При помощи Алексея Лукацкого сделали для вас целую подборку из таких «блинов комом» с фатальными последствиями: начиная со знаменитого червя Морриса из 80-х
Так что берите свой еще теплый блинчик, макайте в сметану или варенье и читайте наши карточки. А если вам есть что рассказать о
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥18🔥12😁12❤7🤔3🤩3👍2🥰2🐳2🤯1
Срочно возвращайте себе хорошее настроение и готовьте тезисы доклада: мы продлеваем сроки приема заявок от спикеров до 10 марта.
Ждем всех, вне зависимости от возраста, статуса и опыта, со свежим взглядом на следующие темы:
• Разработка (принципы построения систем, распределенные решения, масштабирование, алгоритмы, работа с ОС и т. п.)
• Open source & open security (open-source-проекты в сфере ИБ и не только, платформы и инструменты для работы с открытым кодом)
• Отражение атак (defensive security)
• Защита через нападение (offensive security)
• ИИ в кибербезопасности
• Девайсы и технологии
• Научпоп
• Web3 и другие
🐗 А также тех, кто хочет выступить в бизнес-треке и рассказать, например, о своем опыте построения результативной кибербезопасности или налаживания диалога между CISO и топ-менеджментом.
Не упустите свой шанс выступить
#PHDays
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14🔥9🤩8
Forwarded from ESCalator
Не выбрасывай старый айфон, пока не прочитаешь этот пост (и после тоже) 🚮
Недавно нашему эксперту Виталию, который занимается расследованиями инцидентов с мобильными устройствами, на анализ попал iPhone 5s, на экране которого отображался знакомый многим текст: «iPhone отключен. Подключитесь к iTunes». Это означало, что после 10 неверных попыток ввода пароля устройство заблокировалось. Казалось бы, все данные утеряны, но у Виталия была идея, как их можно извлечь💡
🔑 Используем checkm8
Для доступа к данным он решил воспользоваться аппаратной уязвимостью iPhone, которая присутствует в процессорах A5–A11. Эксплойт checkm8 позволяет загрузить мобильное устройство в режиме BFU (before first unlock) и извлечь оттуда данные.
💰 Какие данные удалось извлечь
С помощью
При анализе эксперт обнаружил:
• Артефакты устройства: модель, версию iOS, серийный номер, IMEI.
• Данные пользователя: номер телефона, информацию о сим-картах, учетных записях, избранных и заблокированных контактах и др.
• Параметры сетевых соединений: список ранее подключенных Wi-Fi-сетей, Bluetooth-устройств, их MAC-адреса.
• Артефакты приложений: данные из незашифрованных баз данных и кэша некоторых приложений.
🎆 Итог
Этот эксперимент показал, что даже заблокированные iPhone хранят ценную информацию, которую можно извлечь при наличии нужных инструментов и знаний. Это еще раз подтверждает важность надежного шифрования и своевременного удаления конфиденциальных данных перед продажей устройства.
С полным текстом проведенного исследования можете ознакомиться в статье на Хабре.
#dfir #mobile #ios
@ptescalator
Недавно нашему эксперту Виталию, который занимается расследованиями инцидентов с мобильными устройствами, на анализ попал iPhone 5s, на экране которого отображался знакомый многим текст: «iPhone отключен. Подключитесь к iTunes». Это означало, что после 10 неверных попыток ввода пароля устройство заблокировалось. Казалось бы, все данные утеряны, но у Виталия была идея, как их можно извлечь
Для доступа к данным он решил воспользоваться аппаратной уязвимостью iPhone, которая присутствует в процессорах A5–A11. Эксплойт checkm8 позволяет загрузить мобильное устройство в режиме BFU (before first unlock) и извлечь оттуда данные.
💰 Какие данные удалось извлечь
С помощью
Elcomsoft iOS Forensic Toolkit и UFED 4PC извлек данные из связки ключей (keychain) и файловой системы устройства.При анализе эксперт обнаружил:
• Артефакты устройства: модель, версию iOS, серийный номер, IMEI.
• Данные пользователя: номер телефона, информацию о сим-картах, учетных записях, избранных и заблокированных контактах и др.
• Параметры сетевых соединений: список ранее подключенных Wi-Fi-сетей, Bluetooth-устройств, их MAC-адреса.
• Артефакты приложений: данные из незашифрованных баз данных и кэша некоторых приложений.
Этот эксперимент показал, что даже заблокированные iPhone хранят ценную информацию, которую можно извлечь при наличии нужных инструментов и знаний. Это еще раз подтверждает важность надежного шифрования и своевременного удаления конфиденциальных данных перед продажей устройства.
С полным текстом проведенного исследования можете ознакомиться в статье на Хабре.
#dfir #mobile #ios
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥36👍15❤9💯6
Во-первых, определить критически опасные события, которые недопустимы для вашей компании, во-вторых, знать, как защитить от них свой бизнес.
Вместе со СберУниверситетом мы запускаем новый поток совместно разработанной двухдневной программы «Информационная безопасность бизнеса». Обучение пройдет 21–22 марта.
