Информационная безопасность *

«Гуру кибербезопасности» Брюс Шнайер сравнивает текущую ситуацию с уязвимостями LLM (больших языковых моделей) с ситуацией с телефонными системами 70-х, когда данные и команды передавались одним и тем же каналом. Такое смешение данных и команд делает современные LLM особенно уязвимыми для атак, подобно тому, как хакеры могли управлять телефонными системами, используя определенные звуковые сигналы.

Одним из видов угроз является внедрение вредоносных инструкций в обучающие данные LLM, что может привести к нежелательным последствиям. Злоумышленники могут встроить вредоносные команды в тексты на веб‑страницах или в электронные письма и даже медиафайлы, делая любую систему, обрабатывающую такие файлы и LLM в том числе, потенциальной мишенью для атак.

Проблема усугубляется тем, что не всегда возможно разделить данные, которые LLM использует для обучения или выполнения задач, от команд, которые управляют её поведением. Эта особенность делает систему адаптивной и гибкой, но в то же время увеличивает риски безопасности.

Тем не менее, возможности по улучшению защиты LLM постепенно развиваются. Создаются системы, способные распознавать и отсеивать вредоносные данные, а также механизмы контроля доступа, которые могут ограничить возможности взаимодействия с LLM в неблагоприятных условиях.

Шнайер призывает к тщательному анализу рисков и возможностей, связанных с использованием генеративных ИИ, подчеркивая необходимость взвешивания потенциальных угроз и выгод от использования ИИ.

В одной из предыдущих статей мы обсуждали обход блокировки WireGuard VPN в Египте, направляя handshake-пакеты через SOCKS5 прокси. Однако, последние события показали, что этот метод больше не эффективен.

Вместе с Шэди Наги мы исследовали и протестировали новый подход. В предварительной версии WireSock VPN Client v1.2.41 был добавлен новый параметр Socks5ProxyAllTraffic. При установке в true (например, Socks5ProxyAllTraffic = true), он направляет весь трафик WireGuard через SOCKS5 прокси, эффективно скрывая его от DPI-анализа.

Обратите внимание, что возможно потребуется уменьшить MTU на 10-20 байт для учета заголовка SOCKS5 UDP.

WireSock VPN Client v1.2.41 доступен для скачивания по ссылкам из оригинального поста.

Для получения дополнительной информации и подробных шагов настройки, посетите руководство Шэди Наги.

17 мая 2024 года журнал «Хакер» в качес­тве экспе­римен­та и в рамках празднования 25-летия своей продуктивной деятельности запус­тил на своём сайте хакер­ский квест, который по задум­ке дол­жен занять энтузиастов и профильных IT-специалистов на этих выход­ных.

Это наш пер­вый опыт в орга­низа­ции таких квес­тов, поэто­му слож­ность и требуемое на решение вре­мя мы можем оце­нить толь­ко при­мер­но. Начинать мож­но имея лишь базовые навыки, а до кон­ца дол­жны дой­ти лишь самые стойкие.

Пер­вого про­шед­шего квест ждёт глав­ный приз (какой — пока сек­рет), пер­вую десят­ку — при­зы помень­ше.

Сра­зу пре­дуп­режда­ем, что в пла­не нас­тупатель­ной безопас­ности квест пред­полага­ет толь­ко раз­ведку. Если у тебя вдруг получит­ся что‑то взло­мать, то про­сим ничего не тро­гать и зарепор­тить своё дос­тижение, написав в Telegram ответс­твен­ному (@electric_panda).

Твое пер­вое задание — най­ти начало квес­та. Уда­чи в про­хож­дении!

Эксперт по ИБ Эрик Паркер решил проверить работу Windows XP в 2024 году без штатных систем защиты. Последнее обновление безопасности эта система получила 10 лет назад. Для теста в настройках системы были отключены Firewall и Defender и ПК был подключён в интернет.

Через несколько минут в системе началась подозрительная активность. Вредоносное ПО начало сканировать систему и проникать в неё, а через два часа зловреды существенно начали мешать работе ПК.

Оказалось, что в системе почти сразу появился поддельный файл svchost.exe, который запускал вредоносные скрипты. В ходе сканирования ПК с помощью Malwarebytes было обнаружено в общей сложности восемь вредоносных файлов, включая трояны, рекламное ПО и вредоносное ПО с бэкдором.

Команда РСХБ CyberTeam прошла отборочный этап международного Киберчемпионата по информационной безопасности, проводимого в рамках ЦИПР.

В отборочном этапе участвовало 40 команд из 18 стран. Лишь 5 из них вышли в финал, который состоится 22 мая этого года. В эту пятерку вошла CyberTeam, занявшая второе место по числу набранных баллов.

CyberTeam была сформирована в августе 2022 года. С того момента команда успела занять второе место на Киберучениях в рамках SOC форума 2022, а также принять участие в CyberCamp 2022 и Кибербитве в рамках SOC форума в 2023 году.

