Информационная безопасность *

Найти все API — важная задача в процессе выстраивания их успешной защиты. Поэтому, имея сведения о структуре своих API, вы уже окажетесь на шаг впереди злоумышленников. А что делать с этой информацией?

Компания Вебмониторэкс ответит на этот и другие вопросы на своем вебинаре 16 мая.
Теорию подкрепит практический кейс заказчика.

 О чем расскажем на вебинаре:

- На что обратить внимание при обеспечении безопасности API в современных условиях. - Изменения в инфраструктуре. Что дальше?
- Защита и управление API. Почему это важно.
- Подходы по защите API. От зрелости к эффективности: Знать. Защищать. Не допускать. - Реализация на платформе «Вебмониторэкс»: компоненты для защиты и управления API.  

Ведущий вебинара — Лев Палей, CISO Вебмониторэкс. Специальный гость — Кирилл Ильин, CISO «СберАвто». Он честно и открыто расскажет о задачах, практике и результатах защиты API в своей компании.  

Кому полезно:

- Специалистам, участвующим в разработке критичных для бизнеса веб-приложений
- Руководителям подразделений по информационной безопасности
- Специалистам Application Security  

Почему полезно:

- Узнаете о современной концепции управления API
- Увидите пример ее реализации на платформе «Вебмониторэкс»
- Услышите от CISO об успешном опыте защиты и управления API на примере компании «СберАвто»  

Регистрируйтесь по ссылке.

Вебинар про защиту API 16 мая в 12:00

PyHTools: крутой инструмент Python для различных задач кибербезопасности:

- изменение mac-адреса

- сканирование диапазона ip-адресов в сети;

- сканирование каталогов - сканирование уязвимостей

- сканирование поддоменов 

и более

▪ Github

Каждый день я выкладываю крутые OSINT инструменты в своем канале, заходите, если интересуетесь темой этичного Хакинга.

Интересуетесь сферой ИБ? С вас — участие в опросе, с нас — приятный бонус 🦖

Привет, Хабр! Знаем, что многие наши читатели неравнодушны к темам ИБ. Хотим выпустить много нового, а чтобы материалы вышли максимально интересными и полезными, приглашаем вас поучаствовать в составлении контент-плана.

Какие инструкции помогут вам в работе? Какой формат текстов вы предпочитаете? О чем вы давно хотели узнать? Пройдите наш опрос, чтобы регулярно получать экспертные материалы под ваши цели и задачи. 

🔘 Прохождение опроса займет около 3 минут.

🔘 Бонус для участников — розыгрыш 5 сертификатов Ozon на 1500 рублей и 5 наборов фирменного мерча Selectel.

Пройти опрос →

Sony начала требовать в некоторых регионах для создания/подтверждения учётной записи в PSN регистрационные документы пользователей для проверки их возраста и личных данных.

«Лаборатория Касперского» открыла Центр прозрачности в Босфорском университете в Стамбуле.

29 апреля 2024 года гендиректор «Лаборатории Касперского» Евгений Касперский и ректор Босфорского университета профессор доктор Мехмет Начи Инчи подписали Меморандум о взаимопонимании. Организации планируют в рамках этого проекта создать основу для взаимного технологического сотрудничества в будущих академических программах.

«Лаборатория Касперского» и Босфорский университет договорились о запуске Лаборатории прозрачности, в рамках которой студенты будут изучать методологию и технику оценки качества и надёжности решений, участвующих в цепочках поставок, по программе Cyber Capacity Building Program. Программа позволяет получить навыки оценки уровня безопасности IT-инфраструктуры. Более того, в Лаборатории будет проводиться обучение для распознавания киберугроз, а также очные и онлайн-семинары.

В 2018 году «Лаборатория Касперского» открыла первый Центр прозрачности Цюрихе.

В 2022 году «Лаборатория Касперского» открыла в своих локальных офисах по миру три Центра прозрачности в Сингапуре, США и Японии.

Внутри Центров прозрачности при личном посещении партнёры и клиенты компании могут получить под NDA более подробную информацию о программном коде решений «Лаборатории Касперского», включая просмотр в режиме чтения исходного кода части продуктов, узнать о механизме обновления и способах анализа данных, увидеть процесс создания антивирусных баз и изучить корпоративные правила распознавания угроз.

Как получить максимум пользы от Positive Hack Days 2 – мощнейшей прокачки в кибербезе, до которой осталось меньше месяца?

