Коллеги из "Лаборатории Касперского" опубликовали статью на Хабре о профессии Solution Architect (SA).

Довольно интересная информация. Ранее не увидел упоминаний SA в сети. Так что рекомендую. Особенно интересна секция комментариев.

#спонсорский

#авторизация #архитектура #securityarchitect #рекомендации #магистратура

Хей, всем привет. Близится финал моего обучения в магистратуре. Скоро защищать диплом. Решил начать публиковать некоторые наработки. Информации довольно много.

На прошлой недели мне удалось занять первое место на ВУЗовской конференции с темой "МАТЕМАТИЧЕСКАЯ МОДЕЛЬ УПРАВЛЕНИЯ ДОСТУПОМ НА ОСНОВЕ РИСКОВ". Кусочек оттуда я возьму в диплом. Ссылки в комментах.

Напомню, что в своем дипломе я пытаюсь реализовать методику авторизации в микросервисной архитектуре под соусом ZeroTrust. Довольно хайповая и интересная тема. В сыром виде публикую список интересный на мой взгляд тематических статей:

1. Справочник security-архитектора: обзор подходов к реализации аутентификации и авторизации в микросервисных системах. Интересная статья для вкатывания в архитектуры безопасности. Среди авторов Денис Макрушин. Советую почитать оригинальную статью;
2. Exploring Microservice Security. Диссертация Татьяны Ярыгиной по безопасности микросервисов. Очень классная статья. Основная в моем работе. Рассматриваются лучшие практики безопасности микросервисов. JWT, mTLS, ABAC/RBAC и всё такое. Плюс слайды;
3. Подходы к контролю доступа: RBAC vs. ABAC. Очень хорошая и понятная статья про управление доступом на основе ролей или атрибутов. Помогла мне понять суть атрибутивной модели безопасности;
4. RBAC? ABAC?.. PERM! Новый подход к авторизации в облачных веб-службах и приложениях. Статья-гайд как реализовать PERM с помощью библиотеки авторизации casbin.


Нус, на этом пока хватит. Всем хорошего настроения, а админу физических и ментальных сил для написания диплома 😄

@pathsecure

#web #api #security #owasp

С пылу, с жару (4 дня назад) вышел новый API Security TOP 10 от OWASP. А я как раз начал писать раздел про атаки на механизмы авторизации в микросервисах. Думаю, совсем скоро можно будет увидеть детальный анализ изменений и сопоставление списка 23 и 19 года.

Сразу заметил, что авторизация и аутентификация в API поднимаются в топе. 4 пункта из 10 затрагивают вопросы управления доступом. А это, между прочим, фундаментальная задача информационной безопасности 🤓

Итак, вот список:
API1:2023 - Broken Object Level Authorization
API2:2023 - Broken Authentication
API3:2023 - Broken Object Property Level Authorization
API4:2023 - Unrestricted Resource Consumption
API5:2023 - Broken Function Level Authorization
API6:2023 - Unrestricted Access to Sensitive Business Flows
API7:2023 - Server Side Request Forgery
API8:2023 - Security Misconfiguration
API9:2023 - Improper Inventory Management
API10:2023 - Unsafe Consumption of APIs

Почитать про изменения и ознакомиться с подробным описанием каждого пункта можно на официальном сайте проекта.

@pathsecure

#podcast #security

На днях в подкасте ТИНОИД вышел эпизод с моим участием.

Поговорили о пентестах, ЦТФах, криптографии, редтиминге, личной безопасности. Придерживались научно-популярного стиля для большой аудитории.

Совершенно случайно познакомились друг с другом в одном из Пермских IT-чатов. Всем советую заценить выпуск, а также подписаться на ребят. Далее планируется звать в подкасты разных интересных людей из ИТ-сферы 😎

* https://vk.com/tinoidpodcast
* https://news.1rj.ru/str/tinoidpodcast
* https://dzen.ru/tinoidpodcast

#offtop #education #longread #self

Несколько дней назад админ защитил магистерский диплом по безопасности. Хотелось бы немного порефлексировать над последними двумя годами обучения. То же самое я делал в конце бакалавриата (ссылка).

Конечно, два года пролетели как мгновение. Совмещая работу с учебой, приходиться делить внимание и фокусироваться на чем-то одном. Я выбрал работу. И успешно нахватал долгов по учебе. В итоге, в начале последнего семестра у меня были долги за первый (!) семестр, что недопустимо. Пришлось брать волю в руки и закрывать всё. Как результат, я закрыл все предметы на положительную оценку. Причем один предмет пришлось пересдать с тройки на четверку дополнительно. Привет, красный диплом.

Какие у меня были цели? Ну, помимо очевидной, я действительно хотел поработать над своим проектом, изучить определенную тему, обрести новые полезные знакомства и подтянуть гуманитарные знания. Как говорится, все частные задачи были выполнены.

