✍️ Чек-лист по базовой защите VDS.

• На хабре опубликовали хороший чек-лист, включающий десять базовых правил по безопасности VDS.

• Все перечисленные в статье правила - это не набор «фишек для параноиков», а ваша уверенность в сохранности ваших данных. SSH-ключи, запрет root-доступа, закрытые порты, свежие пакеты, резервные копии и мониторинг логов не требуют сверхусилий, но именно они определяют, будет ли ваш сервер тихо работать годами или превратится в лёгкую цель для злоумышленников. Однозначно к прочтению:

➡ Читать статью [7 min].

S.E. ▪️ infosec.work ▪️ VT

👨‍💻 Логи, логи, логи...

• Нашел еще один очень крутой инструмент для работы с логами, который называется lnav. Я уже упоминал эту тулзу несколько месяцев назад в одном из постов, но я не описывал ее возможности.

• Вероятно, что данный инструмент окажется полезным для многих из вас, так как lnav является универсальным решением, которое значительно упрощает процесс анализа логов. Совокупность возможностей делает его незаменимым помощником для всех, кому приходится иметь дело с логами.

• Вот основные возможности lnav:

🟢Подсветка синтаксиса и темизация - подсветка синтаксиса делает логи более читаемыми, а возможность настроить тему позволяет адаптировать интерфейс под ваши предпочтения. Это важно при работе с большими файлами, где детали могут легко ускользнуть из-за ненадлежащего оформления.
🟢Определение логлевела - можно явно указывать логлевел для отображения, что помогает сосредоточиться на наиболее критичных записях и не отвлекаться на менее значимые.
🟢Множественные форматы логов - поддерживает одновременное отображение сразу нескольких файлов логов различного формата, что упрощает процесс анализа информации из различных источников и ведет к более полному пониманию происходящего.
🟢Работа с залогированными SQL запросами - при фильтрации lnav анализирует запросы SQL и выводит все строки, которые соответствуют фильтру, даже если запрос состоит из нескольких строк.
🟢Объединение записей по времени - даже если форматы времени в логах различны, lnav попытается их интерпретировать и отобразит записи на единой временной шкале
🟢Экспорт данных - после применения всех необходимых фильтров у вас есть возможность выделить блок строк, в том числе включающий данные из разных файлов и экспортировать эти данные в новый файл в формате текста, JSON или CSV.
🟢Создание собственных форматов лога - вы можете использовать специальный синтаксис, чтобы описать свой формат лога для разделения его по полям.
🟢Закладки и дополнительные возможности - lnav позволяет создавать закладки, что помогает быстро возвращаться к нужным участкам данных по аналогии с тем, как это работает в vim.
🟢Возможность неинтерактивной работы с lnav и создания скриптов для обработки данных - позволяет вам писать собственные скрипты для автоматизации анализа логов и обработки данных.
🟢Сохранение и загрузка сессий - в lnav можно сохранять сессии. Это позволяет сохранить текущее состояние просмотра логов, включая примененные фильтры, аннотации и все выполненные действия.
🟢Работа с пайпами и многое другое...

• Больше информации можно получить в официальной документации.
• Сам проект имеет открытый исходный код и доступен на github.

S.E. ▪️ infosec.work ▪️ VT

👨‍💻 Outlook Web Access.

• Подробное руководство по тестированию на проникновение одной из самых приоритетных целей в корпоративной сети — Outlook Web Access (OWA). Автор разобрал все основные атаки и уязвимости OWA, собрал и структурировал самое полезное в одном месте:

➡ Читать статью [58 min].

‼ Материал предназначен для специалистов ИБ и представлен в ознакомительных целях.

S.E. ▪️ infosec.work ▪️ VT

🪱 Agent.btz

• Расскажу вам историю, которая произошла в 2008 году. Тогда интернет заполнила информация о кибератаке на Министерство обороны США.

