Начали, на этот раз не пришлось генерировать новую ссылку =)

26.05.2020, 12:00 МСК
Онлайн-конференция «Тестирование на проникновение»
Спикеры конференции расскажут о поплярной во всём миру услуге в области информационной безопасности. Суть таких тестов заключается в санкционированной попытке обойти существующий комплекс средств защиты информационной системы. В ходе тестирования специалист по анализу защищенности выполняет роль злоумышленника, мотивированного на нарушение информационной безопасности сети заказчика.
В программе доклад Омара Ганиева «Эффективный пентест или «Думай как хакер»
Модератор конференции: Ольга Поздняк, продюсер семейства проектов КОД ИБ

Похоже, соло-конфа получилась =)

Mitigating XSS can be hard, learn more about Content Security Policy in our blog: https://blog.deteact.com/csp-bypass/

Недисциплинированный из меня блогер...

К слову о хакерской культуре и этике: одним из ключевых принципов хакеров является открытость информации.
Между тем, с развитием хакерских сегментов индустрии ИБ исследовательская деятельность частично перешла в разряд коммерческих.
На практике это означает, что большинство "исследований" (в кавычках, потому что обычно это достаточно тривиальные вещи в сравнении с хорошими академическими исследованиями) делаются для пиара конкретного человека или для пиара компании.

Да, автору исследования его предмет может быть очень интересен, и он действительно хочет этим поделиться, но коммерционализированность выражается в том, что информацию удерживают от публикации до поры до времени.

Иногда публикацию задерживают, потому что ожидают исправления каких-то уязвимостей вендорами, но обычно всё-таки потому что хотят достичь максимального хайпа в СМИ или потому что хотят рассказать всё на конференции, и почему-то до самой конференции публиковать ничего нельзя.

В нашем русском сообществе это началось с появлением большого количества вакансий для хакеров: все исследования стали корпоративными, и на них либо распространяется NDA, либо они публикуются в маркетинговых материалах ради упоминаний. Раньше же их публиковали на форумах, где информация, правда, тоже могла быть закрыта от общего доступа в приватных разделах.

Из последних примеров проявления мышления корпоративных исследователей — только что наткнулся на твит, пожалуй, самого известного сейчас исследователя веб-уязвимостей Джеймса Кеттла из авторитетной компании Portswigger (которая платит ему зарплату за то, чтобы он фуллтайм искал какие-нибудь интересные штуки для публикаций и выступлений для пиара их флагманского продукта).

Чувак выложил ссылку на материал 2005 года про проблемы безопасности UTF-8. На вопрос, является ли это предметом его исследования, ответил, что "хаха нет, в таком случае я бы не выкладывал ссылку на материал!".
Вот так! Не стал бы делиться ссылкой на чужой материал 2005 года, чтобы побольше оттуда вытащить ценного для собственной публикации и хайпа.

Хорошо ли это, плохо ли? Да чёрт его знает... Цель любой компании — генерация прибыли, и если при этом побочно генерируется какое-то знание, это уже полезно.
Но это точно идеологически не хакерский подход к исследованиям. Наверное, это же иллюстрирует и тренд последних ~5 лет на создание названий, логотипов и лендингов для уязвимостей.

Журналу Phrack хватало ASCII art.

Как водится у всех в карантин, немножко успел заняться образованием.
Впервые взял языковые уроки (по китайскому), для этого воспользовался italki (ловите рефералку, раз уж такое дело).
Опыт нескольких занятий заставляет недоумевать, зачем люди вообще пользуются русскоязычными преподавателями на сервисах типа skyeng.

Возможно, грамматику языка действительно лучше подтягивать с русским преподавателем, который понимает и сможет объяснить разницу. Но ведь большинство берёт уроки ради разговорной практики, и разговорная практика не с носителем кажется довольно абсурдной.
Будете учиться у такого преподавателя делать ошибки, говорить с русским акцентом и т. д.

Если думаете, что вашего уровня языка не хватит для разговора с носителем, это тоже ерунда. В том-то и смысл преподавателя, что он должен уметь подстраиваться под ваш уровень, использовать ограниченную лексику, говорить понятно, поправлять.
К тому же, всегда можно подглядеть слово в словаре или показать жестами.
На часовых разговорах по китайскому с носителем мне практически не приходится использовать английский (разве что иногда для экономии времени), хотя у меня совсем элементарный уровень.

До этого я учил китайский очень редко, эпизодически заглядывая в мобильные приложения для повторения иероглифов и чтения текстов. Обычно хватался за приложения прямо перед поездкой в китаеязычные страны. В результате практически вся практика сводилась к чтению, а не к говорению и слушанию.