Сложно ли было? Не сказать, что сложно. Если вы уделяете учебе должное (минимальное) время, то проблем вообще не будет. Мне легко давались предметы. И особой сверхнагрузки не было (сравниваю себя со знакомым с кафедры муниципального управления в ПГУ)

Какие отличия от бакалавриата? Да почти никаких. За исключением того, что относятся к тебе по-другому, более уважительно и понимающе что-ли. И на самостоятельную работу выделяется намного больше времени. Немного сложнее выпускная квалификационная работа (ВКР) и научные семинары проходят прям с первого семестра. Кажется, по новой учебной программе первокурсники занимаются также. Обязательным требованием к защите ВКР магистра является публикация минимум одной работы по теме в журнале.

Жалею ли я потраченное время? Не жалею. За эти два года я вырос как в профессиональном, так и научном плане, а также в гуманитарном. Можно ли было уйти в полноценную практику после бакалавриата и углубиться в работу? Конечно, можно было.

Чего мне не хватило? Конечно же хотелось больше предметов связанных с компьютерной безопасностью и пентестами. Пусть даже и в виде факультативов. В программе этого было совсем чуть-чуть (понимаю почему так происходит, да). Но думаю, что с помощью общих усилий, получится внедрить такие практики в программу.

Что мне понравилось? Интересно было присутствовать на научных семинарах и взаимодействовать со студентами, давать и получать комментарии, дискутировать. Интересными также были некоторые предметы, такие как психология, анализ эффективности инвестпроекта, управление информационной безопасностью, безопасность распределенных информационных систем, где затрагивались азы безопасности АСУТП и типовые архитектуры безопасности.

Приятно также было, что меня окружали профессионалы своего дела. То есть одногруппники уже работали в сфере и могли поделиться чем-то интересным. Да, кстати, из 14-ти поступавших нас выпустились 3 человека, что является четвертью от начального количества.

---
На этом этапе уже не знаю что написать. Думаю, на этом хватит. Если что вспомню, то отредачу пост. Можете задавать свои вопросы в комментарии :)

@pathsecure

#talks #memories #self

Привет. Недавно выскреб свои бейджи с мероприятий. Рассказывал товарищам историю каждого из них. На самом деле вокруг каждого бейджа целая история. Я даже подумываю о том, чтобы выпустить целую серию подкаста PathSecure (возможно запишусь на выходных). За самой фотографией можно сходить в комментарии под постом.

Но а пока вкратце справа налево:
1) Конфа в Питере. HackConf. Вещал на тему приватности. Собрался огромный зал людей, встретил знакомых;

2) Выступление в лагере для ИТ-стартапов на тему безопасного хранения паролей в базах данных. Позвали после того, как записался в подкасте с основателями отечественных DefCon сообществ;

3) Молодежный форум. Вместе с преподавателем устроили небольшой киберквест по осинту. Параллельно провели пару докладов по безопасности. Здесь в рамках PR компании меня попросили выступить на радио и порекламить ивент. Забавно было;

4) Желтый бейдж. Вспоминаю с теплотой выступление на КодИБ, где я рассказывал про CTF в целом и грядущий PermCTF2019. Написал организаторам по приколу и получилось попасть на блиц-интервью перед большим числом безопасников. Также удалось найти спонсора PermCTf и хорошего приятеля (Дима, привет!);

5) Второе мое выступление на КодИБ. Уже в рамках темы о пентестах. Антипаттерны кибербезопасности (можно найти на YT). Классный получился доклад. Очень динамичный, но целевая аудитория была не той;

6) Скрытный черный бейдж Standoff Talks. Туда я попал случайно. Буквально через backdoor. Хоть я и участвовал в стендофе в том году, но билет был платным, а о возможности пройти просто так мне сообщил знакомый. Я быстро собрал вещи и прошел через задний двор. Взял бейдж, пришел на конфу. В последствие задал несколько вопросов Илье Шапошникову (respect) и познакомился с классным парнем Артемом Фениксом;

6) Бейдж с RuCTFE. На который мы поехали с нашей пермской CTF командой E-Toolz в качестве гостей. Там я впервые увидел Влада Роскова и пожал ему руку, сказал спасибо. Его видео с разбором Кубань ЦТФ замотивировало меня заниматься CTF и пилить сообщество PermCTF. Здесь же и родился DC7342;

7) Бейдж с Dev Talks отличается от других тем, что здесь я выступал в роли модератора конференции. Открывал и закрывал мероприятие, регулировал вопросы из зала, следил за таймингами. Спасибо Леше из Спектра, что согласился помочь провести ивент по DevSecOps;

8) Заключительный бейдж здесь на фото - это offzone. Первая крупная конфа, на которой я побывал. Огромная территория, куча горящих глаз, много знакомых. И, конечно же, DCZone, на которой я зачитал два доклада. Классно получилось;

--
На этом всё. Надеюсь, было интересно. Пишите комментарии и ставьте реакции. Так я пойму, что пост зашел и выход полноценной серии подкаста PathSecure стоит форсировать.

