25 августа в 16:00 выступаю в AppSec.Zone на Оffzone

Расскажу про SAST Semgrep и его интеграции в CI/CD. Разберем основы написания собственных правил сканирования.

Semgrep стремительно развивается и поддерживает уже более 25 языков программирования, позволяет сканировать код с data flow, IaC, выявлять секреты и недостатки конфигурации.

Приходите послушать и увидеться :)

#OFFZONE_2022
⠀
Несколько лет назад на OFFZONE я был модератором-сотрудником Bi.Zone, а вчера выступал на сцене AppSec и отвечал на вопросы из зала :)
⠀
Неизменным остается только высокий уровень организации конференции 🖤

Регулярный анализ защищенности помогает поддерживать безопасность. Но веб-, мобильные приложения и другие ИТ-продукты компаний не стоят на месте, они развиваются с учетом потребностей бизнеса, появляются новые функции, а значит и новые уязвимости. Уровень защищенности снова скатывается к низкому.

Чтобы исключить слепую зону между проверками существуют продукты, которые помогают поддерживать постоянно высокий уровень защищенности ИТ-инфраструктуры компании. Они автоматизируют действия специалистов и снижают затраты на безопасность.

О технических характеристиках, функциональных особенностях, достоинствах и недостатках таких продуктов, в том числе и нашего СVM, мы написали целый обзор на портале Cyber Media.

Видели, как вчера атаковали «Яндекс.Такси»?
Прокомментировал инцидент газете «Известия».
А вы, что думаете о причинах возникновения сбоя? Верите, что это конкурентная атака Wheely?

Часто администраторы совершают ошибки конфигурации Cloudflare, например, допускают обращение к веб-сервису напрямую по IP-адресу. Таким образом, злоумышленник может посмотреть историю изменения DNS-записей и найти реальный IP-адрес, находящийся за CF и отправлять запросы напрямую. Если это не дает результатов, есть и другие техники определения реального адреса, например: собираем поддомены и определяем их IP-адреса, возможно какой-то из сервисов находится не за CF и расположен на одном адресе с сервисом за CF.

Немного ссылок:

Bypassing Cloudflare WAF with the origin server IP address
Allow Cloudflare IP addresses

Привет всем секьюрити чемпионам!

Познакомились на конференции с Артемом Кадушко и теперь вместе выйдем в третий эфир про безопасность приложений.
📌В среду 14 сентября в 18:00.

Артем — Application Security Engineer, основатель белорусского сообщества по компьютерной безопасности Bulba Hackers. Занимается пентестами и делает разработку безопасной.

Анастасия — специалист по безопасной разработке Awillix, эксперт в области внедрения и управления DevSecOps в организациях.

Поговорим про основные проблемы при внедрении процесса SSDLC, про SCA и DAST-анализаторы, интересные кейсы и разные факапы.

Приходите поболтать, всех ждем :)

Информационный партнер — https://news.1rj.ru/str/secmedia

Запись вчерашнего эфира, пожалуйста 🫴
Ставьте лайки, если формат прямых эфиров вам нравится.
Пишите комментарии, какие темы еще нужно обсудить)

Недавно у нас вышла колонка на Daily Moscow. Если хотите разбавить новостной контент чем-то нормальным, то прочитайте о том:
⠀
— Как зарождался этичный хакинг в России;
— Как ИБ-специалисты становятся белыми хакерами;
— Какие атаки существуют и как их имитация помогает бизнесу защититься;
— Проблемы и векторы развития сферы пентестов;
— И наш опыт того, как растить стартап в сфере кибербезопасности, когда тебе никто не доверяет :)
⠀
Ссылка → https://dailymoscow.ru/business-and-finance/biznes-na-vzlomah-kak-vyglyadit-industriya-etichnogo-hakinga-v-rossii

Накопилось много историй про Red Team, и мы решили поделиться кейсами, про то, как проводятся такие проекты, в чем их особенность и кому они вообще нужны.
⠀
Читайте на Хабре — https://habr.com/ru/post/694064/

Познай свой Exchange сервер и OWA

Многие компании используют решение от Microsoft для организации отправки и получения писем, но мало кто знает, какие недостатки и уязвимости могут существовать в Exchange и OWA.

Общеизвестные уязвимости, некоторые из них:

▫️ ProxyLogon: позволяет злоумышленнику обойти аутентификацию и выдать себя за администратора.

▫️ ProxyShell: набор из трех уязвимостей, которые позволяют удаленное выполнение кода без аутентификации.

▫️ ProxyToken: позволяет злоумышленнику получить письма произвольных пользователей.

Многие их них — цепочки из нескольких уязвимостей, например, ProxyShell объединяет в себя CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.

Чтобы проверить, уязвим ли сервер к подобным багам, можно воспользоваться сканерами, например, Nuclei или готовыми скриптами от сообщества.

Некоторые версии имеют недостатки, которые могут помочь в организации бушующих атак.