Пользователи пожаловались на появление старых фото после обновления до iOS 17.5. Некоторые владельцы iPhone сообщают, что удалённые фотографии появляются в альбоме «Недавние». На ту же проблему жаловались и бета-тестеры.

Обычно iOS дает пользователям возможность восстановить удалённые фотографии в течение 30 дней, а потом они удаляются навсегда.

Однако пользователи пишут, что видят снимки, которые удалили «много лет назад». у одного из них фото 2016 года отображались как новое. Ещё один юзер написал, что «около 300» его старых фотографий, некоторые из которых были «компрометирующими», появились на iPad, хотя он удалил их в соответствии с рекомендациями Apple и продал устройство другу. Также описаны случаи, когда на смартфон возвращались фотографии, хотя он не синхронизировался и не использовал iCloud. 

Кроме того, один пользователь указал, что у него восстановились старые голосовые сообщения.

Компании «Нубес» и Angara Security подписали соглашение о сотрудничестве в области расследований киберпреступлений. В рамках сотрудничества, «Нубес» смогут привлекать экспертов Angara Security для проектов по цифровой криминалистике, включая, реагирование и расследование инцидентов, сбор цифровых улик, доказательной базы для расследований корпоративных служб безопасности, органов исполнительной и судебной власти. Также будут проводиться анализ вредоносного ПО, защита бренда, ретроспективный анализ IT‑инфраструктуры на основе индикаторов компрометации и иных следов действий злоумышленников.

По статистике Angara SOC, наибольшее число инцидентов связано с использованием вредоносного ПО, вымогательством и кражей персональных данных. По итогам 2023 года IT‑бизнес, ретейл, промышленные компании вошли в число наиболее часто атакуемых отраслей российской экономики.

«Так, на 19% вырос спрос на базы данных, содержащие персональные данные (e‑mail и телефоны) пользователей банковских услуг, при этом объём предлагаемых украденных баз данных за 2023 год вырос на 29%. Поэтому важно не только оперативно реагировать на инциденты ИБ, но и превентивно пресекать попытки взломов, анализировать следы компрометации и учитывать потенциальные векторы атак при планировании IT и ИБ‑инфраструктуры», — прокомментировал заместитель директора Angara SOC по развитию бизнеса Артем Грибков.

С января этого года автоматический определитель номера «Яндекса» (АОН) зафиксировал 530 млн звонков с неизвестных номеров, в том числе в мессенджерах. Больше половины из них — 302 млн (57%) — АОН определил как нежелательные и предупредил о них пользователей. Почти 25 млн звонков АОН автоматически заблокировал тем пользователям, кто подключил эту функцию.   

С начала года пользователи определителя номера «Яндекса» получили на 20% больше нежелательных звонков с незнакомых номеров, чем за тот же период прошлого года. Больше всего (на 19%) выросло количество звонков от мошенников. Предложений  банковских услуг стало на 7% больше, а услуг страхования — на 5%. При этом звонков с предложением разного рода небанковских финансовых услуг стало на 38% меньше, а услуг связи — на 29% меньше. 

Одна из популярных сейчас мошеннических схем, когда людям звонят от имени операторов сотовой связи и предлагают продлить договор, для чего просят назвать код из СМС. Другая схема — звонки в Viber или WhatsApp с номеров, похожих на телефоны известных компаний.

Автоматический определитель номера (АОН) доступен в приложении «Яндекс с Алисой». Система защищает пользователей от звонков с неизвестных номеров, чтобы они не тратили на них время. С помощью этой опции можно узнать, кто звонит, или заблокировать нежелательные звонки. АОН умеет блокировать звонки с рекламой финансовых услуг и нежелательные вызовы, в частности, от злоумышленников.

❗️ Apple и Google только что запустили кроссплатформенную функцию "Обнаружение нежелательных трекеров местоположения"

Беспокоитесь о Bluetooth Сталкерах, которые могут украсть ваши пароли?

❗ Apple и Google только что запустили кроссплатформенную функцию "Обнаружение нежелательных трекеров местоположения" на iOS и Android, чтобы защитить пользователей от несанкционированного отслеживания.

Читать: https://thehackernews.com/2024/05/apple-and-google-launch-cross-platform.html

Если интересуетесь темой информационной безопасности и этичного Хакинга , здесь я публикую разбор свежих инструментов, статей и гайдов, кладешь полезной информации.

#apple #google

Найти все API — важная задача в процессе выстраивания их успешной защиты. Поэтому, имея сведения о структуре своих API, вы уже окажетесь на шаг впереди злоумышленников. А что делать с этой информацией?

Компания Вебмониторэкс ответит на этот и другие вопросы на своем вебинаре 16 мая.
Теорию подкрепит практический кейс заказчика.

 О чем расскажем на вебинаре:

- На что обратить внимание при обеспечении безопасности API в современных условиях. - Изменения в инфраструктуре. Что дальше?
- Защита и управление API. Почему это важно.
- Подходы по защите API. От зрелости к эффективности: Знать. Защищать. Не допускать. - Реализация на платформе «Вебмониторэкс»: компоненты для защиты и управления API.  