• Началось все с обычной флешки, которая была заражена червем agent.btz и была вставлена в ноутбук на военной базе США в Среднем Востоке. Этот ноутбук был подключен к центральному командованию вооружённых сил США, из-за чего червь смог распространится по всем системам, включая секретные. Он делал это путем создания файла AUTORUN.INF в руте каждого из дисков. Также вирус мог сканировать компьютер на наличие бэкдоров, которые использовал для дальнейшего распространения.

• Еще в зараженной системе червь создавал файл с именем thumb.dd на всех подключаемых флешках. И в виде CAB-файла он сохранял там следующие файлы: winview.ocx, wmcache.nld и mswmpdat.tlb. В них содержалась информация о зараженной системе и логи активности червя. Если разобраться, то thumb.dd представляла собой контейнер с данными, которые сохранялись на флешку при отсутствии возможности прямой передачи через интернет на командный сервер.

• Кроме того Agent.btz постоянно мутировал. Таким образом он менял «подпись», избегая обнаружения. И пока удалялись старые версии, в сети появлялись новые, более сложные.

• В общем и целом, Пентагон потратил около 14 месяцев на то, чтобы очистить свои системы от червя. Они даже запретили использовать флешки или другие переносные носители информации. А еще им пришлось переформатировать сотни машин и конфисковать тысячи зараженных флешек. Такие вот дела...

➡ https://securelist.com/agent-btz

S.E. ▪️ infosec.work ▪️ VT

💣 Zip-бомбы против агрессивных ИИ-краулеров.

• Основной объём трафика в вебе возникает из-за ботов. По большей части, эти боты используются для обнаружения нового контента. Это читалки RSS-фидов, поисковые движки, выполняющие краулинг вашего контента, а сегодня и боты ИИ, собирающие контент, чтобы скармливать его LLM. По информации аналитического отчёта Fastly, краулеры, скраперы и фетчеры иногда создают нагрузку на сайт до 39 тыс. запросов в минуту.

• Традиционно против ботов используется комбинация нескольких методов, включая ограничение на количество запросов и капчи — задачи, сложные для компьютеров, но тривиальные для людей, фильтрация по user-agent и т.д. но есть и более креативные решения...

• Автор этого материала описывает актуальный метод защиты от агрессивных ИИ-краулеров с помощью zip-бомб, которые истощают оперативную память в дата-центре краулера. Это может быть стандартный архив размером 10 МБ, который распаковывается в 10 ГБ... Пример такой реализации можно найти по ссылке ниже:

➡ Читать статью [5 min].

S.E. ▪️ infosec.work ▪️ VT

📶 Руководство по сетевым атакам и защите.

• В данном руководстве описаны различные методы и инструменты для сбора и анализа данных о трафике. Рассматриваются процессы сбора и организации данных, инструменты для их анализа, а также различные аналитические сценарии и методики, описывается активный контроль и управление трафиком.

• Руководство распространяется только на английском языке, но наши читатели проделали огромную работу и перевели книгу на русский язык. Материал будет полезен начинающим и опытным ИБ специалистам.

☁️ Руководство можно скачать бесплатно в нашем облаке.

S.E. ▪️ infosec.work ▪️ VT

👩‍💻 Kubernetes Security Guide.

• С ростом популярности Kubernetes все больше компаний стремятся использовать его для облегчения управления контейнеризованными приложениями. Вместе с этой тенденцией наблюдается рост числа неправильно сконфигурированных кластеров, что создает большие риски в части обеспечения безопасности.

• В этом руководстве вы найдете информацию по безопасной настройке кластера k8s. Материал вышел очень объемным и включает в себя практические примеры. Содержание следующее:

• Prerequisites;
• Test Environment – your own cluster in minutes using a ready-made noscript;
• Kubernetes Architecture;
• STRIDE for Kubernetes;
• Node Security – Start with the Basics:
➡Attack Surface;
➡Identifying Vulnerabilities;
➡Reducing the Attack Surface (Firewall);
➡Looking Inside – Whitebox Audit.
• Cluster Components Security:
➡Update of key components;
➡Anonymous Access;
➡Users, Authentication and Authorization;
➡Emergency Access (Break-Glass);
➡Verification of Granted Access;
➡Authorization;
➡Authorization – Automating the Permission Verification Process;
➡Other Authentication and Authorization Methods (static tokens, Node, ABAC, and Webhook);
➡etcd Security;
➡Secrets;
➡Namespaces;
➡Network Policies;
➡Metrics API and Avoiding Shortcuts;
➡Automated Tools.
• Security of Images, Containers, and Pods:
➡Minimal Images – The Fewer Dependencies, the Better;
➡Specifying a Specific Image Version;
➡Vulnerability Scanners;
➡Learning About Admission Controllers – Automating the Vulnerability Scanning Process;
➡Own Registry;
➡OPA Gatekeeper - Registry Under Control;
➡Security Context - Additional Hardening;
➡AppArmor;
➡Other Capabilities;
➡Pod Security Standards;
➡gVisor;
➡Resource Quotas;
➡Auditing;
➡Falco - Detection and Analysis of Suspicious Activities.
• Debugging - Essentials for Troubleshooting;
• Additional Resources.

S.E. ▪️ infosec.work ▪️ VT

👾 Руткит в DRM от Sony.

• 20 лет назад компания Sony BMG, занимающаяся распространением звукозаписывающих лейблов, оказалась в центре огромного скандала мирового масштаба. Компания решила снабдить свои диски не только музыкой, но и парочкой программ защиты от несанкционированного копирования. Но всё пошло по одному месту... это ПО, в последствии, принесло немало проблем как простым пользователям ПК, так и самой компании Sony BMG.

• Более 22 миллионов дисков, выпущенных в продажу Sony BMG, содержали в себе две программы: Extended Copy Protection (XCP) и MediaMax CD-3. А теперь подробнее о каждой:

• XCP: 31 октября 2005 года Марк Руссинович, сотрудник компании Microsoft, написал в своем блоге о необычном открытии, которое он сделал, вставив купленным им диск от Sony BMG в компьютер. Этим открытием был XCP. Марк, как и многих других, возмутил тот факт, что в лицензионном соглашении о данном ПО не было ни слова. Ну т.е. программа устанавливалась без ведома пользователя и всячески скрывала свое существование, что характеризует ее как руткит.

• С точки зрения правообладателей данное ПО было сделано с благими намерениями, но в то же время XCP создавал очень много проблем и уязвимостей:

➡XCP создавал дыры в безопасности, которые могли быть использованы (и были, по факту) другими вредоносными программами;
➡XCP работал в фоновом режиме постоянно, потребляя большую часть ресурсов системы, замедляя работу ПК;
➡Для запуска и отключения XCP использовал небезопасные процедуры, вызывающие падение системы;
➡У XCP не было деинсталлятора, а большинство попыток его удалить приводили к тому, что ОС не распознавала существующие драйвера.

• После заявления Руссиновича, многие злоумышленники воспользовались дырами в безопасности, созданными XCP, для распространения вирусов и червей.

• MediaMax CD-3: скандальной особенностью этого ПО была установка несмотря на лицензионное соглашение. То есть, перед фактическим использованием диска пользователь должен был согласится с пунктами лицензионного соглашения. Если отказаться, закрыть окно или даже «убить» процесс, то MediaMax все равно устанавливался на компьютер.

• Новость о вредоносном ПО на дисках от Sony BMG распространилась со скоростью звука. В итоге, компания была вынуждена объявить о возврате копий, которые неуспели продать. Однако несмотря на данное заявления, во многих городах продажа зараженных дисков велась и дальше.

• 21 ноября 2005 года генеральный прокурор штата Техас подал иск на компанию Sony BMG. Техас стал первым (но не последним) штатом, который решил засудить Sony BMG. Основной мыслью обвинения было то, что компания тайно установила на ПК пользователей вредное ПО, которое нарушало работу системы и бело к возникновению проблем с безопасностью. Естественно Sony BMG проиграла в суде и должна была выплаты 750 000 долларов судебных издержек, по 150 долларов за каждый поврежденный ПК, разместить подробное описание вредоносного ОП на своем сайте и указать о его существовании в своей рекламе в Google, Yahoo! и MSN.