@pathsecure - канал
@pathsecure_chat - чат

Записал доклад про безопасность беспроводных сетей.

Вообще эту тему я раскрывал еще года 3 назад на лекциях PermCTF. Добавил немного инфы и интересные кейсы.

Рассмотрели базовую теорию по беспроводным сетям и по самым распространенным атакам. В докладе нет информации про атаки на WEP, WPA3 и WPA2 Enterprise, зато есть целый воркшоп по реализации атаки на WPA2 PSK посредством отправки Deauth пакетов.

В качестве ликбеза вполне норм получилось, советую посмотреть тем, кто не шарит :)

#pentest #wireless

#mssql #pentest #lab #qemu #virtualisation

На днях решил (разгрестить в чулане на хате) поднять лабу по исследованию безопасности MSSQL. Давно еще видел доклад Ильи Шапошникова на Standoff Talks про атаку на Linked Server MSSQL, а также находил на проекте SQL Injection в базу MSSQL (повыситься не удалось).

Атак на MSSQL довольно много и есть свои приколы, например, Linked Servers или xp_cmdshell, xp_dirtree. Подробнее можно посмотреть на HackTricks.

Поводом стал эпизод моего любимого подкаста по безопасности 7MinSec #567 "How to Build an Intentionally Vulnerable SQL Server". Нужно было развернуть две виртуалки с WinAD и MSSQL, но я решил использовать не привычный VirtualBox, а QEMU гипервизор. Знакомый еще давно пытался "продать" мне этот гипервизор и я решил попробовать. На самом деле, что на арче (I use btw), что на убунте поднимается довольно просто:

Вот пример для Ubuntu:
sudo apt install qemu-kvm qemu-system qemu-utils python3 python3-pip libvirt-clients libvirt-daemon-system bridge-utils virtinst libvirt-daemon virt-manager -y
sudo systemctl start libvirtd.service
sudo virsh net-start default
sudo virsh net-autostart default
sudo usermod -aG libvirt $USER
sudo usermod -aG libvirt-qemu $USER
sudo usermod -aG kvm $USER
sudo usermod -aG input $USER
sudo usermod -aG disk $USER


Ну, а после установки можно запускать графический клиент QEMU - VirtManager и тыкать кнопочки. Трайхардеры могут пользоваться chad-like инструментом virsh и взаимодействовать с гипервизором через CLI.

QEMU работает в разы быстрее, чем VirtualBox. Я даже удивился и решил перекатить свои виртуалки на новый гипервизор. Сконвертить виртуальный диск из формата VirtualBox в QEMU можно через qemu-img:

qemu-img convert -f vdi -O qcow2 rocky.vdi rocky8.qcow2

Такие дела. Буду дальше поднимать лабу по MSSQL. Возможно, напишу гайд, так как на просторах Ру-инфосек сегмента я такого не нашел.

@pathsecure

#self #web3

Значительную часть своих знаний в области наступательной безопасности я получил благодаря взаимодействию с другими людьми из сферы: знакомства на конференциях, в чатах, посещение локальных митапов, хакерспейсов или просто случайные или запланированные встречи.

Часто я встречался с проффесионалами своего дела. В такие моменты тебя распирает синдром самозванца и в очередной раз осознаешь, что "ничего не знаешь". Но всё знать невозможно и в этом есть своя прелесть.

Люблю открытых людей, людей, которые делятся знаниями, опытом и позитивным настроем. У таких многому можно научиться, если задавать правильные вопросы и уметь слушать. Окружение, действительно, формирует тебя. Позитивные люди делают тебя позитивным, успешные успешным, люди с горящими глазами зажигают и твои глаза. То же самое работает и с негативным/пессимистичным взглядом на мир.

"Скажи мне кто твои друзья и я скажу, кто ты ", "Нужно быть худшим, среди лучших", "Вы продукт своего окружения" - эти цитаты в кратком виде отражают мои мысли выше.

--
Меня давно привлекала тема безопасности Web 3. Аудит смартконтрактов, DeFI, DEX и куча всего другого, основанного на криптографии и совершенно иной парадигме проектирования приложений нежели Web 2.

Мы с ребятами создали русскоязычный чатик по совместному изучению web3 security, присоединяйтесь! :)

@pathsecure

В Paralelni Polis прошла очередная конференция HCPP (Hackers Congress Paralelní Polis). По ссылке плейлист с очень интересными тематическими докладами!