Ведущий вебинара — Лев Палей, CISO Вебмониторэкс. Специальный гость — Кирилл Ильин, CISO «СберАвто». Он честно и открыто расскажет о задачах, практике и результатах защиты API в своей компании.  

Кому полезно:

- Специалистам, участвующим в разработке критичных для бизнеса веб-приложений
- Руководителям подразделений по информационной безопасности
- Специалистам Application Security  

Почему полезно:

- Узнаете о современной концепции управления API
- Увидите пример ее реализации на платформе «Вебмониторэкс»
- Услышите от CISO об успешном опыте защиты и управления API на примере компании «СберАвто»  

Регистрируйтесь по ссылке.

Вебинар про защиту API 16 мая в 12:00

PyHTools: крутой инструмент Python для различных задач кибербезопасности:

- изменение mac-адреса

- сканирование диапазона ip-адресов в сети;

- сканирование каталогов - сканирование уязвимостей

- сканирование поддоменов 

и более

▪ Github

Каждый день я выкладываю крутые OSINT инструменты в своем канале, заходите, если интересуетесь темой этичного Хакинга.

Интересуетесь сферой ИБ? С вас — участие в опросе, с нас — приятный бонус 🦖

Привет, Хабр! Знаем, что многие наши читатели неравнодушны к темам ИБ. Хотим выпустить много нового, а чтобы материалы вышли максимально интересными и полезными, приглашаем вас поучаствовать в составлении контент-плана.

Какие инструкции помогут вам в работе? Какой формат текстов вы предпочитаете? О чем вы давно хотели узнать? Пройдите наш опрос, чтобы регулярно получать экспертные материалы под ваши цели и задачи. 

🔘 Прохождение опроса займет около 3 минут.

🔘 Бонус для участников — розыгрыш 5 сертификатов Ozon на 1500 рублей и 5 наборов фирменного мерча Selectel.

Пройти опрос →

Sony начала требовать в некоторых регионах для создания/подтверждения учётной записи в PSN регистрационные документы пользователей для проверки их возраста и личных данных.

«Лаборатория Касперского» открыла Центр прозрачности в Босфорском университете в Стамбуле.

29 апреля 2024 года гендиректор «Лаборатории Касперского» Евгений Касперский и ректор Босфорского университета профессор доктор Мехмет Начи Инчи подписали Меморандум о взаимопонимании. Организации планируют в рамках этого проекта создать основу для взаимного технологического сотрудничества в будущих академических программах.

«Лаборатория Касперского» и Босфорский университет договорились о запуске Лаборатории прозрачности, в рамках которой студенты будут изучать методологию и технику оценки качества и надёжности решений, участвующих в цепочках поставок, по программе Cyber Capacity Building Program. Программа позволяет получить навыки оценки уровня безопасности IT-инфраструктуры. Более того, в Лаборатории будет проводиться обучение для распознавания киберугроз, а также очные и онлайн-семинары.

В 2018 году «Лаборатория Касперского» открыла первый Центр прозрачности Цюрихе.

В 2022 году «Лаборатория Касперского» открыла в своих локальных офисах по миру три Центра прозрачности в Сингапуре, США и Японии.

Внутри Центров прозрачности при личном посещении партнёры и клиенты компании могут получить под NDA более подробную информацию о программном коде решений «Лаборатории Касперского», включая просмотр в режиме чтения исходного кода части продуктов, узнать о механизме обновления и способах анализа данных, увидеть процесс создания антивирусных баз и изучить корпоративные правила распознавания угроз.

Как получить максимум пользы от Positive Hack Days 2 – мощнейшей прокачки в кибербезе, до которой осталось меньше месяца?

Участвуй в вебинарах «Метапродукты и NGFW: взгляд интегратора» и познакомься с главными ИБ новинками года, чтобы на киберфестивале разобрать их более детально.

Эксперты ИТ-компании Innostage в преддверии PHD расскажут о практиках применения нашумевшего метапродукта О2 и «боевом крещении» межсетевых экранов PT NGFW. Только практика, только hard skills!

 🔥 А еще на каждом вебинаре будет разыграно по 5 билетов в бизнес трек Positive Hack Days 2!

Метапродукт О2: функции и практическое применение

📆 14 мая в 11:00 (МСК)

• Функционал продукта

• О2 и опыт Innostage: внедрение в своей ИТ-инфраструктуре и кейс в банковской сфере

• Методология киберустойчивости

❗️Регистрация

 PT NGFW: Обсуждение результатов тестирования по нагрузке и функционалу

📆 16 мая в 11:00 (МСК)

• Обзор PT NGFW перед выходом коммерческой версии

• Жёсткое испытание пилота в режиме «нагрузка и функционал»

• Роадмап по развитию продукта PT NGFW

 ❗️Регистрация

Прокачай навыки в сфере результативной кибербезопасности!

Участие бесплатное. Регистрация на каждое мероприятие обязательна.