Что характерно, с английским ситуация та же, и мне довольно сложно даётся понимание на слух. Да что там, даже с русским! Если частью вашей работы не являются бесконечные встречи, вам практически не нужно говорить и слушать, зато нужно много читать и писать.
Практически всё наше общение письменное, а прослушивание аудио крайне неэффективно и отвлекает.

P.S. Интересно, есть ли аналог сайта neprivet.ru для тех, кто шлёт аудиосообщения? Причём скорее всего у этого сайта те же самые пациенты =)

Если мы внезапно живём в симуляции, то это и грустно, и весело.

Грустно, потому что:
- это (как и всё остальное) не даёт нам духовного удовлетворения и понимания смысла жизни,
- это не даёт ответов о вселенной, потому что возникает чрезвычайно сложный вопрос (кто авторы симуляции, в каком мире живут они, и как он возник?),
- скорее всего, сами авторы симуляции ни черта толком не понимают и просто занимаются фаззингом различных фундаментальных констант и начальных условий в нашем физическом мире, чтоб посмотреть, что из этого получается.

Последнее предположение возникает из наблюдения за нынешним развитием технологий ИИ, когда зачастую получаемые благодаря нейронным сетям модели плохо интерпретируемы, и не ясен "ход мысли" сети, трудно поменять её структуру.

Если в этом мета-мире технологии действительно работают примерно так, как у нас сейчас, это создаёт и причину, почему такой вариант реальности довольно весёлый.
Ведь симуляция — это программа. В программах бывают ошибки и уязвимости.
В таком случае мы, можем попытаться их эксплуатировать изнутри, оказавшись внутри weird machine вместо симуляции, после чего, возможно, сможем изменить параметры самой симуляции или начать коммуницировать с её авторами.

Это могут быть логические уязвимости, это может быть что-то вроде memory corruption.
Фаззинг может привести к крашу, так что вселенная исчезнет, но, если у авторов симуляции есть трейсинг и дамп памяти, они в теории могут её пофиксить и запустить с того же момента. Тогда, возможно, мы даже сможем понять, что стриггерили краш.

Ещё интересно так думать про use-after-free или утечки памяти: что если авторы симуляции не memset'или память перед использованием? Что если в информации, кодирующей материю вокруг нас, есть биты, которые находились в памяти мета-компьютера до аллоцирования памяти для нашей вселенной?

Поскольку мы находимся в машине для вычисления симуляций (что-то типа Ci/CD build-машины или машины для обучения моделей, хотя конечно это может быть и десктоп студента на лабе в универе), это скорее всего будут куски памяти из предыдущих симуляций, такие вот глюки и артефакты.

Вот только научиться считывать эти биты совсем не легко. Ведь любой радиошум может оказаться на самом деле каким-то куском данных из прошлой симуляции (например, описанием материального объекта).

P.S. Разумеется, есть куча сайтов, обсуждений и книг на эту тему, и мои рассуждения наверняка сто раз уже кем-то описаны. Знаком лишь с парочкой аргументов в пользу гипотезы.
Сам не вижу в ней особого смысла, лишь повод пофилософствовать.

Сейчас опять какой-то эфир!
https://www.facebook.com/PositiveTechnologies/photos/a.310472392316535/3421989264498150/

Сегодня я получил самое офигенное автоматически сгенерированное письмо со ссылкой на запись вебинара.
Какая-то чудесная система зачем-то перевела моё имя на английский, и я превратился в 🦞:D

Выступал в прошлом году в пиджаке на конфе в стиле TEDx для екоммерсов и финтеха.
https://www.facebook.com/ecommtalks/videos/325662628616723/

Блог ни черта не веду, но опять попадаю в видеоформат, на этот раз в эфир в инстаграме в 17:00:
https://www.instagram.com/codeib_community/

Видимо, на очереди тикток.

Ломал давеча intentionally vulnerable смарт-контракты DeFi от OpenZeppelin на Solidity.
Первые 7 несложные, последний оставил, чтоб попробовать в онлайне его поломать.

Го смотреть, как туплю с жабоскриптом и блохчейном (прям щас, скажем, в 23:00)!
Пойду настраивать твитч и OBS.
Не решу за полчаса-час — пойду спать.

Контракт вчера поддался в срок, хотя я долго тупил с разрядностью количества токенов и длинно комментировал всё.
Кстати, мы тут предлагаем услуги по безопасности DeFi-проектов в партнёрстве с Byzantine Solutions.
Сейчас не 2017 год, но уже и не криптозима, а уязвимости того времени до сих пор никуда не делись.

