На Первом Канале в программе «Доброе Утро» какой-то похожий дядька рассказывает как придумывать и запоминать стойкие пароли. Говорит, что достаточно делать три действия:
1. Запомнить и никогда не забывать кодовое слово, состоящее из символов разного регистра, специальных символов и цифр.
2. Добавить к нему название сервиса, на котором создается учетная запись.
3. Добавить к полученной строке цифру, например, год регистрации и регулярно обновлять пароль.
И если ему хочется, то пусть придумывает и запоминает. А вот мои пароли брутить не надо!
Спасибо товарищу-исследователю Андрею Чечулину за инициативу и помощь в подготовке этого сюжета.
1. Запомнить и никогда не забывать кодовое слово, состоящее из символов разного регистра, специальных символов и цифр.
2. Добавить к нему название сервиса, на котором создается учетная запись.
3. Добавить к полученной строке цифру, например, год регистрации и регулярно обновлять пароль.
И если ему хочется, то пусть придумывает и запоминает. А вот мои пароли брутить не надо!
Спасибо товарищу-исследователю Андрею Чечулину за инициативу и помощь в подготовке этого сюжета.
🔥12😁5😎3👏2❤1🥱1
217 секунд до блэкаута
Во фридайвинге есть такой термин: блэкаут. Или по-другому: потеря сознания. Это защитная реакция организма, которая дает фридайверу шанс в случае, если он нарушил правила безопасности и превысил свой физиологический предел. Это последний уровень защиты от гибели. В этот момент важно, чтобы партнер вытащил фридайвера на поверхность и привел в сознание.
Что-то похожее есть в теории надежности: сбой и отказ. Если система падает, но может самостоятельно подняться - это сбой. Если системе нужна посторонняя помощь - отказ. Только в отличие от фридайвера система может пережить даже отказ.
Современный бизнес - это фридайвер, который постоянно испытывает нехватку кислорода и давление. В такой модели ключевой характеристикой бизнеса становится не состояние безопасности, а состояние устойчивости. Распознал симптомы кислородного голодания - поднялся на поверхность. Словил блэкаут - партнер привел в сознание.
Откуда цифра 217?
3 минуты и 37 секунд - мой личный рекорд под водой без кислорода.
Во фридайвинге есть такой термин: блэкаут. Или по-другому: потеря сознания. Это защитная реакция организма, которая дает фридайверу шанс в случае, если он нарушил правила безопасности и превысил свой физиологический предел. Это последний уровень защиты от гибели. В этот момент важно, чтобы партнер вытащил фридайвера на поверхность и привел в сознание.
Что-то похожее есть в теории надежности: сбой и отказ. Если система падает, но может самостоятельно подняться - это сбой. Если системе нужна посторонняя помощь - отказ. Только в отличие от фридайвера система может пережить даже отказ.
Современный бизнес - это фридайвер, который постоянно испытывает нехватку кислорода и давление. В такой модели ключевой характеристикой бизнеса становится не состояние безопасности, а состояние устойчивости. Распознал симптомы кислородного голодания - поднялся на поверхность. Словил блэкаут - партнер привел в сознание.
Откуда цифра 217?
3 минуты и 37 секунд - мой личный рекорд под водой без кислорода.
🐳11👍8
Команда Advanced Security Research нашла критическую уязвимость в штатном средстве отладки Windows, которая могла привести к удаленному выполнению произвольного кода (RCE). Год назад уязвимость отправлена в Microsoft Security Response Center, подтверждена и исправлена. Репорт не публиковали.
Публикуем?
👍 - да
👎 - нет
Джентельмен на фото - Александр Калинин, автор найденной проблемы.
Публикуем?
👍 - да
👎 - нет
Джентельмен на фото - Александр Калинин, автор найденной проблемы.
👍54🔥2😁1
👇Первый «кругляш» в этом канале, и он снова про Людей в информационной безопасности.
Anti-Malware
Образование и обучение: как решить кадровый вопрос в информационной безопасности?