Спикерами на двухдневном очном интенсиве станут Алексей Лукацкий, бизнес-консультант по информационной безопасности, и Андрей Кузин, операционный директор Positive Technologies. Они расскажут, как ИБ влияет на устойчивость бизнеса и почему кибербезопасность — это не только про ИТ, а про финансы, репутацию и управление. А также подскажут, как выстроить стратегию защиты с учетом реальных рисков, помогут начать разговаривать с командами ИБ и ИТ на одном языке и задавать им правильные вопросы.
👉 Всем заинтересовавшимся рассказываем, где можно узнать о программе подробнее.
Positive Education помогает развивать команды на разных уровнях для обеспечения результативной кибербезопасности. Наш подход — это много практики, передовые технологии и гибкий формат. Подробности — на сайте Positive Education.
@Positive_Technologies
#PositiveEducation
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16❤7👏5❤🔥2🔥1🎉1
🛍 «Магнит» внедрил MaxPatrol SIEM для непрерывного мониторинга событий кибербезопасности и управления инцидентами
На первом этапе проекта наша система отслеживает десятки тысяч узлов и обрабатывает более 20 000 событий в секунду, планируется, что целевая конфигурация после подключения оставшихся источников будет обрабатывать до 100 000 событий в секунду.
👋 Почему «Магнит» выбрал MaxPatrol SIEM
Одна из ведущих розничных сетей в России реализовывала проект импортозамещения: до выбора нашего продукта компания использовала зарубежную SIEM-систему.
При реализации проекта ритейлеру было необходимо сохранить киберустойчивость и непрерывность бизнеса, встроив новую систему в существующие процессы. Кроме того, специалистам розничной сети требовался удобный интерфейс для создания пользовательских правил нормализации и корреляции.
Лучше всех требованиям компании при тестировании разных продуктов соответствовала MaxPatrol SIEM.
🤝 Как проходит внедрение MaxPatrol SIEM
Сегодня с MaxPatrol SIEM работают 10 специалистов «Магнита». В качестве базы данных используется LogSpace, разработанная Positive Technologies специально для решения задач хранения больших объемов информации о событиях из разнообразных источников.
К системе подключено более 60 групп источников, которые собирают события с десятков тысяч активов.
MaxPatrol SIEM также поддерживает шесть критически важных бизнес-систем, которые хранят свои журналы в базах данных, — это кастомные источники.
👀 Один из практических кейсов мониторинга — аудит безопасности ресурсов, размещенных в Yandex Cloud, сопровождающийся контролем сетевого периметра.
MaxPatrol SIEM также использует информацию, собранную со СКУД, чтобы выявлять потенциальные инциденты, связанные с несанкционированным доступом к информационным системам ритейлера.
💡 Помимо MaxPatrol SIEM и PT Application Firewall, «Магнит» использует систему для обнаружения уязвимостей и эффективного управления ими — MaxPatrol VM.
Кроме того, в 2025 году компания планирует внедрить встроенный в MaxPatrol SIEM ML-модуль Behavioral Anomaly Detection (BAD), который помогает распознавать аномальное поведение пользователей или сущностей в IT-инфраструктуре организации и оценивать степень риска обнаруженных угроз.
#MaxPatrolSIEM
@Positive_Technologies
На первом этапе проекта наша система отслеживает десятки тысяч узлов и обрабатывает более 20 000 событий в секунду, планируется, что целевая конфигурация после подключения оставшихся источников будет обрабатывать до 100 000 событий в секунду.
👋 Почему «Магнит» выбрал MaxPatrol SIEM
Одна из ведущих розничных сетей в России реализовывала проект импортозамещения: до выбора нашего продукта компания использовала зарубежную SIEM-систему.
При реализации проекта ритейлеру было необходимо сохранить киберустойчивость и непрерывность бизнеса, встроив новую систему в существующие процессы. Кроме того, специалистам розничной сети требовался удобный интерфейс для создания пользовательских правил нормализации и корреляции.
Лучше всех требованиям компании при тестировании разных продуктов соответствовала MaxPatrol SIEM.
🤝 Как проходит внедрение MaxPatrol SIEM
Сегодня с MaxPatrol SIEM работают 10 специалистов «Магнита». В качестве базы данных используется LogSpace, разработанная Positive Technologies специально для решения задач хранения больших объемов информации о событиях из разнообразных источников.
К системе подключено более 60 групп источников, которые собирают события с десятков тысяч активов.
Среди основных узлов:
• Windows- и Unix-системы;
• сетевые устройства;
• решения для удаленного доступа и системы виртуализации;
• основные средства защиты информации для контроля безопасности инфраструктуры (PT Application Firewall, антивирусные программы);
• почтовый сервис.
MaxPatrol SIEM также поддерживает шесть критически важных бизнес-систем, которые хранят свои журналы в базах данных, — это кастомные источники.
Алексей Бобровский, руководитель SOC группы компаний «Магнит», отметил:
«MaxPatrol SIEM помогает не только сотрудникам SOC, но и другим подразделениям. Например, IT-специалисты используют отчеты MaxPatrol SIEM для поддержки пользователей и администрирования систем. В свою очередь, подразделение, занимающееся антифродом, обнаруживает мошенников по аномальной активности в программах лояльности, которую выявляет система».