Известные недостатки:

▫️Перечисление имени пользователя на основе времени (Timing-Based Username Enumeration): атака заключается в том, что OWA отвечает с задержкой, если при аутентификации указана существующая учетная запись, даже если пароль неверный. Таким образом, злоумышленник может определить email-адреса сотрудников для последующих атак.

▫️Password Spraying: атака, при которой фиксируется пароль, а логин перебирается. Применяется, чтобы обойти механизм блокировки учетной записи при неправильно введенном пароле более N-раз за промежуток времени.

Как быть?

→ Держим свое ПО в актуальном состоянии и применяем обновления безопасности.
→ Используем строгую парольную политику и двухфакторную аутентификацию.
→ Если география легитимных пользователей известная, блокируем остальных по Гео-признакам.
→ Использование CAPTCHA (сложно для OWA, но возможно).

Кстати, у кого-то был опыт использования https://www.messageware.com/epg/? Поделитесь своим мнением)

Запись моего доклада с #OFFZONE_2022

Разобрали SAST Semgrep, его интеграции в CI/CD и основы написания собственных правил сканирования.

Semgrep развивается и поддерживает уже более 25 языков программирования, позволяет сканировать код с data flow, IaC, выявлять секреты и недостатки конфигурации.

Инджой!

https://www.youtube.com/watch?v=MRSxQBTREec&list=PL0xCSYnG_iTt3mZRIpqq30bVIGezgAMIv&index=4

Аwillix теперь сертифицированный специалист по безопасности контейнеров (CCSE)!
Ну как, скорее опять Анастасия, наш ведущий специалист по безопасной разработке, прошла сертификацию.

Сертификация Certified Container Security Expert (CCSE) демонстрирует способность использовать инструменты, методы и тактики безопасности контейнеров для аудита, защиты и мониторинга контейнеров в производственных средах.

А так же:

- Глубинное понимание принципов работы Docker.
- Умение правильно конфигурировать Docker с точки зрения безопасности. Речь не только про ограничение ресурсов, конфигурирование сети, демона и тд, но ещё и про настройку SecComp, AppArmor.
- Конфигурирование хранилища docker образов в соответствии с требованиями безопасности.
- Снижение поверхности атаки на контейнеризованные приложение (атаки на образы, registry, контейнеры).
- Мониторинг инцидентов контейнеризованных приложений.

Еще один бонус в карму внедрения процессов, обеспечивающих безопасность на всех этапах разработки приложений. Помогаем создать DevSecOps, в том числе за счет правильно выстроенной работы с контейнеризованными приложениями 💪

Этот день наступил.
В нашей команде крутых специалистов появилось место для новых талантов. Все хотят именно наши пентесты и нужно усиливать состав.

Если ты или твой знакомый уже несколько лет занимается тестами на проникновение, но в душе горит жажда по-настоящему сложных проектов, желание отвечать всё новым и новым профессиональным вызовам, общаться с топовыми и известными в отрасли специалистами, постоянно учится у них новому и совершенствовать себя, стать лучшим, утвердиться в своем профессионализме и наконец зарабатывать дофига — то лучше места для этого, чем Awillix, в России ты вряд ли найдешь :)

Открытые вакансии можно посмотреть здесь.

Про Awillix:

Мы считаем себя одной из лучших offensive-компаний на рынке кибербезопасности в России. Из-за того, что говорят нам клиенты, из-за того что мы видим у коллег, из-за собственного внутреннего перфекционизма и требованиям к своей работе. Ну и в конце концов, это очевидно.

Мы выявляем сложные уязвимости, и связанные с ними риски, разрабатываем рекомендации для повышения уровня защищенности клиентам, чтобы помочь им выстроить защиту. Мы глубоко погружаемся в проблемы кибербезопасности организаций и логику работы сервисов, чтобы предложить оптимальные и современные решения.

У нас есть свой продукт для регулярного мониторинга уязвимостей, а еще мы разрабатываем собственный киберполигон. Также мы помогаем компаниям повышать уровень зрелости разработки за счет внедрения DevSecOps в организациях. Имеется статус ИТ-компании и Государственная аккредитация деятельности в области информационных технологий.

Наши клиенты — крупнейшие интернет-сервисы, финансовые корпорации, федеральный ритейл-сети, организации из промышленных и топливно-энергетических секторов. Наши сотрудники входят в сильнейшие команды по кибербезопасности в мире, регулярно побеждают на международных командных соревнованиях и индивидуальных турнирах.

Что Awillix дает сотрудникам:

— Единомышленники

Все члены команды — высококвалифицированные специалисты. Основатели сами являются топовыми пентестерами. Наша общая цель — растить компетенции и стать лучшими пентестерами в России. Нам интересно работать с теми, кто осознает свой выбор и понимает преимущества оффенсива. Даем возможность развивать навыки под руководством менторов, оплачиваем международное обучение и сертификацию, выделяем время для исследований, помогаем друг другу всегда.