Календарные праздники — условность, но необходимая для нашего циклично мыслящего сознания, которому нужны засечки для рефлексии, подведения итогов и построения планов.
Главное — не расслабляйтесь и фигачьте, что есть мочи, чтоб двигать человеческий прогресс вперёд, и да пребудет с вами сила для этого в грядущий оборот нашего бренного космического обломка вокруг солнца.
С Новым годом!

Привет! Мыслей было много, а в канал ничего не дампил. И щас не мысль, а спам.

Ищем веб-хекера: https://hh.ru/vacancy/41479232
Также, вероятно, скоро будем искать аналитика/техписа и редтимера.

По вебу собираем резюме и выдаём тестовое задание.

Может, это у меня такое субъективное впечатление, но уже многократно убеждаюсь, что Фейсбук — скамерская контора.

Неделями вижу рекламу наркобарыг в ленте, при этом легитимные бизнесы запросто банят и с трудом восстанавливают аккаунты.
Репортишь такую рекламу или, например, кремлебота — быстро приходит отбивка, что с постом всё ок.

При этом сотрудники Марка толком не умеют кодить: встречается куча багов в базовой функциональности и в вёрстке, очень перегруженный пользовательский интерфейс, отвратительный интерфейс для бизнесов и т. д.

Но это всё ерунда, потому что соцсеть уже слишком велика, чтоб быстро потерять аудиторию, и ведь главный её продукт — это не софт, а та самая аудитория, которой и с говнокодом можно кормить политическую пропаганду и рекламу наркоты.

Знаю, это слово всем уже осточертело за последнюю неделю, но, не выдержав социального давления и последовав трендам, трём вечерами за похек в клабхаусе.
Следуйте примеру Олега Тинькова и заходите к нам на огонёк.
Мой хендл @beched.

Регуляция пентестов.

На рынке пентестов нет нормальной экспертизы качества, и нет прозрачного ценообразования (как и во многих других нишах b2b enterprise).
Но есть некоторые регуляторные требования со стороны государств, которые ограничивают или лицензируют деятельность пентестеров.
Из здравого смысла ясно, что сделать это по-настоящему невозможно, потому что никто не может запретить консалтинг. Математически поиск ошибок от поиска уязвимостей не отличается, поэтому не очень понятно, как строго отличить пентест или аудит безопасности от функционального тестирования или технического аудита. На практике же это обычно возможно, конечно.

Требования по идее должны защищать заказчиков и государство от недобросовестных подрядчиков, а как на деле?
Я не специалист по регуляторным требованиям, так что поправьте меня, если моя картина мира слишком узкая. Глядя на то, какие есть государственные сертификации и лицензии для пентестерских компаний за рубежом, и какие они у нас, не могу не обратить внимание, например, на Великобританию.

В UK есть схема CHECK, принадлежность к которой могут требовать многие компании, а также это обязательно для тестирования КИИ (CNI).
Для присоединения к CHECK компаниям нужно:
1) Работать по английскому праву,
2) Иметь 12 месяцев официального опыта пентестов,
3) Все члены команды должны пройти проверку SC (Security Check) clearance, это аналог наших форм допуска,
4) Как минимум один член команды должен:
- Пройти экзамен по одной из 3 программ сертификации (там везде тесты, практические лабы, собеседования, стоимость экзамена порядка $2000-3000),
- Иметь опыт пентестов не менее 12 месяцев,
- Предоставить 2 примера обезличенных отчётов по пентесту,
- Предоставить техническое резюме,
5) Платить ежегодную пошлину (около $7000-15000 в зависимости от уровня).

Разумно звучит? Вполне разумно, даёт понимание, что в компании в принципе есть пентестерская компетенция. Там же в UK есть ещё и коммерческая сертификация CREST с похожими, но более жёсткими требованиями, которая ещё дороже и требует страховку, экзамен 3 сотрудников, а также прохождение комплаенса по ISO27001 или ISO9001.

Какие аналоги у нас?
А у нас пентесты регулируются организацией под названием ФСТЭК, и, например, Центробанк для проведения банковских пентестов требует наличие лицензии на деятельность по ТЗКИ, выдаваемой ФСТЭК.

Что же нужно для получения этой лицензии?
1) 3 человека в штате, у которых в бумажной трудовой книжке написано "специалист по защите информации", и там не менее 3 лет опыта у двоих из них и не менее 5 лет у одного (существует даже рынок найма таких людей ради их трудовых книжек),
2) Ежегодная аттестация помещения, где будет не более 1 окна, толстые стены, металлическая дверь, различные генераторы белого шума на стенах и батареях и двери (для проведения очень важных переговоров),
3) Покупка у ФСТЭК и ФГУП Стандартинформ бумажных заверенных копий различных ГОСТов,
4) Оплата госпошлины ($100),
5) Куча разного бумагомарательного говна вроде подписывания 150 листов бумаги.