👀 Один из практических кейсов мониторинга — аудит безопасности ресурсов, размещенных в Yandex Cloud, сопровождающийся контролем сетевого периметра.
MaxPatrol SIEM также использует информацию, собранную со СКУД, чтобы выявлять потенциальные инциденты, связанные с несанкционированным доступом к информационным системам ритейлера.
Александр Василенко, директор по информационной безопасности группы компаний «Магнит», рассказал:
«Для нас было важно, чтобы новая SIEM-система позволяла оперативно выявлять потенциальные угрозы. — MaxPatrol SIEM отвечает запросам информационной безопасности "Магнита". Сегодня продукт полностью закрывает потребности компании по мониторингу и выявлению кибератак».
💡 Помимо MaxPatrol SIEM и PT Application Firewall, «Магнит» использует систему для обнаружения уязвимостей и эффективного управления ими — MaxPatrol VM.
Кроме того, в 2025 году компания планирует внедрить встроенный в MaxPatrol SIEM ML-модуль Behavioral Anomaly Detection (BAD), который помогает распознавать аномальное поведение пользователей или сущностей в IT-инфраструктуре организации и оценивать степень риска обнаруженных угроз.
#MaxPatrolSIEM
@Positive_Technologies
👍37🔥14❤12👏8😁2
This media is not supported in your browser
VIEW IN TELEGRAM
Мы провели третий митап Positive Hack Talks! На этот раз — в Египте 🇪🇬
Наш ивент для специалистов по кибербезопасности собрал более 200 участников — настоящих профессионалов индустрии, студентов и начинающих исследователей. Своими знаниями и опытом поделились как российские, так и местные эксперты.
Митап прошел в столице Египта — Каире, участники в неформальной обстановке задержались с нами до позднего вечера 😏
🧞 Стремительная цифровизация Египта привлекает внимание киберпреступников: по данным нашего исследования, страна занимает второе место в Африке по числу кибератак.
В прошлом году аналитики Positive Technologies обнаружили на теневых форумах более сотни объявлений о продаже или бесплатном распространении похищенных баз данных, содержащих конфиденциальную информацию граждан и организаций Египта. В одном из постов речь шла о продаже персональных данных 85 млн граждан.
В таких условиях обеспечение кибербезопасности компаний и защита данных клиентов становятся одной из приоритетных задач для бизнеса и государства.
🎤 На Positive Hack Talks эксперты разобрали ключевые темы в сфере кибербезопасности.
• Ахмед Карамани, пентестер в DeepStrike, продемонстрировал структурированный подход к тестированию безопасности GraphQL.
• Фарес Валид, старший консультант по ИБ в компании Buguard, рассказал о нестандартных методах выявления ошибок бизнес-логики и анализа JavaScript.
• Ксения Наумова, старший специалист отдела сетевой экспертизы антивирусной лаборатории PT ESC, поделилась опытом обнаружения новых угроз с помощью общих сетевых правил.
Всего на митапе выступили семь экспертов, среди которых также были пентестер веб-приложений Асем Элераки, багхантер Сергей Темников, исследователь безопасности в Университете прикладных наук Западной Швейцарии Роланд Сако и основатель BSides Ahmedabad Нихил Шривастава.
🇮🇳🇻🇳 Серию зарубежных митапов Positive Hack Talks мы запустили в 2024 году, предыдущие встречи прошли во Вьетнаме и Индии.
💼 В прошлом году мы заключили соглашения о сотрудничестве с целым рядом поставщиков услуг и решений ИБ в Египте и регионе. Мы продолжим расширять нашу партнерскую сеть на Ближнем Востоке и в Африке, способствовать развитию кадрового потенциала разных стран через общие образовательные проекты и будем рады делиться с коллегами нашей богатой экспертизой и практическим опытом.
@Positive_Technologies
Наш ивент для специалистов по кибербезопасности собрал более 200 участников — настоящих профессионалов индустрии, студентов и начинающих исследователей. Своими знаниями и опытом поделились как российские, так и местные эксперты.
Митап прошел в столице Египта — Каире, участники в неформальной обстановке задержались с нами до позднего вечера 😏
🧞 Стремительная цифровизация Египта привлекает внимание киберпреступников: по данным нашего исследования, страна занимает второе место в Африке по числу кибератак.
В прошлом году аналитики Positive Technologies обнаружили на теневых форумах более сотни объявлений о продаже или бесплатном распространении похищенных баз данных, содержащих конфиденциальную информацию граждан и организаций Египта. В одном из постов речь шла о продаже персональных данных 85 млн граждан.
В таких условиях обеспечение кибербезопасности компаний и защита данных клиентов становятся одной из приоритетных задач для бизнеса и государства.