— Свобода и результат

В нашей компании нет формальностей и строгих чек-листов для работы. Мы не заставляем зарываться в отчетах. Мы не следим за количеством отработанных часов в офисе и во сколько начинается твой рабочий день. Исповедуем открытое мышление, ценим мотивацию и личную инициативу.

— Профессиональный рост

У нас учатся новому и работают на интересных проектах. У сотрудников есть неограниченное пространство для карьерного роста — стать ведущим специалистом или руководителем направления.

+ я гарантирую личную профессиональную и эмоциональную поддержку :)

Буду благодарен за репост и фидбэк.
Вопросы можно задать в комментарии.
Отклики собирает @popsa_lizaa, смело пишите.

Вы с командой когда-нибудь сваливали из офиса на три дня, ради того, чтобы коллега мог сосредоточенно пройти испытание? Или обряд посвящения в продвинутые пентестеры длиной в 72 часа)

Можно поздравить нашего пентестера Игоря Ландырева с успешно пройденным курсом Offensive Security Experienced Penetration Tester (OSEP).

За трое суток Игорь спал 6, 4 и 2 часа: первые двое — выполняешь задание, последние остаются на отчетность. Все проходит под камерами. Перерывы можно делать, но в ущерб отведенному на тестирование время.

Если спросить, как прошло:

— Непонятно почему на машине для отладки, то что не детектилось и запускалось — не работало на целевом хосте, который атаковал и наоборот.

— Игорь выяснил, что лучше отдыхать, если понимаешь, что закончились идеи. Именно во время засыпания приходит прозрение и самые умные мысли.

— Выдохнуть и понять, что все хорошо, получилось когда насчитал 12 флагов, а времени оставалось еще 8 часов. Он смело пошел отдыхать, но потом несколько раз проверял, что все доказательства и все команды записаны верно :)

Итак, теперь еще один наш пентестер, доказал свою способность выявлять наиболее эффективные возможности для вторжений и выполнять сложные, организованные атаки контролируемым и целенаправленным образом (с).

OSEP подтверждает навыки:

→ Обходить средства защиты
→ Выполнять сложные атаки, избегая обнаружения
→ Компрометировать системы, настроенные с учетом безопасности
→ Оценивать системы и выполнять тесты на проникновение на более высоком уровне, чем OSCP

Сильно гордимся и поздравляем Игоря всей командой! 🙌

#бенчмарк_пентеста

Не забывайте

Журналисты прислали запрос: «Какие ошибки часто встречаются у начинающих пентестеров?» и если переадресовать его в наш чат, получится следующее…

1️⃣Пойти в первую попавшуюся компанию, которая тебя берет, чтобы «получить опыт».

На деле получится только стать замазкой для задач, которые специалисты не взяли по разным причинам. Ты просто будешь терять 20 (если студент) и 40 часов в неделю делая то, что не прибавит тебе опыта и не даст результатов. Нужно идти туда, куда НЕ берут, отшлифовывая спину, по мере собеседований. Неудачные собеседования подсвечивают тебе твои проблемы, а по дополнительным вопросам можно понять, чем занимается компания и в какую сторону еще можно посмотреть.

2️⃣ Узко развивать себя под какой-то конкретный профиль.

Поначалу лучше инвестировать в базовые знания равномерно по всем направлениям. В какой-то момент это начнет пересекаться, и разница станет несущественной. И вот тогда, уже можно будет выбирать или создавать какой-то свой узкий профиль.

3️⃣ Пренебрегать социализацией в пользу самообучения.

Базовые знания и опыт намного проще получить от других людей, чем упираться самому. Во-первых, это поможет быстрее понять космический эффект тех или иных специфик, во-вторых — перенять ход и образ мышления опытных специалистов. С точки зрения логичного и структурированного мышления, хаккинг это преодоление некоторой инерции повествования, вне зависимости от того, какой контекст: дерево исполнения, DOM, преобразование userinput в java class. Ход мышления тут часто важнее, чем фактическое знание/понимание эксплуатации конкретного примера.

4️⃣ Думать, что курсы/конференции/заметки индусов по bugbounty хоть как-то помогут получить актуальные навыки.

Конечно, в мире всегда найдется индус, который выполнит твою работу лучше тебя. Но нужно понимать, что действительно важные и актуальные вещи никто никогда не расскажет. Курсы — это просто систематизация знаний, которым исполнилось уже n! лет. Нужно настраивать себя на то, что настоящий скилл ты можешь получить только сам, путём ресерча и отсутствия сна. Из паблика в лучшем случае ты сможешь получить навыки 2-3 годичной давности. В самом лучшем случае путём кастомизации ты получишь что-то, что сможешь еще какое-то время использовать, но не более. Иными словами, само приплывает только говно, а за жемчугом надо нырять.

👉Напишите в комментариях номер ошибки, которая больше всего отзывается в душе, давайте соберем статистику!