Выдаем все свои профессиональные секреты в подкасте — SoftWare development podcast.
Александр Герасимов, CISO Awillix, и Сергей Овчинников, cloud security architect — гости нового выпуска.

Поговорили о том, что такое Application Security (AppSec), как обеспечивается безопасность на всех этапах жизненного цикла разработки ПО и какие методы можно применить. Обсудили взаимодействие бизнеса, разработки, специалистов по информационной безопасности и devops инженеров.

Говорили о подходах, приемах и инструментах для разработки безопасных приложений, таких как шаблоны приложений, инструменты анализа кода, подходы к созданию контейнеров и базовых образов. Отдельно поговорили про фаззинг приложений: что это такое, как он устроен и как его применять.

Слушайте по ссылке — https://sdcast.ksdaemon.ru/2022/02/sdcast-141/

А так же:
https://twitter.com/SDCast_podcast/status/1490637799111933956
https://twitter.com/KSDaemon/status/1490638980001447938
https://vk.com/feed?w=wall-194574132_55
https://www.patreon.com/posts/62231555
https://www.facebook.com/SDCastPodcast/posts/478973357133540

Как за несколько секунд просканировать внешний периметр на наличие открытых портов и уязвимостей?

Недавно коллега рассказал о новом инструменте Nrich, который позволяет очень быстро проанализировать список IP-адресов на наличие общеизвестных уязвимостей (баннерный поиск) и открытых сервисов.

Конечно же инструмент представляет из себя пассивный сканер, который использует API Shodan.

Nrich проверил пулл адресов из маски /24 за 5 секунд:

➜ ~ wc -l scope.txt
255 scope.txt

time nrich scope.txt > /dev/null
nrich scope.txt > /dev/null 0.07s user 0.04s system 2% cpu 4.913 total

Рассказали журналу IT-World о том, как не стать жертвами атаки через цепочку поставок. Статья по ссылке👇

​​Киберугрозы новой реальности: Supply chain attack.

Успешная атака на цепочку поставок может привести не только к большим финансовым и репутационным потерям или компрометации ИT-инфраструктуры, но и к остановке производства или опасности экологической катастрофы.

https://www.it-world.ru/cionews/security/182552.html

Соскучились по встречам в оффлайне? Приходите на наш третий, уже традиционный ламповый митап :)

25 марта в 18:00 поговорим на тему: «Workflow разработки при внедрении инструментов и техник безопасности. Принципы использования SCA- и SAST-анализаторов».

Собираемся обсудить:
— Трансформирование workflow разработки с учетом требований безопасности на каждом этапе;
— Software component analysis и как обойти сложности во внедрении CI/CD пайплайнов;
— Лучшие практики внедрения SCA- и SAST-анализаторов, которые помогут быстро получить по-настоящему качественное и безопасное ПО

А после — нетворкинг, обсуждения и кофе-брейк. Будем рады всем, кому интересна эта тема и полезные знакомства!

Москва, Духовской переулок 17 стр. 10.
Количество мест ограничено. Регистрация обязательна — https://awillix--eksperty-po-kibe.timepad.ru/event/1956607/

Каждое обновление операционных систем несет в себе новые «дыры» в системе безопасности, а количество атак из-за этого растет каждый день.

Android прошел тернистый путь улучшений системы безопасности от простого PIN экрана до конкурентоспособной многоуровневой защиты. Но даже его механизмы можно обойти.

Анастасия Худоярова, специалист по безопасной разработке в Awillix, дала советы разработчикам и атакующим, рассказала об эволюции системы безопасности Android и актуальных способах защиты системы.

Читайте по ссылке — https://habr.com/ru/post/655745/

Semgrep умный grep или швейцарский нож?

Хотите одним инструментом проанализировать свой код на наличие типичных уязвимостей, проверить качество кода, выявить секреты в коде или ошибки в IaC и Dockerfile? Для решения таких задач можно воспользоваться инструментом Semgrep.

Semgrep — статический анализатор, который для поиска использует правила, написанные в yaml формате. У semgrep есть свой репозиторий с правилами, где можно подобрать нужный для вас стек и проверки: https://semgrep.dev/r / https://github.com/returntocorp/semgrep-rules

Semgrep поддерживает следующие языки:

- C#
- Go
- Java
- JavaScript
- JSON
- JSX
- Python
- Ruby
- TypeScript
- TSX
- YAML
- Generic (ERB, Jinja, и тд.)