Дмитрий Серебрянников, директор по анализу защищенности в Positive Technologies, отметил:
«Митап в Каире — новый важный шаг в формировании глобального комьюнити экспертов по кибербезопасности. Мы видим в этом свою миссию. Ее цель — обмениваться знаниями, вместе повышать уровень защищенности и противостоять росту числа киберугроз во всем мире».
• Ахмед Карамани, пентестер в DeepStrike, продемонстрировал структурированный подход к тестированию безопасности GraphQL.
• Фарес Валид, старший консультант по ИБ в компании Buguard, рассказал о нестандартных методах выявления ошибок бизнес-логики и анализа JavaScript.
• Ксения Наумова, старший специалист отдела сетевой экспертизы антивирусной лаборатории PT ESC, поделилась опытом обнаружения новых угроз с помощью общих сетевых правил.
Всего на митапе выступили семь экспертов, среди которых также были пентестер веб-приложений Асем Элераки, багхантер Сергей Темников, исследователь безопасности в Университете прикладных наук Западной Швейцарии Роланд Сако и основатель BSides Ahmedabad Нихил Шривастава.
🇮🇳🇻🇳 Серию зарубежных митапов Positive Hack Talks мы запустили в 2024 году, предыдущие встречи прошли во Вьетнаме и Индии.
💼 В прошлом году мы заключили соглашения о сотрудничестве с целым рядом поставщиков услуг и решений ИБ в Египте и регионе. Мы продолжим расширять нашу партнерскую сеть на Ближнем Востоке и в Африке, способствовать развитию кадрового потенциала разных стран через общие образовательные проекты и будем рады делиться с коллегами нашей богатой экспертизой и практическим опытом.
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤23👍12🔥7👏4🥰3🤯2🐳1
Forwarded from ESCalator
Desert Dexter — группировка, атакующая жителей арабских государств 👽
Cпециалисты группы киберразведки TI-департамента PT ESC обнаружили вредоносную кампанию, нацеленную на жителей стран Ближнего Востока и Северной Африки, активную с сентября 2024 года.
👾 В качестве ВПО выступает AsyncRAT, использующий модифицированный модуль IdSender, который собирает информацию о наличии в браузерах расширений для двухфакторной аутентификации, расширений криптокошельков, а также о наличии ПО для работы с ними.
Для распространения AsyncRAT злоумышленники создают поддельные новостные группы в социальных сетях и публикуют посты с рекламой. Эти посты содержат ссылки на файлообменник или Telegram-канал, где и располагается вредонос.
🔍 В ходе исследования мы обнаружили около 900 потенциальных жертв, большая часть которых — обычные пользователи.
Подробное изучение инцидентов и пострадавших показало, что наиболее атакуемыми странами являются Египет 🇪🇬, Катар 🇶🇦, Ливия 🇱🇾, ОАЭ 🇦🇪, Саудовская Аравия 🇸🇦 и Турция 🇹🇷. Мы назвали группировку Desert Dexter, в честь одного из подозреваемых.
👤 Мы также выяснили, что злоумышленники создают временные аккаунты и новостные каналы в «лицекниге»* и обходят правила фильтрации рекламы. Подобная атака была описана в 2019 году экспертами Check Point, но сейчас наблюдается изменение некоторых ее техник.
🐃 Подробнее о том, какую цепочку атаки подготовила Desert Dexter, читайте в исследовании на нашем сайте.
*Принадлежит Meta, которая признана экстремистской организацией и запрещена в России.
#TI #APT #malware
@ptescalator
Cпециалисты группы киберразведки TI-департамента PT ESC обнаружили вредоносную кампанию, нацеленную на жителей стран Ближнего Востока и Северной Африки, активную с сентября 2024 года.
👾 В качестве ВПО выступает AsyncRAT, использующий модифицированный модуль IdSender, который собирает информацию о наличии в браузерах расширений для двухфакторной аутентификации, расширений криптокошельков, а также о наличии ПО для работы с ними.
Для распространения AsyncRAT злоумышленники создают поддельные новостные группы в социальных сетях и публикуют посты с рекламой. Эти посты содержат ссылки на файлообменник или Telegram-канал, где и располагается вредонос.
Подробное изучение инцидентов и пострадавших показало, что наиболее атакуемыми странами являются Египет 🇪🇬, Катар 🇶🇦, Ливия 🇱🇾, ОАЭ 🇦🇪, Саудовская Аравия 🇸🇦 и Турция 🇹🇷. Мы назвали группировку Desert Dexter, в честь одного из подозреваемых.
👤 Мы также выяснили, что злоумышленники создают временные аккаунты и новостные каналы в «лицекниге»* и обходят правила фильтрации рекламы. Подобная атака была описана в 2019 году экспертами Check Point, но сейчас наблюдается изменение некоторых ее техник.
🐃 Подробнее о том, какую цепочку атаки подготовила Desert Dexter, читайте в исследовании на нашем сайте.
*Принадлежит Meta, которая признана экстремистской организацией и запрещена в России.
