Каждое обновление операционных систем несет в себе новые «дыры» в системе безопасности, а количество атак из-за этого растет каждый день.
Android прошел тернистый путь улучшений системы безопасности от простого PIN экрана до конкурентоспособной многоуровневой защиты. Но даже его механизмы можно обойти.
Анастасия Худоярова, специалист по безопасной разработке в Awillix, дала советы разработчикам и атакующим, рассказала об эволюции системы безопасности Android и актуальных способах защиты системы.
Читайте по ссылке — https://habr.com/ru/post/655745/
Android прошел тернистый путь улучшений системы безопасности от простого PIN экрана до конкурентоспособной многоуровневой защиты. Но даже его механизмы можно обойти.
Анастасия Худоярова, специалист по безопасной разработке в Awillix, дала советы разработчикам и атакующим, рассказала об эволюции системы безопасности Android и актуальных способах защиты системы.
Читайте по ссылке — https://habr.com/ru/post/655745/
Хабр
Эволюция системы безопасности Android или как защищается система сегодня
С ростом популярности операционных систем, растет также и необходимость в обеспечении безопасности системы. С каждым днём количество атак увеличивается, а каждое обновление несет в себе новые «дыры» в...
🔥2👍1
Semgrep умный grep или швейцарский нож?
Хотите одним инструментом проанализировать свой код на наличие типичных уязвимостей, проверить качество кода, выявить секреты в коде или ошибки в IaC и Dockerfile? Для решения таких задач можно воспользоваться инструментом Semgrep.
Semgrep — статический анализатор, который для поиска использует правила, написанные в yaml формате. У semgrep есть свой репозиторий с правилами, где можно подобрать нужный для вас стек и проверки: https://semgrep.dev/r / https://github.com/returntocorp/semgrep-rules
Semgrep поддерживает следующие языки:
- C#
- Go
- Java
- JavaScript
- JSON
- JSX
- Python
- Ruby
- TypeScript
- TSX
- YAML
- Generic (ERB, Jinja, и тд.)
И многие другие в Beta или Experimental режиме, например, C++, Rust, PHP.
Интересно то, что можно свободно писать собственные правила с указанием уровня критичности, описания, рекомендаций, CWE, ссылок на источники. Еще semgrep очень просто встраивается в процесс CI/CD.
Все это может быть полезно, если у вас есть процесс сборки и вы используете некий сервис для агрегации всех уязвимостей в рамках процесса управления уязвимостями, например, DefectDojo. Тогда в несколько шагов можно получить отличный инструмент для статического анализа кода, который в автоматическом режиме будет выявлять ошибки, уязвимости, недостатки в качестве кода.
Хотите одним инструментом проанализировать свой код на наличие типичных уязвимостей, проверить качество кода, выявить секреты в коде или ошибки в IaC и Dockerfile? Для решения таких задач можно воспользоваться инструментом Semgrep.
Semgrep — статический анализатор, который для поиска использует правила, написанные в yaml формате. У semgrep есть свой репозиторий с правилами, где можно подобрать нужный для вас стек и проверки: https://semgrep.dev/r / https://github.com/returntocorp/semgrep-rules
Semgrep поддерживает следующие языки:
- C#
- Go
- Java
- JavaScript
- JSON
- JSX
- Python
- Ruby
- TypeScript
- TSX
- YAML
- Generic (ERB, Jinja, и тд.)
И многие другие в Beta или Experimental режиме, например, C++, Rust, PHP.
Интересно то, что можно свободно писать собственные правила с указанием уровня критичности, описания, рекомендаций, CWE, ссылок на источники. Еще semgrep очень просто встраивается в процесс CI/CD.
Все это может быть полезно, если у вас есть процесс сборки и вы используете некий сервис для агрегации всех уязвимостей в рамках процесса управления уязвимостями, например, DefectDojo. Тогда в несколько шагов можно получить отличный инструмент для статического анализа кода, который в автоматическом режиме будет выявлять ошибки, уязвимости, недостатки в качестве кода.
Just Security pinned «Соскучились по встречам в оффлайне? Приходите на наш третий, уже традиционный ламповый митап :) 25 марта в 18:00 поговорим на тему: «Workflow разработки при внедрении инструментов и техник безопасности. Принципы использования SCA- и SAST-анализаторов».…»
Как взломать сайт веб-студии и получить за это работу? Где учатся на хакеров? Может ли гуманитарий стать специалистом по кибербезопасности?
Дал интервью каналу Loftblog рассказал о своем карьерном пути, поиске клиентов, российских хакерах, зарплатах безопасников и возможностях для стажировки.
Подробно о профессии пентестера из первых уст по ссылке —
https://www.youtube.com/watch?v=V0FsX1M_SGg&list=LLjc5iKfl2NJBPsoPLa4xXBg
Дал интервью каналу Loftblog рассказал о своем карьерном пути, поиске клиентов, российских хакерах, зарплатах безопасников и возможностях для стажировки.