Затрагиваются темы приватности, анонимности, криптовалют, экономики, свободного ПО и общества в целом. Рекомендую к просмотру.

@pathsecure

#crypto #hcpp #privacy

В корпоративном хабр-блоге товарищей из RadCop вышел мой небольшой ресерч про yggdrasil-mesh.

Рассказываю про устройство сети, энумерацию узлов и проблемы с межсетевым экранированием. В конце статьи курьезная история открытой админкой и получением IP-адреса. Приятного прочтения.

#article #pentest

Хей! До нового года остается совсем немного времени, а у пентестеров под конец года максимальная проектная загрузка (любим такое).

Однако спешу порадовать Вас новостью. Записывается новый сезон курса по компьютерной безопасности 🔥

Уже сейчас на YouTube канале опубликованы доклады про:
- внутряк;
- беспроводные сети;
- немного вебчика (непрофильная тема, но в процессе).

Планируются отдельные эпизоды по криптографии, компьютерным сетям и чуть мобилок.

Можно слушать в формате подкаста на фоне или же в более глубоком формате вместе с видео.

ссылка на плейлист

Лайк, репост, подписочка, коммент одобряются 😁

@pathsecure

#web #AD #pentest #внутрянка #video #youtube

Всем привет!

Каналу почти 4 года, удивительно! Интересно, есть ли здесь те, кто читал его с самого начала? 😁

И вот сейчас уже целых 2.2 тысячи подписчиков 🔥

В преддверии нового года хочу организовать стрим и пообщаться со всеми вами вживую:
* Немного расскажу о себе, с чего всё начиналось и что имею сейчас;
* Обсудим итоги года и запоминающиеся события в сфере секурити;
* Соберу обратную связь и хотелки по ресерчам, постам, контенту;
* Онлайн отвечу на ваши вопросы.

Стрим пройдет в ближайшую субботу (30.12) в 19:00 по Мск на канале @pathsecure 🎄

Чатик для стрима (премодерация): @pathsecure_chat

2023 год плавно подгодит к концу. Для меня он был наполнен ключевыми и судьбоносными событиями.

В этом году я значительно вырос в личностном, профессиональном и карьерном плане. Последовательно стремлюсь к своим мечтам и реализую задуманное. И мне невероятно нравится управлять своей жизнью и видеть результирующие изменения

Каждый из нас способен управлять своей жизнью, влиять на неё, делать её лучше, интереснее, комфортнее, острее. В грядущем году желаю каждому ощутить силу и начать изменять собственную жизнь в лучшую сторону.

#self

@pathsecure

В это воскресенье приду на стрим соседнего инфосек канала LamerZen. Недавно его канал преодолел порог в 1к подписчиков.

Познакомимся с Зеном и его аудиторией. Позадаю ему свои каверзные вопросы 😄

#анонс

Самый важный фактор в развитии ИБ-сообщества – это люди с горящими глазами

В CyberMedia вышло интервью со мной про создание ИБ-сообществ в регионах.

Классно получилось. Оцифровал кусочек своего опыта для потомков. В процессе формирования ответов несколько раз словил приятные воспоминания. Рассказал историю PermCTF и DC7342.

Кажется, что сейчас создавать такие сообщества стало намного проще. Больше людей в сфере, больше открытой информации, больше компаний, больше поддержки.

Но для меня тогда, в 2018 году, открылась целая вселенная возможностей и я весело проходил сквозь испытания вокруг ИБ сообществ.

Рекомендую почитать и другие интервью на сайте издания. Думаю, вы слегкостью найдёте для себя интересную тему.

#community #interview

В блоге кооператива RAD COP на Habr вышла моя вторая статья, посвященная энумерации пользователей в Active Directory.

Статья примечательна тем, что для генерации словарей используется избыточность русских фамилий и небезопасные паттерн имен учетных записей Active Directory.

В начале есть небольшое введение в проблематику энумерации и распыление паролей, как итог энумерации. В статье приводятся примеры векторов атак для OWA (Outlook) с внешнего периметра и Kerberos для внутреннего.

Да, это не rocket science, но подобные техники с фамилиями активно не распространялись в русскоязычном сегменте наступательной безопасности, поэтому буду рад, если из статьи Вы узнаете что-то новое. Приятного прочтения :)

https://habr.com/ru/companies/radcop/articles/797517/

#article #enumeration #owa #kerberos

На днях я получил свой первый профессиональный сертификат об обучении. Прошел курс "Анализ безопасности мобильных приложений" от CyberED. Теперь я оффициально умею ломать Андроид и IOs мобилки 😎

TLDR. Общие впечатления в целом: 7/10.

Можете поставить положительные реакции и мне будет приятно.

Спасибо товарищам из @radcop_online за оплату обучения ❤️

[Следующим постом] мой субъективный обзор. Не реклама :)

#cert #cybered #mobile