавать для них эксплойты. На фоне импортозамещения продолжит расти количество ошибок в отечественных продуктах».
⚡ Трендовые уязвимости
В этом году наши эксперты отнесли к трендовым более 70 уязвимостей (#втрендеVM): они были обнаружены в операционных системах, прикладном программном обеспечении, системах для резервного копирования, сетевых устройствах и других продуктах. Из них 32 касались продуктов Microsoft.
Больше всего трендовых уязвимостей хакеры использовали для фишинговых атак. Значительная часть этих уязвимостей представляла угрозу сетевой безопасности организаций и могла позволить злоумышленнику проникнуть в инфраструктуру.
Александр Леонов, ведущий эксперт PT Expert Security Center (@ptescalator), рассказал:
«Мы ожидаем, что в 2025 году количество трендовых уязвимостей в продуктах Microsoft сохранится примерно на том же уровне. В связи с импортозамещением предполагается уменьшение влияния ошибок в западных сетевых устройствах на российский ИТ-ландшафт. При этом ожидается увеличение числа трендовых уязвимостей в отечественном ПО: его доля на рынке растет и есть много атакующих, заинтересованных в исследовании и эксплуатации недостатков безопасности в нем».
💻 Уязвимости в аппаратных решениях
С точки зрения безопасности аппаратного обеспечения 2024 год можно назвать годом сложно устранимых и вовсе неустранимых багов, которые затрагивают огромное число пользователей.
Например, используя уязвимость в GigaDevice GD32, обнаруженную нашими экспертами, потенциальный злоумышленник может получить полный доступ к прошивке устройства (подробности в этом посте).
Кроме того, разработчики продолжают повторять старые ошибки. Например, новые SD-картридеры, как выяснили наши эксперты, позволяют подключиться к внутренней шине PCI Express ноутбука с помощью простого эмулятора SD-карты, предоставляя удобную точку входа для DMA-атак (подробности в публикации).
Алексей Усанов, руководитель направления исследований безопасности аппаратных решений Positive Technologies (@positivelabs), отметил:
«Все больше производителей начинают уделять внимание защите своих устройств от атак типа fault injection (атака с внедрением ошибок) и side-channel (атака по сторонним каналам). За последние 5–7 лет оборудование для выполнения таких атак стало относительно недорогим и их количество увеличилось. Теперь очередь за стороной защиты. Мы ожидаем нового раунда противостояния, повышения стоимости подобных атак и ставим на то, что устройства в массе своей станут более защищенными».
👀 О других прогнозах на 2025 год — читайте в материале на нашем сайте.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13🔥10❤🔥5❤2😁1
Спросим у Ярослава Бабина, директора по продуктам для симуляции атак Positive Technologies. В своей колонке для Forbes он отвечает: нет, этого мало. Ведь еще нужно правильно внедрять технические средства защиты, проводить регулярный аудит, вовремя их обновлять и подстраивать под изменения в ИТ-инфраструктуре.
Поэтому нужно не только вооружаться техническими новинками, но и проверять, как они держат удар, с помощью имитации реальных атак. Читайте в статье о том, какие способы «сыграть за хакера» существуют и почему можно доверить эту работу средствам контролируемого автоматического пентеста,
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13👍13👏8❤🔥3😁1
Пока у всех праздники, у хакеров горячие деньки 🔥
Надо успеть отправить новогодний фишинг, продать фальшивые билеты на «Щелкунчика» и оформить фейковое бронирование гостиницы в Великом Устюге.
Чтобы злоумышленники проделывали все это зря, а ваш Новый год не был испорчен, следуйте советам Ирины Зиновкиной, руководителя направления аналитических исследований Positive Technologies.
Все подробности — в карточках, вы — в праздничном настроении и в кибербезопасности.
#PositiveЭксперты
@Positive_Technologies
Надо успеть отправить новогодний фишинг, продать фальшивые билеты на «Щелкунчика» и оформить фейковое бронирование гостиницы в Великом Устюге.
Чтобы злоумышленники проделывали все это зря, а ваш Новый год не был испорчен, следуйте советам Ирины Зиновкиной, руководителя направления аналитических исследований Positive Technologies.
Все подробности — в карточках, вы — в праздничном настроении и в кибербезопасности.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20❤11❤🔥7🥰2👏2👌2💯1
📲 Разработчики Mobile Security Framework (MobSF) исправили уязвимость, обнаруженную экспертом PT SWARM Олегом Сурниным
MobSF — это платформа, которая широко распространена среди разработчиков и исследователей безопасности. Инструмент входит в состав популярных дистрибутивов операционных систем для тестирования на проникновение, таких как, например, BlackArch.