#TI #APT #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17❤10❤🔥6🔥2
👾 Эксперт PT Swarm Никита Петров помог Veeam Software устранить уязвимость в консоли управления операциями и услугами для сервис-провайдеров
Разработчик решений для резервного копирования Veeam Software устранил уязвимость в Veeam Service Provider Console. Решения разработчика, по его данным, используют более 550 тысяч клиентов из разных стран, включая 74% компаний из списка Forbes Global 2000.
⚡ Уязвимость CVE-2024-45206 (BDU:2024-1170) типа SSRF, обнаруженная Никитой, получила оценку 6,5 балла по шкале CVSS 3.0. Уязвимости были подвержены версии Veeam Service Provider Console 7.0–8.0.
Эксплуатация недостатка могла бы подвергнуть компании риску атак на внутренние сети, так как позволяла злоумышленнику отправлять произвольные HTTP-запросы к внешним или внутренним ресурсам от имени сервера.
Veeam Service Provider Console потенциально могла быть атакована напрямую из глобальной сети. В январе 2025 года, по данным открытых источников, в мире насчитывалось 2587 уязвимых систем.
🔧 Для исправления недостатка необходимо в кратчайшие сроки установить Veeam Service Provider Console версии 8.1.0.21377 и выше.
💡 Это не первая уязвимость в продуктах Veeam Software, которую эксперты Positive Technologies помогли устранить.
В 2022 году Никита Петров обнаружил сразу два недостатка безопасности в Veeam Backup & Replication — популярной системе резервного копирования, которая позволяет автоматизировать процессы создания бэкапа и аварийного восстановления. Еще один дефект был выявлен в Veeam Agent for Microsoft Windows — программе для резервного копирования данных Windows.
😠 Подробности — на нашем сайте.
#PositiveЭксперты
@Positive_Technologies
Разработчик решений для резервного копирования Veeam Software устранил уязвимость в Veeam Service Provider Console. Решения разработчика, по его данным, используют более 550 тысяч клиентов из разных стран, включая 74% компаний из списка Forbes Global 2000.
⚡ Уязвимость CVE-2024-45206 (BDU:2024-1170) типа SSRF, обнаруженная Никитой, получила оценку 6,5 балла по шкале CVSS 3.0. Уязвимости были подвержены версии Veeam Service Provider Console 7.0–8.0.
Эксплуатация недостатка могла бы подвергнуть компании риску атак на внутренние сети, так как позволяла злоумышленнику отправлять произвольные HTTP-запросы к внешним или внутренним ресурсам от имени сервера.
Veeam Service Provider Console потенциально могла быть атакована напрямую из глобальной сети. В январе 2025 года, по данным открытых источников, в мире насчитывалось 2587 уязвимых систем.
Никита Петров отметил:
«До выпуска обновления уязвимость в первую очередь несла риск для предприятий сегмента large enterprise — основных пользователей Veeam Service Provider Console. Злоумышленники могли бы инициировать запрос от сервера к ресурсу, к которому нет доступа извне, и получить возможность взаимодействовать с ним. Это позволило бы им получить сведения о сетевой инфраструктуре жертвы и таким образом упростить проведение и последующее развитие атак. Так, например, одним из возможных последствий проникновения могла бы стать эксплуатация уязвимостей, содержащихся во внутренних системах».
В 2022 году Никита Петров обнаружил сразу два недостатка безопасности в Veeam Backup & Replication — популярной системе резервного копирования, которая позволяет автоматизировать процессы создания бэкапа и аварийного восстановления. Еще один дефект был выявлен в Veeam Agent for Microsoft Windows — программе для резервного копирования данных Windows.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21👍8❤7👏1
🔥 Проверим защищенность девяти продуктов Positive Technologies на Standoff Bug Bounty
Мы запустили новую продуктовую программу кибериспытаний — с ее помощью мы хотим оценить, возможна ли реализация недопустимых для наших клиентов событий через эксплуатацию потенциальных недостатков продуктов Positive Technologies.
Для этого мы предлагаем исследователям выявить полноценные сценарии атак, которые способны привести к остановке бизнес-процессов из-за сбоя в системах, нарушению работы защитных функций и массовой утечке данных.
В программе участвуют девять наших продуктов: MaxPatrol SIEM, MaxPatrol VM, MaxPatrol EDR, PT Network Attack Discovery, PT Sandbox, PT MultiScanner, PT Application Firewall, PT Application Inspector, PT BlackBox.
🫰 За обнаруженные недостатки в защите исследователи могут получить до 2 млн рублей. Размер вознаграждения будет зависеть от уровня опасности сценария.
💡 Для получения вознаграждения исследователю необходимо сдать отчет, который должен содержать описание действий атакующего с учетом уровня доступа — от внешнего злоумышленника до пользователя с учетной записью и правами доступа к интерфейсу управления продуктом. Сценарии атак должны соответствовать строгим требованиям, указанным в условиях программы.
👉 Программа кибериспытаний доступна на Standoff Bug Bounty для всех исследователей безопасности.
@Positive_Technologies
Мы запустили новую продуктовую программу кибериспытаний — с ее помощью мы хотим оценить, возможна ли реализация недопустимых для наших клиентов событий через эксплуатацию потенциальных недостатков продуктов Positive Technologies.