• Далее последовало множество исков от пострадавших. Столь сильный общественный резонанс, финансовые потери и судебные разбирательства все же подтолкнули Sony BMG принять решение — более не использовать подобное ПО на своих дисках. Такая вот история...

S.E. ▪️ infosec.work ▪️ VT

🎫 Самый скучный на свете взлом подарочных сертификатов.

• На хабре есть хорошая статья, автор которой продемонстрировал самый простой способ взлома подарочных сертификатов одного магазина одежды. С помощью скрипта, который был написал на Python, можно было просканировать все выпущенные и не активированные подарочные карты. По итогу, за 10 минут времени, автору удалось получить купонов на 177 тыс. рублей.

• Данная информация была направлена магазину для дальнейшего устранения уязвимости, за что автор получил денежное вознаграждение теплые слова благодарности...

➡ https://habr.com/ru/articles/956174/

S.E. ▪️ infosec.work ▪️ VT

‼️ Напоминание о том, что ИТ специалистам, которые работают во фрилансе, нужно быть предельно внимательными и бдительными!

• Это очередная история от одного разработчика - Дэвида Додда, которого чуть не взломали на фейковом собеседовании по программированию. А началось все с приглашения на работу от «блокчейн-компании» в соцсетях. После договоренности о собеседовании Дэвиду был направлен документ с информацией о проекте и кодом для поиска и исправления ошибок.

• Дэвид отмечает, что в случаях, когда ему предлагают участие в фриланс-проектах с предоставлением уже готового кода, он сначала загружает этот код в Docker-контейнер и запускает в песочнице. Но в этот раз ему было лень, а до собеседования оставалось всего несколько часов, поэтому он не стал заморачиваться.

• Перед тем, как запустить код, Дэвид попросил нейросеть проверить, нет ли в нём чего-нибудь подозрительного - например, кода для чтения файлов, которые не следует читать, доступа к криптокошелькам и т.д. И, о чудо, агент обнаружил обфусцированный код (скриншот №2). Если его декодировать, то получится URL-адрес, который содержит малварь с функционалом предоставления доступа к данным жертвы (полные привилегии Node.js, доступ к переменным окружения, подключениям к базам данных, файловым системам, криптокошелькам и т.д.).

• Вот таким образом фактор срочности играет на руку злоумышленникам. Если добавить сюда лень и невнимательность, то можно прощаться с данными. Так что всегда сканируйте файлы через VT, проверяйте ссылки, используйте различные инструменты и песочницы.

➡ https://blog.daviddodda.com/how-i-almost-got-hacked-by-a-job-interview

S.E. ▪️ infosec.work ▪️ VT

👨‍💻 Большой FAQ по вопросам которые так или иначе связанны с Wi-Fi.

• На хабре есть очень полезный FAQ про Wi-Fi, который содержит ответы по всевозможным направлениям:

➡Скорость и стабильность;
➡Частоты, каналы, помехи;
➡Безопасность и шифрование;
➡Устройства и операционки;
➡Продвинутые темы и терминология;
➡Дополнения предложенные читателями...

• Автор уже 20 лет занимается беспроводными технологиями и начал вести данный список еще в самом начале своей карьеры. Так что добавляйте в избранное и изучайте, материал крайне полезный:

➡ Читать статью [20 min].

• Дополнительно:

➡Анализ безопасности Wi-Fi: подробное исследование методологии взлома протоколов WPA2-Personal / Enterprise и WPA3 (какие атаки и уязвимости существуют, и какой инструментарий применяется для их эксплуатации).
➡Пентест Wi-Fi: полезный чек-лист, который содержит актуальные советы и хитрости на тему пентеста Wi-Fi сетей.
➡Инструменты для пентеста Wi-Fi: продолжение поста выше, статья включает в себя максимально полный список инструментов для анализа защищенности Wi-Fi.
➡MindMap WiFi Hacking: самая объемная и актуальная MindMap по анализу защищенности Wi-Fi на сегодняшний день.
➡Useful Wireless Links: учебные пособия, справочники, калькуляторы, софт, гаджеты и многое другое.

S.E. ▪️ infosec.work ▪️ VT