С последними событиями мы вступили в новую эпоху.
Пришло время говорить. И безопасность, бессердечная ты, мне есть что тебе сказать.
Годами ты была другой.
Одну тебя, продажную, рисовали нам на слайдах шустрые прикольные ребята из богатых компаний, придумывающие страшные цифры для острастки публики прям за 5 минут до выступления. Все громко охали, ахали, пили шампанское, в коридорах - улыбались.
Другую тебя, запретную, показывали нам суровые люди с прописными буквами и бумажными лицами, в требованиях которых было много такого непонятного и даже непонятного в непонятном, в соответствии с нормами и положениями которого читать бы-ы-ы-ы-ы-стро сервера лучше было не включать, а если и включать, то не включать и в соответствии с этим. Так точно!
Непонятно.
Все ахали, охали, в коридорах - мялись. Пили водку, молча. Думали, но на утро отпускало.
Продолжение - https://news.1rj.ru/str/secinfosex/44
Пришло время говорить. И безопасность, бессердечная ты, мне есть что тебе сказать.
Годами ты была другой.
Одну тебя, продажную, рисовали нам на слайдах шустрые прикольные ребята из богатых компаний, придумывающие страшные цифры для острастки публики прям за 5 минут до выступления. Все громко охали, ахали, пили шампанское, в коридорах - улыбались.
Другую тебя, запретную, показывали нам суровые люди с прописными буквами и бумажными лицами, в требованиях которых было много такого непонятного и даже непонятного в непонятном, в соответствии с нормами и положениями которого читать бы-ы-ы-ы-ы-стро сервера лучше было не включать, а если и включать, то не включать и в соответствии с этим. Так точно!
Непонятно.
Все ахали, охали, в коридорах - мялись. Пили водку, молча. Думали, но на утро отпускало.
Продолжение - https://news.1rj.ru/str/secinfosex/44
Мир слайдов и презентаций воевал с угрозами там, где-то в нейтральных водах, тут изредко цепляло кого-то где то, но это сам дурак, кто ж в ядре системы с домен-контроллера в интернете в танки шпилит. Идиоты. Кто? Я тоже? Ну у меня же... Но у нас же там надо было... Ну ты откуда знаешь?... Эээх...
Все все понимали.
Понимали что ты есть, где-то, но конкретно у нас тебя давно не видели. Остались где-то фотки, записи со встреч, но настоящую тебя уже никто особо не помнил, вроде была, вроде не была, кто как скажет. Запах был, но вперемешку с колбасой.
Зато у нас теперь программки. Приложения. Сперва неудобные такие, некоторые даже хрюкали, но не долго, а потом научились молчать и похрустывать дисками, а с приходом ссд хруст ушел, и пришло успокоение.
На каждую проблемку нам дали программку. Стало удобно, сидишь себе, работаешь на благо. Штук 5 программок надежным куполом прикрывают тылы, вирусов особо не стало, добрые дяди с голубыми глазами дали нам умиротворение и понимание того, что любую нашу проблему решают они, сами, молча, главное - покупай.
И так у всех.
Продолжение - https://news.1rj.ru/str/secinfosex/45
Все все понимали.
Понимали что ты есть, где-то, но конкретно у нас тебя давно не видели. Остались где-то фотки, записи со встреч, но настоящую тебя уже никто особо не помнил, вроде была, вроде не была, кто как скажет. Запах был, но вперемешку с колбасой.
Зато у нас теперь программки. Приложения. Сперва неудобные такие, некоторые даже хрюкали, но не долго, а потом научились молчать и похрустывать дисками, а с приходом ссд хруст ушел, и пришло успокоение.
На каждую проблемку нам дали программку. Стало удобно, сидишь себе, работаешь на благо. Штук 5 программок надежным куполом прикрывают тылы, вирусов особо не стало, добрые дяди с голубыми глазами дали нам умиротворение и понимание того, что любую нашу проблему решают они, сами, молча, главное - покупай.
И так у всех.
Продолжение - https://news.1rj.ru/str/secinfosex/45
Мир продаж превратил тебя в удобную услугу, быстро покупаемую руководителями и ответственными, легким мановением руки переносящим миллионы денег на счета компаний, превративших тебя в это. Оттуда хорошо показывали, где, у кого и сколько покупать, чтоб было хорошо. Так точно!
И всем было хорошо. Вот только тебя там не было.
И тут пришла она. Та, которую нам нельзя называть по имени, но мы понимаем, мы давно привыкли.
И началась правда.
Все существующие меры и софты в 99 % не работают и сработают, так как годами делались не ради безопасности, а ради соответствия бумажкам с формулировками, написанными людьми из дотехнологической эпохи.
Делались ради откатов и покупки предметов роскоши людьми, задействованными в цепочках поставок и требований. Годами.
Устраивались званные мероприятия по продвижению ПО, вывозили тех. директоров и ИБшников на отдых за счет компаний, дарили дорогие подарки за лояльность бренду. Годами.