Для этого мы предлагаем исследователям выявить полноценные сценарии атак, которые способны привести к остановке бизнес-процессов из-за сбоя в системах, нарушению работы защитных функций и массовой утечке данных.
В программе участвуют девять наших продуктов: MaxPatrol SIEM, MaxPatrol VM, MaxPatrol EDR, PT Network Attack Discovery, PT Sandbox, PT MultiScanner, PT Application Firewall, PT Application Inspector, PT BlackBox.
Алексей Гончаров, руководитель продуктовой безопасности Positive Technologies, отметил:
«Наша цель — предотвратить атаки, которые можно было бы реализовать через использование возможных недостатков в решениях компании, и тем самым обезопасить от серьезного ущерба бизнес и его клиентов. Запуск программы — еще один шаг к постоянной проверке защищенности продуктов Positive Technologies и в целом к укреплению безопасности инфраструктуры организаций, использующих наши решения»
💡 Для получения вознаграждения исследователю необходимо сдать отчет, который должен содержать описание действий атакующего с учетом уровня доступа — от внешнего злоумышленника до пользователя с учетной записью и правами доступа к интерфейсу управления продуктом. Сценарии атак должны соответствовать строгим требованиям, указанным в условиях программы.
👉 Программа кибериспытаний доступна на Standoff Bug Bounty для всех исследователей безопасности.
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15❤🔥7🤯5❤3👍1
🤝 Positive Technologies и «АртЭКС» протестировали интеграцию PT Network Attack Discovery с ArtX TLSproxy — ПО, предназначенного для расшифровки любых протоколов поверх SSL и TLS.
Совместное использование продуктов дает большую видимость сети и расширяет возможности анализа сетевого поведения. Кроме того, объединение решений позволяет выявлять и отражать атаки злоумышленников, взаимодействующих с центрами удаленного управления по защищенному каналу.
🔑 Использование шифрования повышает конфиденциальность сетевого взаимодействия и при этом затрудняет выявление злоумышленников для некоторых решений, например для продуктов класса NTA (network traffic analysis).
Для обеспечения максимальной видимости следует работать с расшифрованной копией трафика. Получить ее возможно с помощью сторонних инструментов для аудита зашифрованных соединений, таких как ArtX TLSproxy. ArtX TLSproxy расшифровывает трафик разово, снижая нагрузку на остальные системы, и обеспечивает единообразный доступ к расшифрованным данным для всех потребителей. При этом гарантирует обратное шифрование, сохраняя высокий уровень защищенности.
ArtX TLSproxy обеспечивает раскрытие шифрованного веб-трафика и передачу копии в PT NAD. Наша NTA-система анализирует поток с помощью сигнатурного анализа, встроенных модулей с правилами экспертизы и эффективно выявляет атаки и аномалии в сети.
📃 Оба продукта внесены в единый реестр российского ПО, а корректность их совместной работы проверена специалистами Positive Technologies и «АртЭКС» в ходе тестирований.
Подробности — на нашем сайте.
#PTNAD
@Positive_Technologies
Совместное использование продуктов дает большую видимость сети и расширяет возможности анализа сетевого поведения. Кроме того, объединение решений позволяет выявлять и отражать атаки злоумышленников, взаимодействующих с центрами удаленного управления по защищенному каналу.
💡 Шифрованный трафик все чаще используют как для легитимных, так и для мошеннических действий. По данным Google Transparency Report, за последние 8 лет объем шифрованного веб-трафика в мире вырос на 50–80% в зависимости от страны.
Опыт экспертного центра безопасности Positive Technologies (PT Expert Security Center) показывает, что злоумышленники часто маскируют свой канал коммуникации с С2-серверами под TLS-соединение, создавая видимость легитимного сервиса.
🔑 Использование шифрования повышает конфиденциальность сетевого взаимодействия и при этом затрудняет выявление злоумышленников для некоторых решений, например для продуктов класса NTA (network traffic analysis).
Для обеспечения максимальной видимости следует работать с расшифрованной копией трафика. Получить ее возможно с помощью сторонних инструментов для аудита зашифрованных соединений, таких как ArtX TLSproxy. ArtX TLSproxy расшифровывает трафик разово, снижая нагрузку на остальные системы, и обеспечивает единообразный доступ к расшифрованным данным для всех потребителей. При этом гарантирует обратное шифрование, сохраняя высокий уровень защищенности.
ArtX TLSproxy обеспечивает раскрытие шифрованного веб-трафика и передачу копии в PT NAD. Наша NTA-система анализирует поток с помощью сигнатурного анализа, встроенных модулей с правилами экспертизы и эффективно выявляет атаки и аномалии в сети.
Виктор Еременко, лидер продуктовой практики PT NAD в Positive Technologies, отметил:
«Практически весь веб-трафик сейчас шифрованный, из-за чего у многих отечественных компаний назрела потребность в его анализе, причем качественном. По статистике Positive Technologies, в TLS-трафике могут скрываться банковские трояны (TrickBot, Zbot и другие), шифровальщики, вредоносное ПО для кражи данных, а также попытки эксплуатации уязвимостей, включая 0-day. Пилотные проекты по внедрению связки PT NAD и ArtX TLSproxy уже стартовали. При этом стоит учитывать, что интеграцию необходимо закладывать еще на этапе проектирования безопасности сети».