Разработчик Леннарт Поттеринг представил утилиту run0, позволяющую выполнять процессы под идентификаторами других пользователей. Утилита позиционируется как более безопасная замена программы sudo, реализованная в форме надстройки над командой systemd-run и позволяющая избавиться от применения исполняемого файла с флагом SUID.

Утилита run0 включена в состав выпуска systemd 256, который находится на стадии кандидата в релизы.

В run0 осуществляется обращение к системному менеджеру с запросом запуска командной оболочки или процесса с указанным идентификатором пользователя, создания нового псевдотерминала (PTY) и пересылки данных между ним и текущим терминалом (TTY). Подобное поведение напоминает запуск при помощи ssh, чем выполнение при помощи классического sudo. Привилегированный процесс запускается в изолированном контексте, который порождается процессом PID 1, а не процессом пользователя, не наследует свойства окружения пользователя, за исключением проброса переменной окружения $TERM. Проброс регулируется через список явно разрешённых свойств, вместо попыток запретить опасные свойства (концепция белого списка).

Для авторизации и определения возможностей пользователя в run0 используется Polkit. Классический язык описания правил (/etc/sudoers), применяемых в sudo, не поддерживается. Функциональность для запуска программ с другими привилегиями встроена в systemd-run, а команда run0 создаётся как символическая ссылка на systemd-run.

Источник: OpenNET.

Ответ на задачу про следы взлома в дампе трафика

Привет, Хабр! Помните задачу о взломе, которую подготовил наш специалист по информационной безопасности? Как и обещали, показываем верные ответы.

Напомним, что в ней было:

На одном сервере находятся два уязвимых веб-приложения. В сети этого сервера размещен второй хост, с которого зафиксированы попытки эксплуатации уязвимостей веб-приложений.

Определите по дампу трафика:

• на каких портах отвечают веб-приложения,

• какая нагрузка в SQL-инъекции использована для обхода авторизации в первом приложении,

• какая нагрузка в SQL-инъекции использована для получения логинов и хэшей паролей во втором приложении,

• решение задач каких известных приложений отражено в дампе?

Файл dump.pcap

Верные ответы

↓

↓

↓

↓

На каких портах отвечают web-приложения?

80/TCP, 5000/TCP

Какая нагрузка в SQL-инъекции использована для обхода авторизации в первом web-приложении?

‘ or 1 -- -

Какая нагрузка в SQL-инъекции использована для получения логинов и хэшей паролей во втором web-приложении

Man%27+union+select+1%2Cuser%28%29%2Cdatabase%28%29%2C%28select+GROUP_CONCAT%28login%2C+%27%5Cn%27%2C+password%2C+%27%5Cn%27%29+from+users%29%2C5%2C6%2C7+--+-

Решение задач каких известных приложений отражено в дампе?

bWAPP, OWASP JuiceShop

Интересно, как решить задачу? Показываем пошаговое решение в Академии Selectel.

"Самый приватный мессенджер!" - говорили они.

За последние пару месяцев в четвертый раз сталкиваюсь с ситуацией, поэтому решил написать здесь. Суть проста в Телеграмме приходит сообщение с аккаунта, похожего на аккаунт руководителя с места работы (совпадают имя и фото), в котором говорится что в компании проходит проверка, есть вопросы конкретно к тебе относительно сомнительных финансовых операций, с тобой свяжется сотрудник Федеральных служб и далее по известной схеме. Номер телефона в аккаунте скрыт. Выглядит это примерно так:

Я могу назвать 4 организации, с числом сотрудников от 10 до нескольких тысяч где подобные случаи произошли. Во всех случаях пишут именно от лица руководителя, т.е., по-видимому, зная имя руководителя и сотрудников, не составляет труда найти их аккаунт в телеграмм. Была недавно статья, о том что МТС предлагает услуги по рассылке рекламы в телеграмм своих абонентов, очевидно, такая возможность есть не только у МТС.

Будьте внимательны, не дайте себя обмануть.

Основатель проекта Павел Жовнер показал, как можно открыть электронный сейф с помощью Flipper Zero, используя уязвимость в протоколе управления контроллера.

На видео показан процесс перехвата данных по протоколу UART и эксплуатация уязвимости сейфов производства компании SentrySafe. Таким образом, можно открыть сейф, не зная ПИН-кода.

В июле 2020 года, спустя сутки после своего выхода на Kickstarter, проект Flipper Zero собрал более $1 млн. 29 августа на Kickstarter закончился сбор заявок на электронный мультитул. Гаджет собрал $4 882 784. У проекта нашлось 37 987 бекеров на краудфандинговой платформе.

В феврале правительство Канады запретило официально продавать Flipper Zero и аналогичные гаджеты, чтобы остановить всплеск угонов автомобилей в стране.

В марте Flipper Zero ответила на запрет правительства Канады на продажу устройств в стране из-за роста угона автомобилей. В статье команда проекта подробно рассказала о том, как на самом деле угоняют автомобили, почему для этого не подходит Flipper Zero и как можно перехватить радиосигнал с помощью куска кабеля от наушников. Flipper Zero предлагает подписать петицию, чтобы донести детали до правительства Канады.

