Обложка канала

Киберпиздец

10674 @cybershit

Киберпиздец - это полезный канал, посвященный различным аспектам информационной безопасности и сопутствующих технологий.

  • Киберпиздец

    ZN переносят на 25 Августа
  • Киберпиздец

    Перенос даты ZeroNights на август 2021 Друзья! Организаторы готовились к юбилейному мероприятию и ждали встречи с вами два года: забронировали одну из лучших и самых живописных площадок города, отобрали самые сильные доклады и сформировали мощную программу. Однако в связи с неутихающим распространением инфекции и недавним ужесточением антиковидных мер в г. Санкт-Петербург в планах произошли непредсказуемые изменения. Теперь наша долгожданная встреча переносится на август. Новая дата конференции – 25 августа 2021. Место остается то же – “Севкабель Порт”. Для участников, которым не подходит эта дата, мы предусмотрели процедуру возврата билетов. При возврате до 30 июня стоимость всех купленных билетов будет возмещена в полном объеме. После 30 июня – от суммы будет удержана комиссия. Если возникнут вопросы, смело пишите на [email protected]. Десятая конференция ZeroNights не может не состояться! Дополнительное время мы уделим организации еще большего количества активностей и расширению программы.
  • Киберпиздец

    Вообще идея создания подобной карточной ИБ-игры преследует меня уже давно. Хочется и чтобы на конференциях можно было зарубиться, и не погруженным в мир ИБ было интересно. Мы с другом даже делали прототип, но дальше тестов к сожалению ничего не уехало :( На самом деле там не все так просто
  • Реклама

  • Киберпиздец

    В Kaspersky решили не мелочиться и сделать VR игру для знакомства топ-менеджмента с рисками ИБ. Такой Standoff на минималках) www.kaspersky.com/blog/vr…on/40188
  • Киберпиздец

    Для участия в розыгрыше нажмите на «Я участвую» ***** Победители: Mak Mih
  • Киберпиздец

    Идея обучения своих сотрудников вопросам ИБ не является чем-то новым, но последнее время стремительно набирает популярность. Поэтому в рамках этого партнерского материала хочу вам рассказать про своих знакомых из компании Secure-T, которые мне предложили разыграть среди подписчиков бесплатную проверку социалкой на 150 человек. Ребята не первый год на рынке и уже обучают и тестируют более 10 тысяч сотрудников крупных организаций. Вот немного статистики из их последних двух фишинговый рассылок: 1-й кейс — 46% сотрудников перешли по ссылке в открытом письме, а 14% ввели свои учетные данные в поддельные формы; 2-й кейс — 50% сотрудников перешли по ссылке в письме, а 28,5% ввели свои учетные данные в поддельные формы. В рамках проверки они подготовят фишинговые шаблоны и проверят знания сотрудников в вашей организации. По завершении работ вам будет предоставлен отчет. Условия для участия простые: 1. Быть подписанными на канал 2. Тыкнуть на кнопку «Я участвую» Тянуть не будем, розыгрыш состоится уже в эту пятницу, результаты будут в 19:00. С победителем розыгрыша я дополнительно свяжусь. Ну а для тех, кто хочет побольше узнать о деятельности ребят: Сайт компании: https://secure-t.ru/ Сайт продукта: https://edu.secure-t.ru/
  • Киберпиздец

  • Киберпиздец

    Если вы еще не интегрировали MITRE ATT&CK в свои процессы, вот вам отличный повод еще раз понять, как применять фреймворк на практике — CISA выпустило свое краткое руководство, где с помощью общих инструкций и на примере трояна TrickBot показали как работать с MITRE ATT&CK и сопоставить поведение злоумышленника. us-cert.cisa.gov/sites/d…ping.pdf

    Best Practices for MITRE ATTCK Mapping.pdf

    application/pdf
  • Киберпиздец

    Вчера на хабре вышла неплохая статья про ошибки в конфигурации Nginx без указания авторства, но на самом деле это просто перевод материала годичной давности, написанный командой Detectify, которые и проводили это исследование.

    Кстати, в феврале этого года Франс Розен, один из исследователей Detectify, опубликовал продолжение, рассмотрев некоторые новые проблемы в конфигурациях веб-серверов и лишний раз напомнил всем об утилитке Gixy для статического анализа мисконфигов Nginx.

    Раз> https://blog.detectify.com/2020/11/10/common-nginx-misconfigurations/
    Два> https://labs.detectify.com/2021/02/18/middleware-middleware-everywhere-and-lots-of-misconfigurations-to-fix/
    Три> https://habr.com/ru/company/cloud4y/blog/547164/
  • Киберпиздец

    Вчера в одном профильном чатике возникла любопытная дискуссия на тему того, нужен ли в современных реалиях WAF. Тема изъезженная, и тем не менее всегда есть, что обсудить.