📃 Оба продукта внесены в единый реестр российского ПО, а корректность их совместной работы проверена специалистами Positive Technologies и «АртЭКС» в ходе тестирований.
Подробности — на нашем сайте.
#PTNAD
@Positive_Technologies
👍14👏6❤5🥰1👌1
Media is too big
VIEW IN TELEGRAM
🪲 В конце прошлого года двадцать топовых багхантеров со всего мира в закрытом режиме на Standoff Hacks испытали безопасность сервисов Т-Банка, VK и Wildberries
😎 Standoff Hacks — это серия закрытых мероприятий для лучших исследователей, которые в экспресс-режиме (за две недели) помогают компаниям находить критически опасные ошибки безопасности в их продуктах до того, как ими воспользуются злоумышленники.
По итогам пятого Standoff Hacks, финальный день которого прошел во Вьетнаме, багхантеры сдали 220 отчетов о найденных недостатках — это позволит компаниям вовремя их устранить и сделать свои сервисы безопаснее.
Впервые в Standoff Hacks участвовали зарубежные специалисты, которые получили доступ к эксклюзивным сервисам. В Ханое багхантеры и представители компаний подвели итоги двухнедельных тестирований и обменялись опытом.
👀 О том, как прошел Standoff Hacks для компаний и какую пользу они получили, — смотрите в нашем небольшом видео из Вьетнама.
💡 Программы багбаунти от Т-Банка, VK и у Wildberries доступны исследователям со всего мира 24/7 на платформе Standoff Bug Bounty. С помощью Standoff Hacks компании из различных отраслей могут протестировать свои новые сервисы и заблаговременно устранить недостатки.
#StandoffHacks
@Positive_Technologies
😎 Standoff Hacks — это серия закрытых мероприятий для лучших исследователей, которые в экспресс-режиме (за две недели) помогают компаниям находить критически опасные ошибки безопасности в их продуктах до того, как ими воспользуются злоумышленники.
По итогам пятого Standoff Hacks, финальный день которого прошел во Вьетнаме, багхантеры сдали 220 отчетов о найденных недостатках — это позволит компаниям вовремя их устранить и сделать свои сервисы безопаснее.
Впервые в Standoff Hacks участвовали зарубежные специалисты, которые получили доступ к эксклюзивным сервисам. В Ханое багхантеры и представители компаний подвели итоги двухнедельных тестирований и обменялись опытом.
👀 О том, как прошел Standoff Hacks для компаний и какую пользу они получили, — смотрите в нашем небольшом видео из Вьетнама.
💡 Программы багбаунти от Т-Банка, VK и у Wildberries доступны исследователям со всего мира 24/7 на платформе Standoff Bug Bounty. С помощью Standoff Hacks компании из различных отраслей могут протестировать свои новые сервисы и заблаговременно устранить недостатки.
#StandoffHacks
@Positive_Technologies
🔥16❤9👏8👍1
👾 В новом дайджесте эксперты Positive Technologies отнесли к трендовым четыре уязвимости
Среди них — недостатки безопасности в продуктах Microsoft, сетевых устройствах Palo Alto Networks и в почтовом сервере CommuniGate Pro.
👾 Пользователи MaxPatrol VM уже в курсе: в нашу систему управления уязвимостями информация об угрозах поступает в течение 12 часов после их появления.
Уязвимости в продуктах Microsoft
По данным The Verge, потенциально они затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows (например, Windows 10 и 11).
1️⃣ Уязвимость, связанная с повышением привилегий пользователя, в драйвере Ancillary Function Driver (AFD.sys)
CVE-2025-21418 (CVSS — 7,8)
2️⃣ Уязвимость, связанная с повышением привилегий, в хранилище Windows Storage
CVE-2025-21391 (CVSS — 7,1)
3️⃣ Уязвимость, связанная с обходом аутентификации, в сетевых устройствах Palo Alto Networks
CVE-2025-0108 (CVSS — 8,8)
Уязвимость может быть проэксплуатирована совместно с другими недостатками безопасности — CVE-2024-9474, CVE-2025-0111. Эксперты Positive Technologies отнесли эту уязвимость к трендовой, потому что решения Palo Alto Networks широко распространены в России и уже используются в инцидентах злоумышленниками. Более 2 000 серверов уязвимы к атаке, осуществляемой посредством совместной эксплуатации уязвимостей CVE-2025-0108, CVE-2024-9474, CVE-2025-0111.
4️⃣ Уязвимость, связанная с удаленным выполнением кода, в почтовом сервере CommuniGate Pro
BDU:2025-01331 (CVSS — 9,8)
По данным TAdviser, в России доступно более 2000 почтовых серверов c программным обеспечением CommuniGate.
📖 Больше информации — в полной версии дайджеста на нашем сайте.