Компания UserGate объявила о начале работы собственного центра мониторинга информационной безопасности (Security Operations Center, SOC). Центр будет обеспечивать оперативное выявление инцидентов ИБ, их локализацию и устранение до наступления критических последствий для бизнеса.

SOC UserGate запущен, потому что компания UserGate накопила достаточно экспертизы в области информационной безопасности. По словам компании, заказчикам будут доступны облачный SOC‑а (SOCaaS), включая мониторинг событий, анализ инцидентов, ИБ‑аналитика, анализ защищённости систем, киберкриминалистрика, постинцидентный анализ и многое другое.

В команду SOC UserGate вошли специалисты, разделённые на три группы. Одни занимаются мониторингом безопасности, другие разработкой контента (правил для SIEM системы, плейбуков в IRP‑платформе), третьи ведут проактивный поиск угроз в защищаемых инфраструктурах. Кроме того, в состав команды центра входит группа SRE (Site Reliability Engineering), состоящая из инженеров, ответственных за внедрение, настройку и поддержку всех технических решений SOC.

UserGate рассказала, что базовую функциональность SOC дополнят личным кабинетом клиента в 1 квартале 2025 года. Личный кабинет будет содержать всю информацию, от инфографики, демонстрирующей работу инфраструктуры, карточек инцидентов, до SIEM‑правил и базы знаний. Также в 2025 году ожидается реагирование на киберинциденты.

Группа компаний «Солар» заявила о выпуске новой версии Solar NGFW 1.2. В ней были добавлены возможности детальной настройки сетевых интерфейсов через графический интерфейс, импорта наборов сигнатур IPS и данных об их категориях, настройка отказоустойчивой пары.

Кроме озвученных функций в Solar NGFW 1.2 были добавлены:

• новый раздел веб‑интерфейса «Сетевые интерфейсы» для управления параметрами сетевой конфигурации был добавлен. В разделе отображаются Ethernet‑интерфейсы, которые добавляются автоматически, и VLAN‑интерфейсы, требующие полной ручной настройки;

• в веб‑интерфейс отображение статусов «подключён», «не подключён», «промежуточный», оповещающий об отсутствии подтверждения перехода в другой режим, вызов подробной информации (обновляющаяся каждую минуту) по каждому интерфейсу. Ранее такие настройки были возможны только через командную строку;

• новая вкладка «Наборы сигнатур» в меню системы предотвращения вторжений, позволяющая загружать обновления на новые угрозы безопасности. Система предлагает два вида действия: добавление нового набора или обновление уже имеющегося в системе. Вкладка позволяет добавлять и обновлять информацию о категориях, к которым относятся сигнатуры.

Также была обновлена методика тестирования, опубликованная в открытом доступе. В методику были добавлены общий нагрузочный тест в режиме NGFW на приближённом к реальному смешанном трафике (AppMix) и функциональный тест для механизма IPS, проверяющий корректность отражения атак под нагрузкой.

Экс-хакер Агентства национальной безопасности США Патрик Уордл и бывший исследователь кибербезопасности Apple Михаил Сосонкин объявили о запуске стартапа DoubleYou для обеспечения защиты устройств Apple.

Создатели компании отметили, что по сравнению с Windows для macOS и iOS по-прежнему существуют лишь несколько хороших продуктов безопасности. По мере роста популярности компьютеров Apple злоумышленники всё чаще атакуют Mac.

Идея DoubleYou состоит в том, чтобы брать методы действий хакеров и применять их для защиты систем. Исследователи разрабатывают метод анализа всех процессов macOS для обнаружения и блокировки любого ненадёжного кода и аномалий в DNS-трафике. Также DoubleYou стремятся создать инструменты для мониторинга и блокировки программ-вымогателей и майнеров криптовалюты, а также выявления случаев, когда программное обеспечение пытается получить доступ к веб-камере и микрофону.

Основатели компании заявили, что не намерены привлекать инвестиции, чтобы оставаться независимыми и сосредоточиться на развитии своих технологий.

Задача почти как на CTF-турнире: найдите следы взлома в дампе трафика

Почувствуйте себя участником CTF-турнира. Попробуйте решить задачу от специалиста по информационной безопасности Selectel.

Условие

На одном сервере находятся два уязвимых веб-приложения. В сети этого сервера размещен второй хост, с которого зафиксированы попытки эксплуатации уязвимостей веб-приложений.

Задача

Определите по дампу трафика:

• на каких портах отвечают веб-приложения,

• какая нагрузка в SQL-инъекции использована для обхода авторизации в первом приложении,

• какая нагрузка в SQL-инъекции использована для получения логинов и хэшей паролей во втором приложении,

• решение задач каких известных приложений отражено в дампе?

Файл dump.pcap

Делитесь в комментариях своими вариантами, а мы 27 апреля добавим пост с верным ответом.

Если не хочется ждать, заглядывайте в Академию Selectel. Там пошагово разбираем задачу и показываем решение.