Участвуй в вебинарах «Метапродукты и NGFW: взгляд интегратора» и познакомься с главными ИБ новинками года, чтобы на киберфестивале разобрать их более детально.

Эксперты ИТ-компании Innostage в преддверии PHD расскажут о практиках применения нашумевшего метапродукта О2 и «боевом крещении» межсетевых экранов PT NGFW. Только практика, только hard skills!

 🔥 А еще на каждом вебинаре будет разыграно по 5 билетов в бизнес трек Positive Hack Days 2!

Метапродукт О2: функции и практическое применение

📆 14 мая в 11:00 (МСК)

• Функционал продукта

• О2 и опыт Innostage: внедрение в своей ИТ-инфраструктуре и кейс в банковской сфере

• Методология киберустойчивости

❗️Регистрация

 PT NGFW: Обсуждение результатов тестирования по нагрузке и функционалу

📆 16 мая в 11:00 (МСК)

• Обзор PT NGFW перед выходом коммерческой версии

• Жёсткое испытание пилота в режиме «нагрузка и функционал»

• Роадмап по развитию продукта PT NGFW

 ❗️Регистрация

Прокачай навыки в сфере результативной кибербезопасности!

Участие бесплатное. Регистрация на каждое мероприятие обязательна.

Разработчик Леннарт Поттеринг представил утилиту run0, позволяющую выполнять процессы под идентификаторами других пользователей. Утилита позиционируется как более безопасная замена программы sudo, реализованная в форме надстройки над командой systemd-run и позволяющая избавиться от применения исполняемого файла с флагом SUID.

Утилита run0 включена в состав выпуска systemd 256, который находится на стадии кандидата в релизы.

В run0 осуществляется обращение к системному менеджеру с запросом запуска командной оболочки или процесса с указанным идентификатором пользователя, создания нового псевдотерминала (PTY) и пересылки данных между ним и текущим терминалом (TTY). Подобное поведение напоминает запуск при помощи ssh, чем выполнение при помощи классического sudo. Привилегированный процесс запускается в изолированном контексте, который порождается процессом PID 1, а не процессом пользователя, не наследует свойства окружения пользователя, за исключением проброса переменной окружения $TERM. Проброс регулируется через список явно разрешённых свойств, вместо попыток запретить опасные свойства (концепция белого списка).

Для авторизации и определения возможностей пользователя в run0 используется Polkit. Классический язык описания правил (/etc/sudoers), применяемых в sudo, не поддерживается. Функциональность для запуска программ с другими привилегиями встроена в systemd-run, а команда run0 создаётся как символическая ссылка на systemd-run.

Источник: OpenNET.

Ответ на задачу про следы взлома в дампе трафика

Привет, Хабр! Помните задачу о взломе, которую подготовил наш специалист по информационной безопасности? Как и обещали, показываем верные ответы.

Напомним, что в ней было:

На одном сервере находятся два уязвимых веб-приложения. В сети этого сервера размещен второй хост, с которого зафиксированы попытки эксплуатации уязвимостей веб-приложений.

Определите по дампу трафика:

• на каких портах отвечают веб-приложения,

• какая нагрузка в SQL-инъекции использована для обхода авторизации в первом приложении,

• какая нагрузка в SQL-инъекции использована для получения логинов и хэшей паролей во втором приложении,

• решение задач каких известных приложений отражено в дампе?

Файл dump.pcap

Верные ответы

↓

↓

↓

↓

На каких портах отвечают web-приложения?

80/TCP, 5000/TCP

Какая нагрузка в SQL-инъекции использована для обхода авторизации в первом web-приложении?

‘ or 1 -- -

Какая нагрузка в SQL-инъекции использована для получения логинов и хэшей паролей во втором web-приложении

Man%27+union+select+1%2Cuser%28%29%2Cdatabase%28%29%2C%28select+GROUP_CONCAT%28login%2C+%27%5Cn%27%2C+password%2C+%27%5Cn%27%29+from+users%29%2C5%2C6%2C7+--+-

Решение задач каких известных приложений отражено в дампе?

bWAPP, OWASP JuiceShop

Интересно, как решить задачу? Показываем пошаговое решение в Академии Selectel.

"Самый приватный мессенджер!" - говорили они.