    Были озвучены десятки «ЗА» и «ПРОТИВ», и вот пожалуй самые интересные из них:

    ЗА
    - Виртуальный патчинг WAF позволяет закрыть что-то экстренное, когда у разработчиков на это нет времени.
    - Сложно постоянно полагаться на качество кода вашей команды разработки, завтра может произойти что угодно: от ухода всей команды, до каких-то «срочных» нововведений по запросу от менеджмента.
    - Не стоит забывать, что появление багов и уязвимостей циклично, одного харденинга будет недостаточно.
    - Какой бы «тупой» WAF не был, он всегда мешает, и как следствие — увеличивает стоимость атаки.
    - Масса «ЗА» касались мониторинга и быстрого детектирования атак, даже если WAF стоит не в режиме блокирования, оперативная сработка правил позволяет быстрее работать по инцидентам, разбирать L7 DDoS, логи, блокировать ботов и пр. Особенно если никаких других мониторингов нет.
    - «Имхо, ваф — маст хэв, как антивирус и Яндекс браузер. То есть некоторым это не нужно, а родителям поставлю.»
    - Для малого и среднего бизнеса, где нет ИБ подразделения, либо с его небольшой численностью, будет оптимальным решением какое-нибудь недорогое облачное коробочное решение, для энтерпрайза этого скорее всего будет недостаточно.

    ПРОТИВ
    - Внедрение WAF приведет к тому, что на багам перестанут уделять должное внимания со стороны разработки, а менеджмент расслабится.
    - Если основная задача установки WAF связана с защитой API, лучше уделить внимание хенделингу API, будет дешевле. Или воспользоваться каким-то универсальным облачным решением, например CloudFlare.
    - Построение полноценного CI/CD с должным уровнем код ревью и хорошими тестами (включая SAST, DAST, OAST и пр.) будет намного эффективнее WAF, но безусловно трудозатратнее.
    - WAF требует много человеческих ресурсов при внедрении и сопровождении, может фолзить, влиять на стабильность защищаемых приложений.
    - На практике вы сталкнетесь с тем, что WAF почти всегда будет «ломать» логику ваших приложений. Нужно быть готовым с этим работать.

    АЛЬТЕРНАТИВНЫЕ МНЕНИЯ
    - Конечно же ни одна дискуссия не обходится без обсуждения opensorce, здесь не исключение. Например посмотреть в сторону Naxsi под Nginx или ModSecurity.
    - За годовую стоимость, сопоставимую с закупкой WAF у популярного вендора, можно создать/нанять «крутую» команду безопасников и используя opensource решения, реализовать отличные контроли, тесты, дашборды, запустить bug bounty, выстроить процессы со своей командой разработки.

    ИТОГ
    Как вы понимаете универсального решения нет, все индивидуально и сильно зависит от потребностей, возможностей и рисков.

    БОНУС
    Ребята из Wallarm опубликовали чеклист с актуальными критериями, помогающими выбрать современное решение для защиты ваших приложений и API.

    ССЫЛКИ
    Старт дискуссии> https://t.me/cb_sec/1405
    Wallarm Protection Evaluation Checklist> https://www.wallarm.com/resources/waf-and-api-protection-evaluation-checklist

    P.S Кстати, ребята собираются каждую субботу в Clubhouse (формат еще определяется) и трут за безопасность, при желании всегда можно поучаствовать в дискуссии.
  • Киберпиздец

    Новые место и дата ZN 2021 📢

    Ничто не заменит нам энергию живого общения! Поэтому ZeroNights приглашает вас отметить свое десятилетие офлайн в неформальной обстановке эпохи цифровой революции.

    В этом году конференция пройдет 30 июня в пространстве «Севкабель Порт» г. Санкт-Петербург.

    Открыта ранняя регистрация. Промокод EARLYBIRD на скидку 20% действует до конца марта.

    Сайт: https://zeronights.ru/
  • Киберпиздец

    оп
  • Киберпиздец

    OWASP TOP-10 недостаточно быстро обновляется в современных реалиях и построен на непрозрачных для сообщества метриках — подумали в Wallarm и, используя базу Vulners, выкатили свой OWASP TOP-10 2021, собрав более 4 миллионов бюллетеней безопасности от 144 поставщиков.

    https://lab.wallarm.com/owasp-top-10-2021-proposal-based-on-a-statistical-data/
  • Киберпиздец

    Неплохой материал про опыт RedTeam при пентесте Active Directory, где автор рассказыват про инструменты и возможности обхода встроенных средств защиты с помощью обфускации, дополнительного шифрования пейлоада и упаковки исполняемого файла несколькими пакерами.

    Команде защиты также на вооружение и проверок на своей инфраструктуре.

    https://luemmelsec.github.io/Circumventing-Countermeasures-In-AD/

    p.s также там есть и другие полезные материалы https://luemmelsec.github.io/
  • Киберпиздец

    Где-то слышал мнение, что у современных анти-чит систем методы обнаружения куда более продвинутые, чем у EDR, представленных сегодня на рынке, или по крайней мере есть, что можно позаимствовать. Справедливости ради стоит отметить, что задачи у EDR куда шире, учитывая, что они не привязаны к конкретным процессам, как в случае с анти-читами.

    Поэтому кто заскучал и хочет попробовать чего-то новенького, можно погрузиться в базовый реверс и исследование того, как работают видеоигры и читерский софт.

    https://gamehacking.academy/

    А вообще любопытная тема для изучения.
    В заключение небольшая проверка на олдфагов: ArtMoney помните?)
  • Реклама

  • Киберпиздец

  • Киберпиздец

    Вчера в блоге Tenable появилась любопытная статья про локальное повышение привилегий в PsExec, позволяющее процессу, запущенному не от администратора, перейти в SYSTEM.

    Работает для Windows 10 и более младших версий, вплоть до XP. Тестируемые версии PsExec v1.72 и до актуальной v2.2.

    PoC прилагается.

    https://medium.com/tenable-techblog/psexec-local-privilege-escalation-2e8069adc9c8
  • Киберпиздец