Подробно о профессии пентестера из первых уст по ссылке —
https://www.youtube.com/watch?v=V0FsX1M_SGg&list=LLjc5iKfl2NJBPsoPLa4xXBg
YouTube
Как стать специалистом по кибербезопасности!
Освой язык программирования Python в Loftschool:
https://loftschool.com/course/python/
Скидка 10% по промокоду loftpy
ТАЙМИНГИ
0:00 - О чем выпуск
1:01 Учеба и первая работа
8:01 Командные соревнования CTF
13:30 Реклама
14:56 Карьерный путь
20:14 Направления…
https://loftschool.com/course/python/
Скидка 10% по промокоду loftpy
ТАЙМИНГИ
0:00 - О чем выпуск
1:01 Учеба и первая работа
8:01 Командные соревнования CTF
13:30 Реклама
14:56 Карьерный путь
20:14 Направления…
👍4
Запись нашего третьего митапа, посвященного workflow разработки при внедрении инструментов и техник безопасности
Все, кто не смог посетить нас оффлайн, подключайтесь к записи трансляции на Ютубе — https://www.youtube.com/watch?v=QfYEkh9hxLQ
⠀
Обязательно сделаем вторую часть митапа и копнем эти темы еще глубже, следите за анонсами, пишите вопросы для разбора.
⠀
#meetup
Все, кто не смог посетить нас оффлайн, подключайтесь к записи трансляции на Ютубе — https://www.youtube.com/watch?v=QfYEkh9hxLQ
⠀
Обязательно сделаем вторую часть митапа и копнем эти темы еще глубже, следите за анонсами, пишите вопросы для разбора.
⠀
#meetup
👍3
Nginx 1.18 0-Day
Будьте внимательнее к своим веб-серверам. Хакерская группировка APT49 опубликовала информацию о том, что готовят эксплоит для Nginx 1.18.
Если вы используете Nginx и модуль LDAP, обязательно ознакомьтесь с материалами ниже.
References:
- https://twitter.com/_Blue_hornet/status/1512759109275242497
- https://github.com/AgainstTheWest/NginxDay
Будьте внимательнее к своим веб-серверам. Хакерская группировка APT49 опубликовала информацию о том, что готовят эксплоит для Nginx 1.18.
Если вы используете Nginx и модуль LDAP, обязательно ознакомьтесь с материалами ниже.
References:
- https://twitter.com/_Blue_hornet/status/1512759109275242497
- https://github.com/AgainstTheWest/NginxDay
👍3
Всем привет!
На последнем митапе про workflow разработки при внедрении инструментов и техник безопасности мы дарили плакаты с майндмэпом процесса DevSecOps, как своего рода резюме сказанного в докладах.
Печатные версии кончились, но остался PDF, который можно распечатать в хорошем качестве. Раздаем его в ЛС.
Отмечайтесь в комментариях — безвозмездно пришлем ;)
На последнем митапе про workflow разработки при внедрении инструментов и техник безопасности мы дарили плакаты с майндмэпом процесса DevSecOps, как своего рода резюме сказанного в докладах.
Печатные версии кончились, но остался PDF, который можно распечатать в хорошем качестве. Раздаем его в ЛС.
Отмечайтесь в комментариях — безвозмездно пришлем ;)
👍8❤1
Как найти и выбрать бесплатный сканер уязвимостей?
Не так давно нашел репозиторий, в котором собраны свободно распространяемые сканеры веб-приложений, сетевой инфраструктуры, API, CMS: https://github.com/psiinon/open-source-web-scanners
Список известный в кругах, но автор репозитория сагригировал все вместе, указал даты последних обновлений, количество звезд на Github и тд. Это как раз то, на что стоит обратить внимание при выборе опенсорс сканера, конечно помимо технических требований. Если у проекта много контрибьюторов, звезд, частые обновления, то явно проект живой и пользуется популярностью. Мы, например, в проектах используем Nuclei со своими шаблонами, советуем присмотреться к сканеру, кстати он тоже указан в репозитории.
Некоторые из представленных ПО можно легко интегрировать в процесс CI для динамического тестирования.
Кстати, подобные страницы есть и у OWASP:
- Free for Open Source Application Security Tools
- Vulnerability Scanning Tools
Не так давно нашел репозиторий, в котором собраны свободно распространяемые сканеры веб-приложений, сетевой инфраструктуры, API, CMS: https://github.com/psiinon/open-source-web-scanners
Список известный в кругах, но автор репозитория сагригировал все вместе, указал даты последних обновлений, количество звезд на Github и тд. Это как раз то, на что стоит обратить внимание при выборе опенсорс сканера, конечно помимо технических требований. Если у проекта много контрибьюторов, звезд, частые обновления, то явно проект живой и пользуется популярностью. Мы, например, в проектах используем Nuclei со своими шаблонами, советуем присмотреться к сканеру, кстати он тоже указан в репозитории.