Фреймворк также востребован в задачах, связанных с выстраиванием процесса безопасной разработки. MobSF используют как независимые эксперты, так и компании, специализирующиеся на создании мобильных приложений и проведении пентестов.
👾 Уязвимость CVE-2024-31215 (BDU:2024-03055) получила оценку 6,3 балла по шкале CVSS 3.1. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО: для устранения недостатка необходимо установить MobSF версии 3.9.8 или выше.
💡 В случае неустранения уязвимости для успешной атаки могло быть достаточно, чтобы пользователь загрузил в MobSF вредоносное мобильное приложение.
Это могло произойти, например, в ходе расследования инцидента: специалисты по ИБ c помощью MobSF проверяют используемые в компании программы, которые могут показаться им подозрительными и нести потенциальную угрозу.
Уязвимости такого вида, по словам Олега, возникают в тех случаях, когда в приложении не используются механизмы проверки легитимности ресурсов, к которым выполняется запрос.
#PositiveЭксперты
@Positive_Technologies
MobSF — это платформа, которая широко распространена среди разработчиков и исследователей безопасности. Инструмент входит в состав популярных дистрибутивов операционных систем для тестирования на проникновение, таких как, например, BlackArch.
Фреймворк также востребован в задачах, связанных с выстраиванием процесса безопасной разработки. MobSF используют как независимые эксперты, так и компании, специализирующиеся на создании мобильных приложений и проведении пентестов.
👾 Уязвимость CVE-2024-31215 (BDU:2024-03055) получила оценку 6,3 балла по шкале CVSS 3.1. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО: для устранения недостатка необходимо установить MobSF версии 3.9.8 или выше.
💡 В случае неустранения уязвимости для успешной атаки могло быть достаточно, чтобы пользователь загрузил в MobSF вредоносное мобильное приложение.
Это могло произойти, например, в ходе расследования инцидента: специалисты по ИБ c помощью MobSF проверяют используемые в компании программы, которые могут показаться им подозрительными и нести потенциальную угрозу.
Олег Сурнин, руководитель группы исследования безопасности мобильных приложений PT SWARM, отметил:
«В мобильных приложениях часто используются облачные базы данных Firebase, которые компания Google предоставляет по модели „бэкенд как услуга“. Система MobSF в процессе проверки безопасности приложения анализирует защищенность таких баз данных, например их доступность без авторизации.
Атакующий мог бы написать вредоносное приложение таким образом, чтобы анализатор MobSF вместо запроса к базам данных Firebase открывал специально подготовленную злоумышленником вредоносную ссылку, откуда могла идти переадресация к ресурсам внутри сетевого контура исследователя или его компании. В зависимости от того, какой софт находится внутри сетевого периметра, атака могла бы привести к исполнению кода, краже приватных данных или другим последствиям».
Уязвимости такого вида, по словам Олега, возникают в тех случаях, когда в приложении не используются механизмы проверки легитимности ресурсов, к которым выполняется запрос.
#PositiveЭксперты
@Positive_Technologies
👍16👏10❤9🤯2🐳1
This media is not supported in your browser
VIEW IN TELEGRAM
📞 Чаще разговаривать с
✉️ Получать в сообщениях
🔤 Придумывать только
🫂 Доверять
🛡
🏗 Строить
Хороших вам праздников и безопасного Нового года!
Команда @Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍51🐳25🎉24❤🔥12❤11🥰3👏2😱2💯2👌1🤨1
🐟 Рыба, муха, перо… Нет, это не египетская письменность, а новый конкурс.
Завели себе традицию — дарить свежие номера Positive Research за разгаданные в новогодние каникулы загадки.
В этот раз вам предстоит расшифровать ребусы, нарисованные младшим поколением Positive Technologies — детьми наших коллег. Спасибо всем, кто в этом участвовал, вы —🔥
Спойлер:это значит, что у журнала появилась новая рубрика — о детской кибербезопасности, но тссс, мы вам ничего не говорили 🤫
Чтобы вам проще было отгадывать, будем давать неочевидные подсказки. Например, практически все мы в детстве занимались тем, что подразумевает сегодняшнее слово.