Читайте также

• Самые интересные задачи для безопасников — Джабба одобряет

• Пошаговая шпаргалка по защите сервера от хакеров и другой нечисти

• Безопасность в Docker: от правильной настройки хоста до демона

Институт системного программирования им. В.П. Иванникова (ИСП) РАН и компания «Базис» заключили новое соглашение о сотрудничестве. По этому соглашению, стороны будут проводить исследования и разработки в сферах верификации и тестирования программного обеспечения, обработки больших данных, программной инженерии и информационной безопасности.

В 2023 году ИСП РАН и «Базис» договорились использовать разработанные в институте инструменты статического и динамического анализа, включая фаззинг и определение атаки, в процессы безопасной разработки, развёрнутые в «Базисе».

По новому соглашению, ИСП РАН продолжит анализировать продукты «Базиса» на ошибки и уязвимости. Уже определены 20 компонентов ПО (например, QEMU, libvirt) для анализа. Результаты анализа компонентов будут открытыми, например, все фаззинг‑цели будут распространяться в соответствии с регламентом Центра, а исправления будут предложены для включения в основные ветки исследуемых компонентов. Сейчас уже 4 исправления включены в репозитории Apache ActiveMQ и ApacheDS.

Анализом занимается Центр исследований безопасности системного ПО, созданного на базе ИСП РАН по инициативе ФСТЭК России. Кроме центра, создан Консорциум по поддержке Центра, куда входит 30 компаний и ВУЗов.

Кажется, Роскомнадзору вчера впервые удалось заблокировать Outline (Shadowsocks VPN)

Компания Positive technologies опубликовала репозиторий https://github.com/POSIdev-community/ptai-analysis-rules с пользовательскими правилами SAST.

Приглашаю сообщество пользователей PT Application inspector присоединиться и делиться своими правилами.

Первые правила:

Information Exposure Through an Error Message

Отключение проверки цепочки сертификатов

Согласно issues на подходе ещё несколько.

23 апреля 2024 года состоялся выпуск специализированного дистрибутива Tails 6.2, ориентированного на конфиденциальность, основанного на пакетной базе Debian 12, поставляемого с рабочим столом GNOME 43 и предназначенного для анонимного выхода в сеть.

Tails — продолжение развития ОС Incognito. Релиз первого дистрибутива проекта состоялся в июне 2009 года. В Tails все исходящие соединения обеспечиваются системой Tor, а все неанонимные блокируются.

Система Tails предназначена для загрузки с LiveCD или LiveUSB и не оставляет следов на ПК, где использовалась. Для хранения пользовательских данных в проекте применяется шифрование. Для загрузки доступен ISO-образ дистрибутива Tails размером 1 ГБ.

В сборке Tails 6.2:

• обновлены версии Tor Browser 13.0.13 (на базе Firefox 115.10), Tor 0.4.8.11 и Thunderbird 115.20;

• на экране приветствия реализована возможность включения локализации для 21 дополнительного языка;

• cекция локализации в Welcome Screen переименована в «Язык и форматы» (Language and Formats);

• в интерфейсе Tails Upgrader по умолчанию активирована опция для откладывания установки обновлений (Make Upgrade later);

• расширен спектр ошибок, распознаваемых при проблемах с чтением или записью на USB-накопители;

• решены проблемы с надёжностью работы Wi-Fi;

• отключена обработка клавиш SysRq;

• для усиления защиты от уязвимости Spectre v4 включён по умолчанию параметр spec_store_bypass_disable=on.

Источник: OpenNET.

Cisco представила комплексную распределённую систему безопасности нового поколения под названием Hypershield. Это решение позволяет укрепить сетевую и серверную защиту ЦОД и облачной IT-инфраструктуры.

Cisco Hypsershield предназначена для защиты приложений, устройств и данных в различных средах, включая государственные и частные ЦОД, облака и физические устройства.

Разработчики пояснили, что в рамках интеграции с защитными системами на базе ИИ новая технология позволяет добиться более высоких результатов в области безопасности, чем это было возможно с помощью текущий реализаций подобных систем.

Hypershield использует постоянно дообучающийся ИИ, а его платформа изначально построена и спроектирована как автономная система с возможностью прогнозирования и противодействия угрозам. Проект создан на основе технологии, изначально разработанной для гиперскейлеров. Система представляет собой скорее структуру безопасности, позволяющую применять политики безопасности везде, где это необходимо: для каждой службы приложений, кластера Kubernetes, контейнера, виртуальной машины или сетевого порта.

По словам представителя компании-разработчика, проект Hypershield может обеспечить безопасность в программном окружении, на сервере и в будущем даже в сетевом коммутаторе. В распределённой системе, которая может включать сотни тысяч точек применения политик (Enforcement Point), упрощённое управление имеет решающее значение, отмечают в Cisco.

В стандартной C-библиотеке Glibc выявлена уязвимость (CVE-2024-2961), приводящая к переполнению буфера при преобразовании специально оформленных строк в кодировке ISO-2022-CN-EXT функцией iconv().