Эксперты в студии AM Live обсудили важную для отрасли тему образования, обучения и подготовки кадров: как утолить кадровый голод? Почему эта проблема стала такой острой, каких специалистов не хватает
Последние выходные этого лета и выбор: изучить опубликованные материалы Black Hat 2023 и DEFCON 31 или как следует покататься на велосипеде? 🤔
Моя подборка исследований:
* “AI Assisted Decision Making of Security Review Needs” - про автоматизацию принятия решения о security-свойствах новых продуктовых фичей для ускорения их релиза в продукте
* “Mirage: Cyber Deception Against Autonomous Cyber Attacks” - про развитие систем “Cyber Deception” и анализ их эффективности для выявления атак, которые проводятся с использованием ИИ. В исследовании применяется Caldera - инструмент симуляции атак (Breach and Attack Simulation) с открытым исходным кодом.
* “What Does an LLM-Powered Threat Intelligence Program Look Like?”- про ускорение принятия решений в процессе реализации Threat Intelligence программы с помощью LLM.
Изучай, выделяй интересные идеи, внедряй в свои процессы. Если найдешь еще что-то полезное в этих материалах - делись в комментариях. А я ушел докатывать.
Моя подборка исследований:
* “AI Assisted Decision Making of Security Review Needs” - про автоматизацию принятия решения о security-свойствах новых продуктовых фичей для ускорения их релиза в продукте
* “Mirage: Cyber Deception Against Autonomous Cyber Attacks” - про развитие систем “Cyber Deception” и анализ их эффективности для выявления атак, которые проводятся с использованием ИИ. В исследовании применяется Caldera - инструмент симуляции атак (Breach and Attack Simulation) с открытым исходным кодом.
* “What Does an LLM-Powered Threat Intelligence Program Look Like?”- про ускорение принятия решений в процессе реализации Threat Intelligence программы с помощью LLM.
Изучай, выделяй интересные идеи, внедряй в свои процессы. Если найдешь еще что-то полезное в этих материалах - делись в комментариях. А я ушел докатывать.
👍8🔥3❤1
Как провести свое первое security-исследование
0. Изучить материал, который детально описывает лайфхаки для подготовки учебного и исследовательского проекта.
1. Определить цель исследования и ключевые этапы работы.
2. Фиксировать все промежуточные результаты.
3. Оформить все заметки в текст дипломного проекта.
4. Повторить шаги 1-3.
0. Изучить материал, который детально описывает лайфхаки для подготовки учебного и исследовательского проекта.
1. Определить цель исследования и ключевые этапы работы.
2. Фиксировать все промежуточные результаты.
3. Оформить все заметки в текст дипломного проекта.
4. Повторить шаги 1-3.
XAKEP
Как провести свое первое security-исследование. Колонка Дениса Макрушина
Начало учебного года — это еще и начало сезона подготовки дипломных работ. А это значит, что у меня наступает сезон формулирования тем для студентов факультетов и кафедр информационной безопасности в ведущих вузах. Я собрал свои рекомендации и лайфхаки для подготовки…
👍4🤔1
Роль цепочки поставок в снижении стоимости атаки
Мотив атакующего: достижение цели операции при минимальном количестве вложенных ресурсов.
На практике в большинстве атак этот мотив сводится к задаче: достижение цели операции за наименьшее количество шагов. Каждый дополнительный шаг увеличивает вероятность обнаружения и требует дополнительный ресурс для обеспечения безопасности всей операции.
Стадия получения первичного доступа определяет дальнейший сценарий атаки и количество шагов до цели. Оказаться на рабочей станции случайного сотрудника, у которого нет доступа к интеллектуальной собственности, и оказаться в инфраструктуре разработчика - заметная разница для атакующего.
Средства «массового поражения» (spearphishing, credentials stuffing, эксплуатация уязвимостей в периметре и прочее) не гарантируют надежный Initial Access и в последствии требуют дополнительного взаимодействия с инфраструктурой. Другое дело - манипуляция зависимостями в цепочке поставок:
1. вероятность обнаружения атаки ниже, потому что нет прямого контакта с жертвой - она сама обеспечивает доставку импланта в свою инфраструктуру;
2. сохраняется возможность «массового заражения» зависимостей и автоматизации этого процесса;
3. ускорение разработки ведет к росту переиспользования готового кода, а это значит, что поверхность атаки постоянно растет и вместе с ней растет вероятность попадания в целевую инфру.
Совокупность этих факторов делает уязвимости в цепочке поставок относительно дешевым средством получения качественного доступа.