И многие другие в Beta или Experimental режиме, например, C++, Rust, PHP.

Интересно то, что можно свободно писать собственные правила с указанием уровня критичности, описания, рекомендаций, CWE, ссылок на источники. Еще semgrep очень просто встраивается в процесс CI/CD.

Все это может быть полезно, если у вас есть процесс сборки и вы используете некий сервис для агрегации всех уязвимостей в рамках процесса управления уязвимостями, например, DefectDojo. Тогда в несколько шагов можно получить отличный инструмент для статического анализа кода, который в автоматическом режиме будет выявлять ошибки, уязвимости, недостатки в качестве кода.

Как взломать сайт веб-студии и получить за это работу? Где учатся на хакеров? Может ли гуманитарий стать специалистом по кибербезопасности?

Дал интервью каналу Loftblog рассказал о своем карьерном пути, поиске клиентов, российских хакерах, зарплатах безопасников и возможностях для стажировки.

Подробно о профессии пентестера из первых уст по ссылке —
https://www.youtube.com/watch?v=V0FsX1M_SGg&list=LLjc5iKfl2NJBPsoPLa4xXBg

Запись нашего третьего митапа, посвященного workflow разработки при внедрении инструментов и техник безопасности

Все, кто не смог посетить нас оффлайн, подключайтесь к записи трансляции на Ютубе — https://www.youtube.com/watch?v=QfYEkh9hxLQ
⠀
Обязательно сделаем вторую часть митапа и копнем эти темы еще глубже, следите за анонсами, пишите вопросы для разбора.
⠀
#meetup

Когда защитил только внешнюю инфраструктуру, но забил на внутрянку.

Nginx 1.18 0-Day

Будьте внимательнее к своим веб-серверам. Хакерская группировка APT49 опубликовала информацию о том, что готовят эксплоит для Nginx 1.18.

Если вы используете Nginx и модуль LDAP, обязательно ознакомьтесь с материалами ниже.

References:

- https://twitter.com/_Blue_hornet/status/1512759109275242497
- https://github.com/AgainstTheWest/NginxDay

Всем привет!

На последнем митапе про workflow разработки при внедрении инструментов и техник безопасности мы дарили плакаты с майндмэпом процесса DevSecOps, как своего рода резюме сказанного в докладах.

Печатные версии кончились, но остался PDF, который можно распечатать в хорошем качестве. Раздаем его в ЛС.
Отмечайтесь в комментариях — безвозмездно пришлем ;)

Как найти и выбрать бесплатный сканер уязвимостей?

Не так давно нашел репозиторий, в котором собраны свободно распространяемые сканеры веб-приложений, сетевой инфраструктуры, API, CMS: https://github.com/psiinon/open-source-web-scanners

Список известный в кругах, но автор репозитория сагригировал все вместе, указал даты последних обновлений, количество звезд на Github и тд. Это как раз то, на что стоит обратить внимание при выборе опенсорс сканера, конечно помимо технических требований. Если у проекта много контрибьюторов, звезд, частые обновления, то явно проект живой и пользуется популярностью. Мы, например, в проектах используем Nuclei со своими шаблонами, советуем присмотреться к сканеру, кстати он тоже указан в репозитории.

Некоторые из представленных ПО можно легко интегрировать в процесс CI для динамического тестирования.

Кстати, подобные страницы есть и у OWASP:

- Free for Open Source Application Security Tools
- Vulnerability Scanning Tools

Всем привет! Если верить опросу, то больше 20% из вас — студенты. Возможно, вам будет полезно посмотреть наш вчерашний тренинг для НИЯУ МИФИ.

Рассказал про:

— главные аспекты профессии пентестера;
— возможности развития в сфере информационной безопасности и варианты картерного трека;
— материалы для развития в этой области.

Ссылка на запись — https://www.youtube.com/watch?v=_QsZfR5EVsc&t=183s

Инциденты с Rutube и ТВ-провайдерами: кто виноват и что делать? — Рассказали свое мнение Хайтеку.
А вы как думаете, дорогие подписчики? :)

https://hightech.fm/2022/05/12/rutube-dead-alive