Выявивший проблему исследователь 10 мая выступит на конференции OffensiveCon с докладом, в анонсе которого упоминается возможность эксплуатации уязвимости через приложения на языке PHP. Проблема затрагивает всю экосистему PHP и некоторые приложения.

При преобразовании строк в кодировке UCS4, в соответствии с требованиями RFC 1922, библиотека Glibc добавляет некоторые escape-символы, выделяющие части строки, в которых кодировка была изменена.

Уязвимость в вызвана некорректной проверкой границ внутренних буферов функцией iconv(), что может привести к переполнению буфера максимум на 4 байта. При переполнении за границу буфера могут быть записаны определённые фиксированные значения, такие как '$+I', '$+J', '$+K', '$+L', '$+M' и '$*H'. Несмотря на то, что эксплуатация подобной уязвимости для выполнения кода кажется маловероятной, этого оказалось достаточно для подготовки нескольких прототипов эксплоитов для удалённой атаки на PHP-приложения, приводящей к выполнению кода.

Уязвимость проявляется с 2000 года и устранена в находящейся в разработке ветке Glibc 2.40. Исправление также доступно в виде патчей для выпусков Glibc с 2.32 по 2.39. В дистрибутивах проследить за исправлением уязвимости можно на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.

Источник: OpenNET.

Wildberries требует подключить «Госуслуги» при доставке товаров из-за рубежа.

В маркетплейсе пояснили, что это связано со сбором данных для расчета и уплаты таможенных пошлин.

Вышла новая версия платформы для создания ложного слоя сетевой инфраструктуры предприятия «Гарда Deception». По словам разработчиков, основное нововведение в новой версии представляет собой интеграция с сервисом обогащения данных о киберугрозах «Гарда Threat Intelligence».

Как рассказал руководитель отдела аналитики угроз информационной безопасности группы компаний «Гарда» Алексей Семенычев, при детектировании подозрительных файлов или активности платформа обращается к базе индикаторов компрометации с запросом по хэшу потенциального вредоносного файла. В ответ платформа получает информацию о принадлежности объекта к конкретному вредоносу и оценивает степень опасности. Эти данные позволяют сформировать и передать событие в центр принятия решений или системы SIEM/IRP в виде инцидента. После чего уже специалисты ИБ принимают решение о реагировании.

Кроме того, в новой версии «Гарда Deception» сокращено количество ложноположительных срабатываний, снижена нагрузка на системы анализа и реагирования, оптимизировано использование вычислительных и информационных ресурсов ИБ‑систем.

Дептранс Москвы вместе с Минцифры запустили тематический метропоезд «Кибербезопасность». В нём пассажирам будут рассказывать правила поведения в сети. Каждый вагон посвятили определённой теме: путешествиям, покупкам, общению в интернете и другим.

Что можно узнать в новом поезде:

🔹 как создать надёжный пароль;
🔹️ чем отличаются настоящие сайты и письма от мошеннических;
🔹 почему важно вовремя обновлять программы на своих устройствах;
🔹 какие данные нужно указывать, когда совершаете покупку в интернет-магазине.

В Дептрансе оформили поезд в ярких цветах с футуристичными героями. Состав будет курсировать в течение полугода на Сокольнической линии Москвы.

Организаторы OFFZone 2024 объявили набор спикеров на мероприятие. Отправить заявку в рамках CFP (call for papers, приглашение для авторов к подаче докладов) можно до 12 июля 2024 года. Само мероприятие пройдёт 22–23 августа в Москве. Чтобы стать спикером OFFZone, надо подать заявку на выступление лично. Для доклада подойдёт любая интересная ИБ‑тема, например, open source, безопасность ML‑моделей, уязвимости в парсерах, пентест Wi‑Fi и так далее.

Все заявки рассматривает CFP‑комитет. В состав комитета входят независимые исследователи и эксперты по кибербезопасности из компаний BI.ZONE, «Лаборатория Касперского», Positive Technologies, «Яндекс», DeteAct, Swordfish Security, ESET и других. CFP‑комитет рассмотрит заявки и ответит до 28 июля. Если доклад одобрят, у спикера будет 24 часа, чтобы подтвердить участие.

Для заявки нужно:

• подготовить доклад на русском или английском языке (презентации лучше делать на английском);

• в докладах нельзя рекламировать вендоров или продукты;

• приложить любые существующие ИБ‑материалы (демо, white paper, PoC).

VK обработала 18 тысяч отчётов от багхантеров и выплатила ₽236 млн за 10 лет существования программы по поиску уязвимостей Bug Bounty. Свою первую программу Bug Bounty VK запустила на платформе HackerOne в апреле 2014 года. За все время сотрудничества с платформой VK получила 16 тысяч отчётов, а общий размер выплат составил ₽185 млн. Максимальное вознаграждение за критическую уязвимость достигало ₽ 1,5 млн.