Мотив атакующего: достижение цели операции при минимальном количестве вложенных ресурсов.
На практике в большинстве атак этот мотив сводится к задаче: достижение цели операции за наименьшее количество шагов. Каждый дополнительный шаг увеличивает вероятность обнаружения и требует дополнительный ресурс для обеспечения безопасности всей операции.
Стадия получения первичного доступа определяет дальнейший сценарий атаки и количество шагов до цели. Оказаться на рабочей станции случайного сотрудника, у которого нет доступа к интеллектуальной собственности, и оказаться в инфраструктуре разработчика - заметная разница для атакующего.
Средства «массового поражения» (spearphishing, credentials stuffing, эксплуатация уязвимостей в периметре и прочее) не гарантируют надежный Initial Access и в последствии требуют дополнительного взаимодействия с инфраструктурой. Другое дело - манипуляция зависимостями в цепочке поставок:
1. вероятность обнаружения атаки ниже, потому что нет прямого контакта с жертвой - она сама обеспечивает доставку импланта в свою инфраструктуру;
2. сохраняется возможность «массового заражения» зависимостей и автоматизации этого процесса;
3. ускорение разработки ведет к росту переиспользования готового кода, а это значит, что поверхность атаки постоянно растет и вместе с ней растет вероятность попадания в целевую инфру.
Совокупность этих факторов делает уязвимости в цепочке поставок относительно дешевым средством получения качественного доступа.
Verizon Enterprise
Event Chains & Attack Paths
The Data Breach Investigations Report is an annual analysis of real world security incidents and breaches. In this section of the 2019 DBIR, Verizon Enterprise Solutions examines attack paths and event chains to determine how to limit exposure to threats.
👍2
Первая сессия на факультете «Стратегического управления» принесла 3 инсайта
* «Финансовый учет»: задача изучения бухгалтерского отчета становится интересной, если смотреть на нее, как на процесс поиска уязвимостей в жизненном цикле бизнеса. Тогда работа со счетами и показателями превращается в reverse engineering организации для поиска ее недостатков и интересных фичей.
* «Управленческая экономика»: граф принятия решений - это множество доступных вариантов действий для достижения целей. Чтобы найти кратчайший путь в этом графе важно обладать контекстом на каждом этапе. Чем полнее контекст, тем выше вероятность принять правильное решение. И тут третий инсайт.
* “Интуиция - это что-то вроде предварительно обученной модели нейронной сети” - удивился, когда услышал это утверждение от технического эксперта и опытного менеджера, который часто обращался к интуитивному решению задач в ходе интервью. Во как.
Обучай свою нейронную сеть, и да пребудет с тобой Интуиция.
С Днем знаний!
* «Финансовый учет»: задача изучения бухгалтерского отчета становится интересной, если смотреть на нее, как на процесс поиска уязвимостей в жизненном цикле бизнеса. Тогда работа со счетами и показателями превращается в reverse engineering организации для поиска ее недостатков и интересных фичей.
* «Управленческая экономика»: граф принятия решений - это множество доступных вариантов действий для достижения целей. Чтобы найти кратчайший путь в этом графе важно обладать контекстом на каждом этапе. Чем полнее контекст, тем выше вероятность принять правильное решение. И тут третий инсайт.
* “Интуиция - это что-то вроде предварительно обученной модели нейронной сети” - удивился, когда услышал это утверждение от технического эксперта и опытного менеджера, который часто обращался к интуитивному решению задач в ходе интервью. Во как.
Обучай свою нейронную сеть, и да пребудет с тобой Интуиция.
С Днем знаний!
👍13🔥5❤2
Фото с будущими коллегами
Сегодня побывал в МИФИ на открытии учебного сезона, пожелал первокурсникам кафедры «Криптологии и кибербезопасности» придерживаться трех правил:
* не бояться ошибок и пересдач - стресс в небольших дозах полезен для обучения;
* общаться и знакомиться, делать больше совместных проектов;
* не бояться инноваций - сделать что-то новое можно даже в дипломе бакалавра.
Ребята с огнем в глазах 🤩
Сегодня побывал в МИФИ на открытии учебного сезона, пожелал первокурсникам кафедры «Криптологии и кибербезопасности» придерживаться трех правил:
* не бояться ошибок и пересдач - стресс в небольших дозах полезен для обучения;
* общаться и знакомиться, делать больше совместных проектов;
* не бояться инноваций - сделать что-то новое можно даже в дипломе бакалавра.