Техническое качество решений не проходило экспертной оценки, не думало даже прийти в опенсорс и встать лицом к аудиту, достаточно было соответствовать требованию тех, кто требует, и набиванию пуза тех, то платит, но не своими. А что там и как внутри, оно им виднее, головастикам, написали же Полная Безопасность.
Теперь этот карточный домик начнет сыпаться.
Имитация безопасности еще никогда не была так близка к провалу.
И всем было хорошо. Вот только тебя там не было.
И тут пришла она. Та, которую нам нельзя называть по имени, но мы понимаем, мы давно привыкли.
И началась правда.
Все существующие меры и софты в 99 % не работают и сработают, так как годами делались не ради безопасности, а ради соответствия бумажкам с формулировками, написанными людьми из дотехнологической эпохи.
Делались ради откатов и покупки предметов роскоши людьми, задействованными в цепочках поставок и требований. Годами.
Устраивались званные мероприятия по продвижению ПО, вывозили тех. директоров и ИБшников на отдых за счет компаний, дарили дорогие подарки за лояльность бренду. Годами.
Техническое качество решений не проходило экспертной оценки, не думало даже прийти в опенсорс и встать лицом к аудиту, достаточно было соответствовать требованию тех, кто требует, и набиванию пуза тех, то платит, но не своими. А что там и как внутри, оно им виднее, головастикам, написали же Полная Безопасность.
Теперь этот карточный домик начнет сыпаться.
Имитация безопасности еще никогда не была так близка к провалу.
Тут ребята сделали сканер обфусцированных JavaScript файлов с определением использованных NPM пакетов (с точностью до конкретной версии) с целью поиска известных уязвимостей для известных версий пакетов.
Бета-версию можно здесь:
https://gradejs.com/ (пароль: gradejs)
Бетка сейчас работает только для вебпака. В дальнейшем обещают поддерживать и другие системы сборки.
Проект бесплатный и в опенсорсе: https://github.com/fingerprintjs/gradejs
Бета-версию можно здесь:
https://gradejs.com/ (пароль: gradejs)
Бетка сейчас работает только для вебпака. В дальнейшем обещают поддерживать и другие системы сборки.
Проект бесплатный и в опенсорсе: https://github.com/fingerprintjs/gradejs
⭕️ CVE-2022-26134: Confluence Server and Data Center - Critical severity unauthenticated remote code execution vulnerability 🤦♂️
Внезапно подвезли RCE, во всех версиях, без аутентификации и "лишних" торчащих портов в сеть.
Чисто веб, эксплоит уже in the wild, ну как вы любите.
Прячьте свои конфлюенсы.
Подробно:
👉 https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/
👉 https://www.rapid7.com/blog/post/2022/06/02/active-exploitation-of-confluence-cve-2022-26134/
👉 https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
Внезапно подвезли RCE, во всех версиях, без аутентификации и "лишних" торчащих портов в сеть.
Чисто веб, эксплоит уже in the wild, ну как вы любите.
Прячьте свои конфлюенсы.
Подробно:
👉 https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/
👉 https://www.rapid7.com/blog/post/2022/06/02/active-exploitation-of-confluence-cve-2022-26134/
👉 https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
Не про ИБ, но про электрику, инженеров, вклад в историю, и наши ценности.
Недавний разговор со знакомым подтолкнул покопать вопрос - кто придумал УЗО (устройство защитного отключения - защищает вас от удара током практически в каждой современной квартире) и почему безопасным током утечки взяли порог в 30 мА?
Нарыл статью на вики - https://en.wikipedia.org/wiki/Charles_Dalziel
Чарльз Дэлзил изобрел УЗО в 1961 году, проводил эксперименты с током и людьми в Беркли, будучи профессором электротехники и компьютерных наук, был пионером в исследовании воздействия тока на людей и животных, написал книгу, десятки научных работ, по сути спас десятки тысяч жизней своим изобретением, и уже практически забыт - статья в вики почти пустая, не переведена на другие языки, упоминания есть только в специфической литературе.
В такое время живем, моргенштейна помним, инстасамку знаем, а инженеров и профессоров за полвека забываем.
Недавний разговор со знакомым подтолкнул покопать вопрос - кто придумал УЗО (устройство защитного отключения - защищает вас от удара током практически в каждой современной квартире) и почему безопасным током утечки взяли порог в 30 мА?
Нарыл статью на вики - https://en.wikipedia.org/wiki/Charles_Dalziel
Чарльз Дэлзил изобрел УЗО в 1961 году, проводил эксперименты с током и людьми в Беркли, будучи профессором электротехники и компьютерных наук, был пионером в исследовании воздействия тока на людей и животных, написал книгу, десятки научных работ, по сути спас десятки тысяч жизней своим изобретением, и уже практически забыт - статья в вики почти пустая, не переведена на другие языки, упоминания есть только в специфической литературе.
В такое время живем, моргенштейна помним, инстасамку знаем, а инженеров и профессоров за полвека забываем.
Wikipedia
Charles Dalziel
American electrical engineer
⭕️ CVE-2024-3094: Бекдор в поставке xz 5.6.0-5.6.1.