Уже знаете ответ? Скорее пишите его в комментариях. Журнал (после того, как он выйдет) отправим тому, кто успеет первым.
Удачи!
#PositiveResearch
@Positive_Technologies
Завели себе традицию — дарить свежие номера Positive Research за разгаданные в новогодние каникулы загадки.
В этот раз вам предстоит расшифровать ребусы, нарисованные младшим поколением Positive Technologies — детьми наших коллег. Спасибо всем, кто в этом участвовал, вы —
Спойлер:
Чтобы вам проще было отгадывать, будем давать неочевидные подсказки. Например, практически все мы в детстве занимались тем, что подразумевает сегодняшнее слово.
Уже знаете ответ? Скорее пишите его в комментариях. Журнал (после того, как он выйдет) отправим тому, кто успеет первым.
Удачи!
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🐳15🔥10❤6👍1
😎 За чем-то, что связано с этим словом, гоняются шпионы и суперагенты в кино и книгах.
Это — подсказка к сегодняшнему ребусу, картинки для которого рисовали дети сотрудников нашей компании (❤️ ).
Сумеете угадать слово и первым написать ответ в комментарии — получите первый посленовогодний выпуск журнала Positive Research.
На старт, внимание, марш!
#PositiveResearch
@Positive_Technologies
Это — подсказка к сегодняшнему ребусу, картинки для которого рисовали дети сотрудников нашей компании (
Сумеете угадать слово и первым написать ответ в комментарии — получите первый посленовогодний выпуск журнала Positive Research.
На старт, внимание, марш!
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
😁14👍10🐳4❤2
Тому, кто первым напишет в комментариях, какое слово из области ИБ мы зашифровали в сегодняшнем, отправим свежий номер Positive Research сразу после его выпуска.
Угадали? Ждем ваш ответ.
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥3😱1
🎅 Казалось бы, при чем тут дед, но он отчасти связан с нашей сегодняшней загадкой-ребусом.
В ней зашифровано еще одно слово из мира кибербезопасности. Если уже знаете какое — скорее пишите в комментариях. Первому отгадавшему подарим свежий бумажный номер Positive Research с новой детской рубрикой.
Ребусы, в основу которых легли рисунки маленьких художников, чьи родители работают в Positive Technologies, создавались именно для нее. Но мы решили опубликовать некоторые заранее, чтобы порадовать вас на каникулах.
👍 Порадуйте и вы нас — верным ответом.
#PositiveResearch
@Positive_Technologies
В ней зашифровано еще одно слово из мира кибербезопасности. Если уже знаете какое — скорее пишите в комментариях. Первому отгадавшему подарим свежий бумажный номер Positive Research с новой детской рубрикой.
Ребусы, в основу которых легли рисунки маленьких художников, чьи родители работают в Positive Technologies, создавались именно для нее. Но мы решили опубликовать некоторые заранее, чтобы порадовать вас на каникулах.
👍 Порадуйте и вы нас — верным ответом.
#PositiveResearch
@Positive_Technologies
👍8❤5🔥4
Подсказки сегодня в эмодзи: 👥🐟 0️⃣3️⃣2️⃣0️⃣2️⃣3️⃣
Сможете узнать, что скрывается в ребусе? За первый правильный ответ в комментариях вручим вам свеженький послепраздничный номер Positive Research.
А уже завтра мы опубликуем все правильные ответы и назовем имена победителей. Не пропустите новый пост!
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤2🔥1
Не переживаем по этому поводу, ведь впереди столько интересного.
Кстати об этом: обещали опубликовать правильные ответы на ребусы — публикуем.
Благодарим всех за участие и поздравляем тех, кто первыми все разгадали ❤️
Вскоре свяжемся с вами, чтобы узнать, куда отправить призы.
Хорошей всем первой короткой рабочей недели и красочного года!
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥24❤11🥰10😁3👏2👍1
This media is not supported in your browser
VIEW IN TELEGRAM
Можно посмотреть в стеклянном шаре, разложить Таро или послушать, что об этом говорят эксперты по кибербезопасности.
Например, Алексей Новиков, управляющий директор Positive Technologies, считает, что:
⬆️ размеры выкупов за расшифровку и непубликацию похищенной информации существенно возрастут;
👥 при этом злоумышленники могут работать в коллаборации и сливать скомпилированные данные, из-за чего расследовать утечки станет сложнее.