Ребята с огнем в глазах 🤩
❤26🔥12👍5⚡1🤯1😍1
Forwarded from kaf42
Насколько многогранен мир ИБ?
🌐Узнаем на новом курсе нашего преподавателя, технического директора MTS RED Дениса Николаевича Макрушина «Профессии в информационной безопасности» @makrushin
Какие существуют профессии в ИБ? Почему ИБ-специалист — это очень творческая профессия?
На курсе:
• Рассмотрим востребованные профессии в ИБ и их роли в ИТ
• Познакомимся с ключевыми навыками ИБ-специалиста: от исследований до разработки и управления рисками
• Составим карту компетенций, которые нужно прокачивать уже сейчас
• Узнаем, как стать востребованным специалистом еще до окончания университета
🗝Кстати, курс доступен для студентов бакалавриата и магистратуры.
Первая встреча пройдет уже в ближайший вторник — ждем вас 12 сентября в 18:00 в Студенческом офисе!
🌐Узнаем на новом курсе нашего преподавателя, технического директора MTS RED Дениса Николаевича Макрушина «Профессии в информационной безопасности» @makrushin
Какие существуют профессии в ИБ? Почему ИБ-специалист — это очень творческая профессия?
На курсе:
• Рассмотрим востребованные профессии в ИБ и их роли в ИТ
• Познакомимся с ключевыми навыками ИБ-специалиста: от исследований до разработки и управления рисками
• Составим карту компетенций, которые нужно прокачивать уже сейчас
• Узнаем, как стать востребованным специалистом еще до окончания университета
🗝Кстати, курс доступен для студентов бакалавриата и магистратуры.
Первая встреча пройдет уже в ближайший вторник — ждем вас 12 сентября в 18:00 в Студенческом офисе!
🔥6👍3❤1😍1
Сборка ПО - основная точка закрепления в массовых атаках на конвейер разработки
Нецелевая или массовая атака на цепочку поставок - это множественная неизбирательная компрометация артефактов, которые используются в производстве ПО. Злодей использует подход: заразить всех, а затем разобраться, кто наиболее интересный. Поэтому чтобы защитить свой софт и его пользователей от массовых атак начинай выстраивать SSDLC с обеспечения целостности сборки (билда).
Фреймворк SLSA показывает, что целостность нужно выстраивать на каждом из этапов разработки. Но в условиях ограниченных ресурсов уследить сразу за всем конвейером - сложно. В исследовании мы показали, что может делать атакующий в сети компании-разработчика, но эти атаки носят точечный характер и стоят дороже.
Поэтому держим фокус на целостности билда (на схеме SLSA: точки C, D, E, F):
1. Мониторим все сторонние источники, которые влияют на билд
2. Мониторим все артефакты, которые приходят из этих источников
3. Формируем белый список источников и артефактов.
Нецелевая или массовая атака на цепочку поставок - это множественная неизбирательная компрометация артефактов, которые используются в производстве ПО. Злодей использует подход: заразить всех, а затем разобраться, кто наиболее интересный. Поэтому чтобы защитить свой софт и его пользователей от массовых атак начинай выстраивать SSDLC с обеспечения целостности сборки (билда).
Фреймворк SLSA показывает, что целостность нужно выстраивать на каждом из этапов разработки. Но в условиях ограниченных ресурсов уследить сразу за всем конвейером - сложно. В исследовании мы показали, что может делать атакующий в сети компании-разработчика, но эти атаки носят точечный характер и стоят дороже.
Поэтому держим фокус на целостности билда (на схеме SLSA: точки C, D, E, F):
1. Мониторим все сторонние источники, которые влияют на билд
2. Мониторим все артефакты, которые приходят из этих источников
3. Формируем белый список источников и артефактов.
🔥5🤔1🤣1
Всем, кто сегодня бежит Московский Марафон и кто преодолевает свои первые 42.195 км, желаю бодрого финиша! ⭐️
🔥23👍2
Точка сборки: артефакты и атаки
Как заметили в комментарии к предыдущему посту, SLSA имеет ограничение: его авторы не рассматривают методы защиты зависимостей сборки. А мы рассмотрим.