За последние пару месяцев в четвертый раз сталкиваюсь с ситуацией, поэтому решил написать здесь. Суть проста в Телеграмме приходит сообщение с аккаунта, похожего на аккаунт руководителя с места работы (совпадают имя и фото), в котором говорится что в компании проходит проверка, есть вопросы конкретно к тебе относительно сомнительных финансовых операций, с тобой свяжется сотрудник Федеральных служб и далее по известной схеме. Номер телефона в аккаунте скрыт. Выглядит это примерно так:

Я могу назвать 4 организации, с числом сотрудников от 10 до нескольких тысяч где подобные случаи произошли. Во всех случаях пишут именно от лица руководителя, т.е., по-видимому, зная имя руководителя и сотрудников, не составляет труда найти их аккаунт в телеграмм. Была недавно статья, о том что МТС предлагает услуги по рассылке рекламы в телеграмм своих абонентов, очевидно, такая возможность есть не только у МТС.

Будьте внимательны, не дайте себя обмануть.

Основатель проекта Павел Жовнер показал, как можно открыть электронный сейф с помощью Flipper Zero, используя уязвимость в протоколе управления контроллера.

На видео показан процесс перехвата данных по протоколу UART и эксплуатация уязвимости сейфов производства компании SentrySafe. Таким образом, можно открыть сейф, не зная ПИН-кода.

В июле 2020 года, спустя сутки после своего выхода на Kickstarter, проект Flipper Zero собрал более $1 млн. 29 августа на Kickstarter закончился сбор заявок на электронный мультитул. Гаджет собрал $4 882 784. У проекта нашлось 37 987 бекеров на краудфандинговой платформе.

В феврале правительство Канады запретило официально продавать Flipper Zero и аналогичные гаджеты, чтобы остановить всплеск угонов автомобилей в стране.

В марте Flipper Zero ответила на запрет правительства Канады на продажу устройств в стране из-за роста угона автомобилей. В статье команда проекта подробно рассказала о том, как на самом деле угоняют автомобили, почему для этого не подходит Flipper Zero и как можно перехватить радиосигнал с помощью куска кабеля от наушников. Flipper Zero предлагает подписать петицию, чтобы донести детали до правительства Канады.

Компания UserGate объявила о начале работы собственного центра мониторинга информационной безопасности (Security Operations Center, SOC). Центр будет обеспечивать оперативное выявление инцидентов ИБ, их локализацию и устранение до наступления критических последствий для бизнеса.

SOC UserGate запущен, потому что компания UserGate накопила достаточно экспертизы в области информационной безопасности. По словам компании, заказчикам будут доступны облачный SOC‑а (SOCaaS), включая мониторинг событий, анализ инцидентов, ИБ‑аналитика, анализ защищённости систем, киберкриминалистрика, постинцидентный анализ и многое другое.

В команду SOC UserGate вошли специалисты, разделённые на три группы. Одни занимаются мониторингом безопасности, другие разработкой контента (правил для SIEM системы, плейбуков в IRP‑платформе), третьи ведут проактивный поиск угроз в защищаемых инфраструктурах. Кроме того, в состав команды центра входит группа SRE (Site Reliability Engineering), состоящая из инженеров, ответственных за внедрение, настройку и поддержку всех технических решений SOC.

UserGate рассказала, что базовую функциональность SOC дополнят личным кабинетом клиента в 1 квартале 2025 года. Личный кабинет будет содержать всю информацию, от инфографики, демонстрирующей работу инфраструктуры, карточек инцидентов, до SIEM‑правил и базы знаний. Также в 2025 году ожидается реагирование на киберинциденты.

Группа компаний «Солар» заявила о выпуске новой версии Solar NGFW 1.2. В ней были добавлены возможности детальной настройки сетевых интерфейсов через графический интерфейс, импорта наборов сигнатур IPS и данных об их категориях, настройка отказоустойчивой пары.

Кроме озвученных функций в Solar NGFW 1.2 были добавлены:

• новый раздел веб‑интерфейса «Сетевые интерфейсы» для управления параметрами сетевой конфигурации был добавлен. В разделе отображаются Ethernet‑интерфейсы, которые добавляются автоматически, и VLAN‑интерфейсы, требующие полной ручной настройки;

• в веб‑интерфейс отображение статусов «подключён», «не подключён», «промежуточный», оповещающий об отсутствии подтверждения перехода в другой режим, вызов подробной информации (обновляющаяся каждую минуту) по каждому интерфейсу. Ранее такие настройки были возможны только через командную строку;

• новая вкладка «Наборы сигнатур» в меню системы предотвращения вторжений, позволяющая загружать обновления на новые угрозы безопасности. Система предлагает два вида действия: добавление нового набора или обновление уже имеющегося в системе. Вкладка позволяет добавлять и обновлять информацию о категориях, к которым относятся сигнатуры.