Как индустрия может ответить на эти вызовы и что Алексей Новиков
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22👍16❤8🤨6❤🔥2👌2💯2😁1
Следуйте за котиком 🐈⬛
В нашем блоге на Хабре наши авторы регулярно публикуют много полезных и интересных статей. Мы благодарны всем, кто их комментирует и ставит свои стрелочки вверх (а с недавних пор еще и эмоциональных мозговых слизней😍 ).
Специально для вас к новому году мы подготовили небольшой квест по нашему блогу — уверены, вам понравится поломать голову и поискать ответы на вопросы. А бонусом — первым трем ответившим на все максимально полно мы подарим классные призы🎁
Ждем ваших ответов — в комментариях на Хабре!
Спойлер:загадки вас ждут даже на картинке к квесту 🔍
@Positive_Technologies
В нашем блоге на Хабре наши авторы регулярно публикуют много полезных и интересных статей. Мы благодарны всем, кто их комментирует и ставит свои стрелочки вверх (а с недавних пор еще и эмоциональных мозговых слизней
Специально для вас к новому году мы подготовили небольшой квест по нашему блогу — уверены, вам понравится поломать голову и поискать ответы на вопросы. А бонусом — первым трем ответившим на все максимально полно мы подарим классные призы
Ждем ваших ответов — в комментариях на Хабре!
Спойлер:
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18❤7👏5
Как безопасность стала ключевым критерием качества приложений 👌
Сегодня красивый интерфейс, удачно расположенные кнопки, полезные функции и быстрая работа еще не означают, что приложение — качественное. По данным нашего исследования, каждая пятая утечка на рынке связана с уязвимостями приложений, а взломанное ПО вместе с деньгами и репутацией быстро теряет клиентов.
Поэтому для заказчиков, разработчиков и пользователей на фоне роста кибератак стало очевидно, что если приложение не киберустойчивое, то оно не может быть качественным. Об этом в интервью изданию PRODELO рассказала Светлана Газизова, руководитель направления построения процессов безопасной разработки в Positive Technologies.
🧐 Чтобы избежать критических последствий, сегодня о защите приложения нужно задумываться задолго до его запуска.
А для этого важно:
1️⃣ Внедрять инструменты, которые проверяют код на уязвимости и слабые места на стадии разработки. Без них сейчас едва ли можно создать безопасное приложение.
2️⃣ Когда инструменты указывают на недостатки, их нужно оперативно устранять — от самых критичных до менее важных. Для этого важно, чтобы разработчики и специалисты по кибербезопасности знали, как работать с этими инструментами.
3️⃣ Быть готовым проверить безопасность приложения с помощью багбаунти.
📲 Подробнее о том, как подготовить приложение к неизбежным кибератакам, читайте в интервью Светланы на сайте PRODELO.
#PositiveЭксперты
@Positive_Technologies
Сегодня красивый интерфейс, удачно расположенные кнопки, полезные функции и быстрая работа еще не означают, что приложение — качественное. По данным нашего исследования, каждая пятая утечка на рынке связана с уязвимостями приложений, а взломанное ПО вместе с деньгами и репутацией быстро теряет клиентов.
Поэтому для заказчиков, разработчиков и пользователей на фоне роста кибератак стало очевидно, что если приложение не киберустойчивое, то оно не может быть качественным. Об этом в интервью изданию PRODELO рассказала Светлана Газизова, руководитель направления построения процессов безопасной разработки в Positive Technologies.
А для этого важно:
1️⃣ Внедрять инструменты, которые проверяют код на уязвимости и слабые места на стадии разработки. Без них сейчас едва ли можно создать безопасное приложение.
2️⃣ Когда инструменты указывают на недостатки, их нужно оперативно устранять — от самых критичных до менее важных. Для этого важно, чтобы разработчики и специалисты по кибербезопасности знали, как работать с этими инструментами.
3️⃣ Быть готовым проверить безопасность приложения с помощью багбаунти.
📲 Подробнее о том, как подготовить приложение к неизбежным кибератакам, читайте в интервью Светланы на сайте PRODELO.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19❤11👏6❤🔥1🥰1
Метод такой: берем самые прорывные технологии и смотрим, какие кибератаки можно будет проводить как на них, так и с их помощью.
Что получилось, подробно рассказываем в нашем новом исследовании, а чуть менее подробно — на карточках.
Делитесь в комментариях вашими версиями прогнозов, а в конце года посмотрим, что сбылось, а что нет 😉
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20❤10👏6❤🔥4🤯3🔥2😁1