После ухода HackerOne в 2022 году, VK разместила программу Bug Bounty на платформах Standoff365 и BI.ZONE Bug Bounty, в начале 2023 года — на BugBounty.ru. За время работы с российскими платформами компания обработала 2,5 тысячи отчётов и выплатила внешним исследователям безопасности ₽52 млн. В 2023 году суммарное вознаграждение составило ₽39 млн, что в три раза больше, чем в 2022 году, а размер максимальной единовременной выплаты составил ₽2,4 млн.

Как отметил вице‑президент, директор по информационной безопасности VK Антон Карпов, по случаю десятилетия Bug Bounty‑программы VK, в 2024 году бюджет программы превысит ₽200 млн.

Подключайтесь к онлайн‑трансляции конференции на тему «Цифровые продукты для быстрого роста в 2024»

Спикеры расскажут о самых востребованных цифровых решениях, дадут актуальную информацию по господдержке проектов по цифровой трансформации предприятий и построению архитектуры для информационной безопасности, а также приведут примеры применения промышленных решений на базе ИИ.

Мероприятие проходит при участии «Россельхозбанка», «ЦКБ», R‑Style Softlab, Postgres Professional, UserGate, Luxms, Норд Клан.

Когда: 17 апреля в 10:00 МСК
Подробности и регистрация.

Хакеры нашли в iOS 17 критическую уязвимость нулевого дня в iMessage и продают эту информацию за $2 млн в даркнете. Против неё нет защиты — опасность может коснуться всех.

Информацию сообщили разработчики криптокошелька Trust Wallet. Взлом iPhone может произойти, даже если пользователи не будут тапать по сомнительным ссылкам. Apple уже работает над фиксом. Единственный рабочий способ защиты прямо сейчас — на время отключить iMessage.

Trust Wallet сообщила, что криптовалюта пользователей iOS находится под угрозой из-за уязвимости в iMessage. Компания отмечает, что злоумышленники могут использовать её без участия со стороны пользователя.

Apple уже знает об уязвимости, но пока ещё не успела исправить её. Специалисты Trust Wallet рекомендуют на время отключить iMessage в настройках до тех пор, пока не выйдет обновление. Компания не сообщает подробности уязвимости.

Организация ISRG (Internet Security Research Group), учредитель проекта Let's Encrypt и развивающая технологии для повышения защищённости интернета, представила проект zlib-rs по созданию защищённого аналога библиотеки сжатия данных zlib.

Исходный код zlib-rs написан на языке Rust и распространяется под лицензией Zlib. Разработка ведётся с оглядкой на проект zlib-ng, развивающий высокопроизводительный вариант zlib. Представлены две библиотеки: zlib-rs с реализаций API zlib, не использующей unsafe-блоки и libz-rs-sys - надстройка с C API, содержащая код в режиме unsafe.

В качестве причины создания zlib-rs упоминается намерение предоставить вариант zlib, избавленный от потенциальных проблем, вызванных ошибками при работе с памятью.

По данным компаний Microsoft и Google около 70% уязвимостей вызваны небезопасной работой с памятью. Предполагается, что использование языка Rust для разработки zlib-rs позволит снизить риск появления уязвимостей, вызванных небезопасной работой с памятью, и исключить появление таких ошибок, как обращение к области памяти после её освобождения и выход за границы буфера.

Zlib используется в качестве зависимости во многих системах. В коде Zlib периодически всплывают опасные уязвимости. Например, в 2022 году в zlib было выявлено переполнение буфера при попытке сжатия специально подготовленной последовательности символов, которое позволяло эксплуатировать уязвимость через передачу специально оформленных входящих данных.

Источник: OpenNET.

Вечером 11 апреля 2024 года Apple заблокировала домен t.me в Safari. Браузер начал предупреждать, что там располагается мошеннический сайт.

Домен t.me принадлежит Telegram и используется в качестве ссылки на каналы или посты. Вероятно, Apple не принимала такое решение в ручном режиме, а всю работу выполнили алгоритмы ИБ компании.

После блокировки, чтобы перейти по адресу t.me или любой другой ссылке, которая начинается с этого адреса, приходится нажимать кнопку Подробнее, а затем Посетить этот небезопасный веб-сайт.

Таким образом, на каждой странице, где есть embed-вставка с доменом t.me, появлялось уведомление системы безопасности.

Спустя полтора часа Apple разблокировала домен t.me в Safari. Сейчас ссылки открываются как обычно. С чем была связана проблема с блокировкой в компании не уточнили.

Друзья, у нас вышла заключительная часть серии «Б значит не Безумие, а Безопасность».

В финальной статье наш DevOps‑инженер Алексей покажет, как защитить ваши базы данных. В роли БД рассматривается PostgreSQL версии 14 с управлением через patroni.

Вы узнаете, как повысить скорость анализа потенциальных инцидентов, как настроить процессы шифрования дисков, как сгенерировать SSL‑сертификаты для базы данных и обеспечить их двухстороннюю проверку. А ещё познакомитесь с wal‑g-backup.

Если ещё не читали, то сейчас самое время;) Нажмите сюда, чтобы начать.