Начнем с атак: на рисунке перечислены основные артефакты пакета, которые импортируются из внешних источников и экспортируются во вне. Красным отмечены атаки на конкретный артефакт:
1. Dependency confusion - категория атак на зависимости пакета для внедрения вредоносного кода в его репозиторий или сборку. Рекурсия: атакуем зависимости пакета, который сам является зависимостью для какого-то ПО.
2. Repository hijacking - атака на репозиторий или на систему управления пакетами.
3. Typosquatting - создание вредоносного репозитория для его последующего внедрения в процесс сборки.
4. Изменение инструкций - любая runtime-атака, результатом которой является изменение логики работы пакета. Например, подключение вредоносных артефактов среды выполнения: сервера хранения данных, системы управления инфраструктурой, страницы документации.
Как заметили в комментарии к предыдущему посту, SLSA имеет ограничение: его авторы не рассматривают методы защиты зависимостей сборки. А мы рассмотрим.
Начнем с атак: на рисунке перечислены основные артефакты пакета, которые импортируются из внешних источников и экспортируются во вне. Красным отмечены атаки на конкретный артефакт:
1. Dependency confusion - категория атак на зависимости пакета для внедрения вредоносного кода в его репозиторий или сборку. Рекурсия: атакуем зависимости пакета, который сам является зависимостью для какого-то ПО.
2. Repository hijacking - атака на репозиторий или на систему управления пакетами.
3. Typosquatting - создание вредоносного репозитория для его последующего внедрения в процесс сборки.
4. Изменение инструкций - любая runtime-атака, результатом которой является изменение логики работы пакета. Например, подключение вредоносных артефактов среды выполнения: сервера хранения данных, системы управления инфраструктурой, страницы документации.
👍8🔥1
Media is too big
VIEW IN TELEGRAM
2015 год. Там, вместе с Марией Гарнаевой рассказываем о результатах исследования, в котором научились получать фингерпринт пользователя браузера Tor с помощью рендеринга шрифтов. Потом летим в Атланту, чтобы привлечь внимание разработчиков Tor и сообщества к проблеме, которая помогает деанонимизировать пользователей этого даркнета.
2023 год, и внезапно, тема рендеринга шрифтов в браузере оказывается в технологическом скоупе товарища-разработчика, у которого стоит задача идентифицировать браузер пользователя по каким-либо косвенным признакам. Зачем? Чтобы пользователь его продукта не заморачивался с повторной аутентификацией.
Не баг, а фича.
2023 год, и внезапно, тема рендеринга шрифтов в браузере оказывается в технологическом скоупе товарища-разработчика, у которого стоит задача идентифицировать браузер пользователя по каким-либо косвенным признакам. Зачем? Чтобы пользователь его продукта не заморачивался с повторной аутентификацией.
Не баг, а фича.
🔥7🤣6👍4
Продолжаем разбираться в ИБ-профессиях
Следующий гость нашего курса — Игорь Простов, ведущий архитектор информационной безопасности в образовательных проектах ВК и аспирант @kaf42. Игорь расскажет про цели и навыки архитектора ИБ.
Какие софт и хард скиллы необходимы в разных областях ИБ? Как стать архитектором безопасности?
Разберем по полочкам:
* Чем занимаются специалисты по безопасности приложений
* Как можно случайно перейти в AppSec из безопасности инфраструктуры, не зная, что такое SAST и DevSecOps
* Что нужно знать и уметь, если очень хочется в AppSec прямо сейчас
А еще узнаем один неочевидный навык, помогающий выгодно выделяться на фоне большинства безопасников.
Место: Студенческий офис НИЯУ МИФИ. Время: 26 сентября, 18-00. Видео-запись опубликуем.
Следующий гость нашего курса — Игорь Простов, ведущий архитектор информационной безопасности в образовательных проектах ВК и аспирант @kaf42. Игорь расскажет про цели и навыки архитектора ИБ.
Какие софт и хард скиллы необходимы в разных областях ИБ? Как стать архитектором безопасности?
Разберем по полочкам:
* Чем занимаются специалисты по безопасности приложений
* Как можно случайно перейти в AppSec из безопасности инфраструктуры, не зная, что такое SAST и DevSecOps
* Что нужно знать и уметь, если очень хочется в AppSec прямо сейчас
А еще узнаем один неочевидный навык, помогающий выгодно выделяться на фоне большинства безопасников.