Некоторые из представленных ПО можно легко интегрировать в процесс CI для динамического тестирования.
Кстати, подобные страницы есть и у OWASP:
- Free for Open Source Application Security Tools
- Vulnerability Scanning Tools
👍9
Познакомимся? Расскажите чем вы занимаетесь?
Anonymous Poll
17%
Пентестер
12%
Разработчик
12%
Аналитик ИБ
12%
Инженер ИБ
4%
AppSec
4%
DevOps
7%
CISO
4%
CIO/CTO
3%
CEO
26%
Студент
Всем привет! Если верить опросу, то больше 20% из вас — студенты. Возможно, вам будет полезно посмотреть наш вчерашний тренинг для НИЯУ МИФИ.
Рассказал про:
— главные аспекты профессии пентестера;
— возможности развития в сфере информационной безопасности и варианты картерного трека;
— материалы для развития в этой области.
Ссылка на запись — https://www.youtube.com/watch?v=_QsZfR5EVsc&t=183s
Рассказал про:
— главные аспекты профессии пентестера;
— возможности развития в сфере информационной безопасности и варианты картерного трека;
— материалы для развития в этой области.
Ссылка на запись — https://www.youtube.com/watch?v=_QsZfR5EVsc&t=183s
YouTube
Как стать этичным хакером — тренинг для карьерного центра НИЯУ МИФИ
Запись тренинга Александра Герасимова, директора по информационной безопасности Awillix, для НИЯУ МИФИ.
Тезисы:
— главные аспекты профессии пентестера;
— возможности развития в сфере информационной безопасности и варианты картерного трека;
— материалы…
Тезисы:
— главные аспекты профессии пентестера;
— возможности развития в сфере информационной безопасности и варианты картерного трека;
— материалы…
🔥5
Инциденты с Rutube и ТВ-провайдерами: кто виноват и что делать? — Рассказали свое мнение Хайтеку.
А вы как думаете, дорогие подписчики? :)
https://hightech.fm/2022/05/12/rutube-dead-alive
А вы как думаете, дорогие подписчики? :)
https://hightech.fm/2022/05/12/rutube-dead-alive
Хайтек
Rutube жив или мертв? Что произошло с российским видеохостингом, которому «удалили код»
Утром 9 мая 2022 года Rutube подвергся хакерской атаке, об этом говорилось в заявлении на официальном сайте. Позже появилась информация, что в результате кибератаки код сайта оказался «полностью удален» и его не получится восстановить. «Хайтек» разбирается…
👍6
#HighLoadFoundation2022
14 мая выступил на крупнейшей профессиональной конференции для разработчиков высоконагруженных систем. 3000 человек из разных регионов обмениваются знаниями о технологиях — это было масштабно :)
Мой доклад не относился к высокой нагрузке и я сильно отличался от других. Но несмотря на это, слушатели были заинтересованными, что, безусловно, приятно. Я рассказал про сканеры кода, про переход от иностранных и коммерческих к отечественным и свободно распространяемым.
Отвечал на вопросы про их разницу и рассказывал, как внедрить подобные решения у себя. Чуть позже (если разрешат организаторы) поделюсь записью выступления и вы тоже сможете найти практические фишки.
Лайк, если интересны посты на тему сканеров.
14 мая выступил на крупнейшей профессиональной конференции для разработчиков высоконагруженных систем. 3000 человек из разных регионов обмениваются знаниями о технологиях — это было масштабно :)
Мой доклад не относился к высокой нагрузке и я сильно отличался от других. Но несмотря на это, слушатели были заинтересованными, что, безусловно, приятно. Я рассказал про сканеры кода, про переход от иностранных и коммерческих к отечественным и свободно распространяемым.
Отвечал на вопросы про их разницу и рассказывал, как внедрить подобные решения у себя. Чуть позже (если разрешат организаторы) поделюсь записью выступления и вы тоже сможете найти практические фишки.
Лайк, если интересны посты на тему сканеров.
👍28
Использование фреймворков, библиотек и внешних сервисов для написания, хранения, тестирования и деплоя собственного кода — существенно ускоряет процесс разработки и выхода IT-продукта на рынок. Но это добавляет множество сторонних зависимостей и связанных с ними уязвимостей.
Анастасия Худоярова, наш ведущий специалист по безопасной разработке, рассказала на TProger, какие SCA-инструменты позволяют проанализировать сторонние зависимости, чтобы поддержать безопасность на всех этапах разработки.
Подробнее — в карточках и статье по ссылке.
Анастасия Худоярова, наш ведущий специалист по безопасной разработке, рассказала на TProger, какие SCA-инструменты позволяют проанализировать сторонние зависимости, чтобы поддержать безопасность на всех этапах разработки.
Подробнее — в карточках и статье по ссылке.
👍9🔥1