Также была обновлена методика тестирования, опубликованная в открытом доступе. В методику были добавлены общий нагрузочный тест в режиме NGFW на приближённом к реальному смешанном трафике (AppMix) и функциональный тест для механизма IPS, проверяющий корректность отражения атак под нагрузкой.

Экс-хакер Агентства национальной безопасности США Патрик Уордл и бывший исследователь кибербезопасности Apple Михаил Сосонкин объявили о запуске стартапа DoubleYou для обеспечения защиты устройств Apple.

Создатели компании отметили, что по сравнению с Windows для macOS и iOS по-прежнему существуют лишь несколько хороших продуктов безопасности. По мере роста популярности компьютеров Apple злоумышленники всё чаще атакуют Mac.

Идея DoubleYou состоит в том, чтобы брать методы действий хакеров и применять их для защиты систем. Исследователи разрабатывают метод анализа всех процессов macOS для обнаружения и блокировки любого ненадёжного кода и аномалий в DNS-трафике. Также DoubleYou стремятся создать инструменты для мониторинга и блокировки программ-вымогателей и майнеров криптовалюты, а также выявления случаев, когда программное обеспечение пытается получить доступ к веб-камере и микрофону.

Основатели компании заявили, что не намерены привлекать инвестиции, чтобы оставаться независимыми и сосредоточиться на развитии своих технологий.

Задача почти как на CTF-турнире: найдите следы взлома в дампе трафика

Почувствуйте себя участником CTF-турнира. Попробуйте решить задачу от специалиста по информационной безопасности Selectel.

Условие

На одном сервере находятся два уязвимых веб-приложения. В сети этого сервера размещен второй хост, с которого зафиксированы попытки эксплуатации уязвимостей веб-приложений.

Задача

Определите по дампу трафика:

• на каких портах отвечают веб-приложения,

• какая нагрузка в SQL-инъекции использована для обхода авторизации в первом приложении,

• какая нагрузка в SQL-инъекции использована для получения логинов и хэшей паролей во втором приложении,

• решение задач каких известных приложений отражено в дампе?

Файл dump.pcap

Делитесь в комментариях своими вариантами, а мы 27 апреля добавим пост с верным ответом.

Если не хочется ждать, заглядывайте в Академию Selectel. Там пошагово разбираем задачу и показываем решение.

Читайте также

• Самые интересные задачи для безопасников — Джабба одобряет

• Пошаговая шпаргалка по защите сервера от хакеров и другой нечисти

• Безопасность в Docker: от правильной настройки хоста до демона

Институт системного программирования им. В.П. Иванникова (ИСП) РАН и компания «Базис» заключили новое соглашение о сотрудничестве. По этому соглашению, стороны будут проводить исследования и разработки в сферах верификации и тестирования программного обеспечения, обработки больших данных, программной инженерии и информационной безопасности.

В 2023 году ИСП РАН и «Базис» договорились использовать разработанные в институте инструменты статического и динамического анализа, включая фаззинг и определение атаки, в процессы безопасной разработки, развёрнутые в «Базисе».

По новому соглашению, ИСП РАН продолжит анализировать продукты «Базиса» на ошибки и уязвимости. Уже определены 20 компонентов ПО (например, QEMU, libvirt) для анализа. Результаты анализа компонентов будут открытыми, например, все фаззинг‑цели будут распространяться в соответствии с регламентом Центра, а исправления будут предложены для включения в основные ветки исследуемых компонентов. Сейчас уже 4 исправления включены в репозитории Apache ActiveMQ и ApacheDS.

Анализом занимается Центр исследований безопасности системного ПО, созданного на базе ИСП РАН по инициативе ФСТЭК России. Кроме центра, создан Консорциум по поддержке Центра, куда входит 30 компаний и ВУЗов.

Кажется, Роскомнадзору вчера впервые удалось заблокировать Outline (Shadowsocks VPN)

Компания Positive technologies опубликовала репозиторий https://github.com/POSIdev-community/ptai-analysis-rules с пользовательскими правилами SAST.

Приглашаю сообщество пользователей PT Application inspector присоединиться и делиться своими правилами.

Первые правила:

Information Exposure Through an Error Message

Отключение проверки цепочки сертификатов

Согласно issues на подходе ещё несколько.