Случилось неприятное - с конца февраля в репозитарий разработчика xz - The Tukaani Project - добавили неплохо обфусцированный бекдор, который немного протек в пакеты основных дистрибутивов Linux.
Бекдор нашел Andres Freund, обратив внимание на странное поведение ssh в своем Debian sid дистре, и ошибки в тестах, за что ему большое спасибо.
Сам бекдор затейливый, составной - засунули в git сборку макрос, который при определенных условиях модифицирует
Бекдора и реверса пока нет, но по предварительным данным он как-то влияет на ssh, позволяя атакующему зайти на ваш хост в обход аутентификации.
Пока подтверждено попадание кода в Debian sid, Fedora 41/Fedora rawhide, Kali, OpenSUSE.
Подробно:
👉 https://www.openwall.com/lists/oss-security/2024/03/29/4
👉 https://boehs.org/node/everything-i-know-about-the-xz-backdoor
Случилось неприятное - с конца февраля в репозитарий разработчика xz - The Tukaani Project - добавили неплохо обфусцированный бекдор, который немного протек в пакеты основных дистрибутивов Linux.
Бекдор нашел Andres Freund, обратив внимание на странное поведение ssh в своем Debian sid дистре, и ошибки в тестах, за что ему большое спасибо.
Сам бекдор затейливый, составной - засунули в git сборку макрос, который при определенных условиях модифицирует
$builddir/src/liblzma/Makefile, далее вытаскивает пейлоад частями из нескольких бинарных блобов, подсунутых заранее как архивы для тестов, внедряется в сборку, и в итоге обеспечивает себе старт на скомпрометированной системе. Бекдора и реверса пока нет, но по предварительным данным он как-то влияет на ssh, позволяя атакующему зайти на ваш хост в обход аутентификации.
Пока подтверждено попадание кода в Debian sid, Fedora 41/Fedora rawhide, Kali, OpenSUSE.
Подробно:
👉 https://www.openwall.com/lists/oss-security/2024/03/29/4
👉 https://boehs.org/node/everything-i-know-about-the-xz-backdoor
🚀 Telegram Desktop in Docker + Frida MTProto Logger
Всем привет.
Накидал небольшой проект для запуска Telegram Desktop в Docker-контейнере, и перехвата криптографических буферов с помощью Frida.
Перехватываются функции
Это поможет вам в анализе взаимодействия, а возможно и в поиске уязвимостей в Telegram
https://github.com/kvakirsanov/docker-telegram-desktop-frida-mtproto-logger
Всем привет.
Накидал небольшой проект для запуска Telegram Desktop в Docker-контейнере, и перехвата криптографических буферов с помощью Frida.
Перехватываются функции
aesIgeDecryptRaw и CRYPTO_ctr128_encrypt (даны адреса функций для Telegram Desktop версии 5.9.0), что позволяет анализировать бинарные данные до шифрования при отправке и после дешифрования при получении сообщений. Это поможет вам в анализе взаимодействия, а возможно и в поиске уязвимостей в Telegram
https://github.com/kvakirsanov/docker-telegram-desktop-frida-mtproto-logger
Недавно в чате у нас зашел разговор о Google Rapid Response.
Увы, считаю что GRR можно считать мертвым, это практически заброшенный проект.
Но не расстраиваемся, не все потеряно - разраб GRR Майк Коэн ушел из гугла, нашел фатальный недостаток в GRR, и основал свой проект Velociraptor спалеозоем и цифровыми палеонтологами.
И тут у них действительно получилось!
Это очень рабочая штука, интересно спроектированная и гибкая, местами весьма продуманная (web gui полноценно поддерживает клаву, и это в 2025 году!).
Ребята пилят монолитное приложение на golang, которое может быть и сервером, и клиентом, и умеет многое - и Hunt по агентам, и оффлайн коллектор (да, собрал агента, он тебе проанализировал клиента и сохранил/отправил данные), и EXECVE на клиентах (ссыкотно, но там есть хорошая система ACL и нужно дать пермишн, кстати если кто юзает, то обновитесь до
Остальное читаем в комментах, сюда все не вместилось.
Увы, считаю что GRR можно считать мертвым, это практически заброшенный проект.
Но не расстраиваемся, не все потеряно - разраб GRR Майк Коэн ушел из гугла, нашел фатальный недостаток в GRR, и основал свой проект Velociraptor с
И тут у них действительно получилось!
Это очень рабочая штука, интересно спроектированная и гибкая, местами весьма продуманная (web gui полноценно поддерживает клаву, и это в 2025 году!).
Ребята пилят монолитное приложение на golang, которое может быть и сервером, и клиентом, и умеет многое - и Hunt по агентам, и оффлайн коллектор (да, собрал агента, он тебе проанализировал клиента и сохранил/отправил данные), и EXECVE на клиентах (ссыкотно, но там есть хорошая система ACL и нужно дать пермишн, кстати если кто юзает, то обновитесь до
0.73.4, там CVE-2025-0914, ну бывает🤨). Остальное читаем в комментах, сюда все не вместилось.