ТЗКИ покрывает не только пентесты, это более широкое понятие, но всё равно очевидно, что это полный маразм и коррупция, требования отстали от жизни по меньшей мере на 30 лет.
Никакой проверки качества здесь нет, никакой страховки рисков для государства нет. Лицензию часто получают безымянные лавки, открытые вчера, после чего (незаконно) перепродают услуги, отдавая на субподряд.

Что делать? Не знаю. Бодаться с замшелой бюрократической организацией — себе дороже, так что все молча проходят через эти испытания и получают лицензию. Изменить ситуацию, наверное, могут банки и другие большие заказчики.
Ёжики плакали и кололись, но продолжали жрать кактус.

В последнее время ОПГ из СНГ, ломавшие банки, притихли. Кто-то насытился, кого-то посадили, кто-то боится, а кто-то, может, постригся в монахи.

Вокруг этих группировок было очень много шума, очень много сил вкладывали в расследования, но многих (Carbanak) так и не поймали, распугав пресс-релизами, а по некоторым делам посадили не тех (дело банка Авангард), а многих других даже не начинали искать (десятки крупных хищений в год, особенно страдали платёжные системы).

Какой же был ущерб от таких атак? Никто не знает, хотя приводят оценки объёма хищений в миллиарды долларов, но это на весь мир и не за один год, и вообще это из пресс-релизов ИБ-компаний, которые заинтересованы раздувать FUD.

Это звучит весьма контрастно с сегодняшним днём, когда ежедневно у всех на глазах происходят хищения, зачастую многократно превосходящие по объёму любой банковский взлом.
Речь, конечно, про блокчейн-проекты (сейчас это называют Decentralized Finance или DeFi). Несмотря на их хайповость и публичность финансовых потоков, о блокчейн-инцидентах в ИБ-среде говорят как будто меньше. Скорее даже вообще не говорят.

Связываю это с 2 причинами:
1) Инертность индустрии ИБ: она просто не успевает за бурно меняющимися новыми технологиями. Так, я практически не вижу пересечений между хакерским коммьюнити и коммьюнити DeFi, даже на уровне чатов этого пересечения почти нет.
2) Общественная опасность: банковские инциденты затрагивают фундаментальные общественные институты, государственную финансовую систему и, грубо говоря, простых граждан. А хищение же криптовалюты — это в глазах многих просто перекладывание фантиков из кармана одного спекулянта в карман другого, которое происходит в серой неконтролируемой зоне.

Но игнорировать всю эту индустрию и её проблемы безопасности мне кажется странным.
Если посмотреть на новости о таких хищениях, а потом открыть гитхаб и посмотреть исходники ограбленных смарт-контрактов, можно увидеть совершенно дурацкие уязвимости, которые можно было сразу поймать при маломальском аудите силами любого, кто в принципе умеет читать код.

Для затравки некоторые примеры, на которые натыкался (специально не собирал):
1) Alpha Homora (украдено $37.5M) — хитрый финансовый продукт, позволяющий зарабатывать на yield farming и займах в блокчейне: https://blog.alphafinance.io/alpha-homora-v2-post-mortem/
2) Yearn Finance (украдено $11+M) — ещё один хитрый продукт из нескольких финансовых протоколов, в частности, что-то вроде агрегатора разных других продуктов для займов и депозитов: https://github.com/iearn-finance/yearn-security/blob/master/disclosures/2021-02-04.md
3) IceCreamSwap (украдено ~$1M в BNB, потом курс подскочил, так что уже близко к $3M) — очередной форк SushiSwap, в котором умудрились допустить уязвимость, поменяв пару строк, смотрите сами: https://github.com/IceCreamSwap/contracts/blob/7e433aa1d2633665b95a12687a17fc84d2a9c1ac/farm-contracts/MasterChef.sol
4) Куча других копеечных хищений, которые не попали на радары, например, вот украли примерно $160k из того же SushiSwap: https://www.rekt.news/badgers-digg-sushi/

И это всё только за последний месяц, а впереди ещё целый год! =)
Так что, ребята, придётся кому-то из нас вникать в запутанные нюансы финансовых продуктов, чтоб быть в контексте и понимать новые уязвимости.
Ведь особенностью атак на DeFi является то, что зачастую уязвимость заключается не столько в программной реализации, сколько во всей финансовой логике продукта.

Торговля лицом FTW https://habr.com/ru/company/ruvds/blog/546026/