23 апреля 2024 года состоялся выпуск специализированного дистрибутива Tails 6.2, ориентированного на конфиденциальность, основанного на пакетной базе Debian 12, поставляемого с рабочим столом GNOME 43 и предназначенного для анонимного выхода в сеть.

Tails — продолжение развития ОС Incognito. Релиз первого дистрибутива проекта состоялся в июне 2009 года. В Tails все исходящие соединения обеспечиваются системой Tor, а все неанонимные блокируются.

Система Tails предназначена для загрузки с LiveCD или LiveUSB и не оставляет следов на ПК, где использовалась. Для хранения пользовательских данных в проекте применяется шифрование. Для загрузки доступен ISO-образ дистрибутива Tails размером 1 ГБ.

В сборке Tails 6.2:

• обновлены версии Tor Browser 13.0.13 (на базе Firefox 115.10), Tor 0.4.8.11 и Thunderbird 115.20;

• на экране приветствия реализована возможность включения локализации для 21 дополнительного языка;

• cекция локализации в Welcome Screen переименована в «Язык и форматы» (Language and Formats);

• в интерфейсе Tails Upgrader по умолчанию активирована опция для откладывания установки обновлений (Make Upgrade later);

• расширен спектр ошибок, распознаваемых при проблемах с чтением или записью на USB-накопители;

• решены проблемы с надёжностью работы Wi-Fi;

• отключена обработка клавиш SysRq;

• для усиления защиты от уязвимости Spectre v4 включён по умолчанию параметр spec_store_bypass_disable=on.

Источник: OpenNET.

Cisco представила комплексную распределённую систему безопасности нового поколения под названием Hypershield. Это решение позволяет укрепить сетевую и серверную защиту ЦОД и облачной IT-инфраструктуры.

Cisco Hypsershield предназначена для защиты приложений, устройств и данных в различных средах, включая государственные и частные ЦОД, облака и физические устройства.

Разработчики пояснили, что в рамках интеграции с защитными системами на базе ИИ новая технология позволяет добиться более высоких результатов в области безопасности, чем это было возможно с помощью текущий реализаций подобных систем.

Hypershield использует постоянно дообучающийся ИИ, а его платформа изначально построена и спроектирована как автономная система с возможностью прогнозирования и противодействия угрозам. Проект создан на основе технологии, изначально разработанной для гиперскейлеров. Система представляет собой скорее структуру безопасности, позволяющую применять политики безопасности везде, где это необходимо: для каждой службы приложений, кластера Kubernetes, контейнера, виртуальной машины или сетевого порта.

По словам представителя компании-разработчика, проект Hypershield может обеспечить безопасность в программном окружении, на сервере и в будущем даже в сетевом коммутаторе. В распределённой системе, которая может включать сотни тысяч точек применения политик (Enforcement Point), упрощённое управление имеет решающее значение, отмечают в Cisco.

В стандартной C-библиотеке Glibc выявлена уязвимость (CVE-2024-2961), приводящая к переполнению буфера при преобразовании специально оформленных строк в кодировке ISO-2022-CN-EXT функцией iconv().

Выявивший проблему исследователь 10 мая выступит на конференции OffensiveCon с докладом, в анонсе которого упоминается возможность эксплуатации уязвимости через приложения на языке PHP. Проблема затрагивает всю экосистему PHP и некоторые приложения.

При преобразовании строк в кодировке UCS4, в соответствии с требованиями RFC 1922, библиотека Glibc добавляет некоторые escape-символы, выделяющие части строки, в которых кодировка была изменена.

Уязвимость в вызвана некорректной проверкой границ внутренних буферов функцией iconv(), что может привести к переполнению буфера максимум на 4 байта. При переполнении за границу буфера могут быть записаны определённые фиксированные значения, такие как '$+I', '$+J', '$+K', '$+L', '$+M' и '$*H'. Несмотря на то, что эксплуатация подобной уязвимости для выполнения кода кажется маловероятной, этого оказалось достаточно для подготовки нескольких прототипов эксплоитов для удалённой атаки на PHP-приложения, приводящей к выполнению кода.

Уязвимость проявляется с 2000 года и устранена в находящейся в разработке ветке Glibc 2.40. Исправление также доступно в виде патчей для выпусков Glibc с 2.32 по 2.39. В дистрибутивах проследить за исправлением уязвимости можно на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.

Источник: OpenNET.