#втрендеVM
@Positive_Technologies
Среди них — недостатки безопасности в продуктах Microsoft, сетевых устройствах Palo Alto Networks и в почтовом сервере CommuniGate Pro.
Уязвимости в продуктах Microsoft
По данным The Verge, потенциально они затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows (например, Windows 10 и 11).
1️⃣ Уязвимость, связанная с повышением привилегий пользователя, в драйвере Ancillary Function Driver (AFD.sys)
CVE-2025-21418 (CVSS — 7,8)
Эксплуатируя уязвимость, злоумышленник может добиться переполнения буфера, которое позволит перезаписать соседние области памяти в куче (выделенные определенной программе). Атакующий способен перехватить управление системой и выполнить произвольный код с использованием привилегий SYSTEM. В случае успеха преступник может получить полный контроль над уязвимой системой. Это позволит, например, устанавливать вредоносное ПО, красть конфиденциальные данные или использовать скомпрометированную систему для дальнейшей реализации атаки в сети.
2️⃣ Уязвимость, связанная с повышением привилегий, в хранилище Windows Storage
CVE-2025-21391 (CVSS — 7,1)
Уязвимость обнаружена в Windows Storage, отвечающем за хранение данных на компьютере. Она связана с некорректной обработкой символических ссылок и ярлыков, используемых при операциях с файлами. В результате эксплуатации уязвимости может быть удалена критически важная информация, что может стать причиной не только потери данных, но и сбоев в работе. Кроме того, Zero Day Initiative сообщает о том, что произвольное удаление затронутых файлов в ряде случаев может привести к повышению привилегий и полному захвату системы.
3️⃣ Уязвимость, связанная с обходом аутентификации, в сетевых устройствах Palo Alto Networks
CVE-2025-0108 (CVSS — 8,8)
Уязвимость может быть проэксплуатирована совместно с другими недостатками безопасности — CVE-2024-9474, CVE-2025-0111. Эксперты Positive Technologies отнесли эту уязвимость к трендовой, потому что решения Palo Alto Networks широко распространены в России и уже используются в инцидентах злоумышленниками. Более 2 000 серверов уязвимы к атаке, осуществляемой посредством совместной эксплуатации уязвимостей CVE-2025-0108, CVE-2024-9474, CVE-2025-0111.
Недостаток связан ошибкой аутентификации в веб-интерфейсе управления операционной системы PAN-OS, возникающей из-за различий в обработке запросов между веб-серверами nginx и Apache. Выполнив специальный запрос, злоумышленник может обойти аутентификацию и запустить определенные PHP-скрипты. Как следствие, он может получить несанкционированный доступ к критически важным функциям системы, что повысит риск дальнейшего развития атаки.
4️⃣ Уязвимость, связанная с удаленным выполнением кода, в почтовом сервере CommuniGate Pro
BDU:2025-01331 (CVSS — 9,8)
По данным TAdviser, в России доступно более 2000 почтовых серверов c программным обеспечением CommuniGate.
Уязвимость в почтовом сервере CommuniGate Pro возникает из-за ошибки, связанной с переполнением буфера, расположенном в стеке. Для эксплуатации недостатка не требуется проходить аутентификацию — это особенно опасно при использовании почтового сервера, поскольку он доступен из интернета. Успешная эксплуатация позволяет атакующему выполнить произвольный код и далее получить несанкционированный доступ к системе, украсть данные или при определенных условиях захватить систему.
📖 Больше информации — в полной версии дайджеста на нашем сайте.
#втрендеVM
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤3🔥3🎉2
Этот безопасный букетик — для стражниц цифрового мира 💐
Поздравляем вас с Международным женским днем! Вы — настоящие хранительницы цифровой стабильности, вдохновляющие и драйвящие всю индустрию кибербезопасности.
Желаем, чтобы задачи «взламывались» легко, а вредоносы обходили стороной. С праздником🌟
@Positive_Technologies
Поздравляем вас с Международным женским днем! Вы — настоящие хранительницы цифровой стабильности, вдохновляющие и драйвящие всю индустрию кибербезопасности.
Желаем, чтобы задачи «взламывались» легко, а вредоносы обходили стороной. С праздником
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤67🔥10👍8❤🔥6🥰2🐳2👌1🤨1
⚙️ Сайт Positive Technologies недоступен из-за технических работ в дата-центре
Даты проведения работ (8-9 марта) были выбраны заранее, они плановые. Наш сайт станет вновь доступен 10 марта в 0:00.
• Если у вас наблюдаются сложности с подачей заявки на выступление на PHDays Fest, вы можете написать нам на почту: cfp@ptsecurity.com
• По общим вопросам вы можете написать на почту: pt@ptsecurity.com
Даты проведения работ (8-9 марта) были выбраны заранее, они плановые. Наш сайт станет вновь доступен 10 марта в 0:00.
• Если у вас наблюдаются сложности с подачей заявки на выступление на PHDays Fest, вы можете написать нам на почту: cfp@ptsecurity.com
• По общим вопросам вы можете написать на почту: pt@ptsecurity.com
👌22😁14🐳9🤯6❤3👍2