Место: Студенческий офис НИЯУ МИФИ. Время: 26 сентября, 18-00. Видео-запись опубликуем.
🔥3👍2
Разработчик, будь внимательнее: уязвимость в отладчике WinDbg
Advanced Research Team опубликовала отчет об обнаруженной уязвимости в штатном средстве отладки WinDbg, которая позволяет запускать произвольный вредоносный код на хосте разработчика и подменять библиотеки.
Не самый известный факт, но формат отладочных символов PDB позволяет разработчикам обеспечивать исполняемые файлы не только кодовыми символами и структурами, но и информацией о местонахождении соответствующего исходного кода. Механизм носит название SrcSrv, и из-за некорректной обработки его конфигурации, атакующий может переопределить путь к расширениям WinDbg и реализовать атаку DLL Hijacking для подключения произвольных DLL, включая DLL, расположенные на удаленном SMB-сервере.
Поверхность атаки:
* атака может затронуть окружение разработчика/аналитика, который работает над приложением для ОС Windows;
* штатный отладчик не обновляется автоматически, поэтому потребуется ручное обновление - это усложняет процесс исправления;
* возможные последствия: утечка интеллектуальной собственности или компрометация исходного кода разрабатываемого ПО.
Microsoft подтвердила наличие уязвимости и подготовила исправление в версии WinDbg 10.0.22621.0 и выше, а также в Windows SDK 11.
Отчет доступен на английском языке. Также подготовлена утилита, проверяющая файлы дампов на наличие внешних ссылок на pdb-файлы.
Advanced Research Team опубликовала отчет об обнаруженной уязвимости в штатном средстве отладки WinDbg, которая позволяет запускать произвольный вредоносный код на хосте разработчика и подменять библиотеки.
Не самый известный факт, но формат отладочных символов PDB позволяет разработчикам обеспечивать исполняемые файлы не только кодовыми символами и структурами, но и информацией о местонахождении соответствующего исходного кода. Механизм носит название SrcSrv, и из-за некорректной обработки его конфигурации, атакующий может переопределить путь к расширениям WinDbg и реализовать атаку DLL Hijacking для подключения произвольных DLL, включая DLL, расположенные на удаленном SMB-сервере.
Поверхность атаки:
* атака может затронуть окружение разработчика/аналитика, который работает над приложением для ОС Windows;
* штатный отладчик не обновляется автоматически, поэтому потребуется ручное обновление - это усложняет процесс исправления;
* возможные последствия: утечка интеллектуальной собственности или компрометация исходного кода разрабатываемого ПО.
Microsoft подтвердила наличие уязвимости и подготовила исправление в версии WinDbg 10.0.22621.0 и выше, а также в Windows SDK 11.
Отчет доступен на английском языке. Также подготовлена утилита, проверяющая файлы дампов на наличие внешних ссылок на pdb-файлы.
Хабр
Неполадки в отладке: как уязвимость в WinDbg позволяет атаковать разработчиков
Привет, Хабр! Меня зовут Александр Калинин, я занимаюсь разработкой средств обеспечения безопасности контейнерных сред в МТС RED, дочерней компании МТС в сфере кибербезопасности. Сегодня расскажу о...
🔥5👍3👻1
Мой личный топ ответов на вопрос:
1. Хачапури
2. Пятачок
Но ближе всех к ответу были те, кто предложил варианты, связанные с глазами 👀
На лого изображен глаз с двумя зрачками.
В китайской мифологии есть птица Chongming, постарше феникса и дракона, у которой глаза с двумя зрачками и которая способна видеть будущее и бороться со злом.
Это метафора описывала способность каждого участника команды видеть уязвимости в технологиях и бороться с кибер-угрозами.
1. Хачапури
2. Пятачок
Но ближе всех к ответу были те, кто предложил варианты, связанные с глазами 👀
На лого изображен глаз с двумя зрачками.
В китайской мифологии есть птица Chongming, постарше феникса и дракона, у которой глаза с двумя зрачками и которая способна видеть будущее и бороться со злом.
Это метафора описывала способность каждого участника команды видеть уязвимости в технологиях и бороться с кибер-угрозами.
👍12🔥7❤2🤣1