Киберпиздец

ZN переносят на 25 Августа

Перенос даты ZeroNights на август 2021 Друзья! Организаторы готовились к юбилейному мероприятию и ждали встречи с вами два года: забронировали одну из лучших и самых живописных площадок города, отобрали самые сильные доклады и сформировали мощную программу. Однако в связи с неутихающим распространением инфекции и недавним ужесточением антиковидных мер в г. Санкт-Петербург в планах произошли непредсказуемые изменения. Теперь наша долгожданная встреча переносится на август. Новая дата конференции – 25 августа 2021. Место остается то же – “Севкабель Порт”. Для участников, которым не подходит эта дата, мы предусмотрели процедуру возврата билетов. При возврате до 30 июня стоимость всех купленных билетов будет возмещена в полном объеме. После 30 июня – от суммы будет удержана комиссия. Если возникнут вопросы, смело пишите на [email protected]. Десятая конференция ZeroNights не может не состояться! Дополнительное время мы уделим организации еще большего количества активностей и расширению программы.

Вообще идея создания подобной карточной ИБ-игры преследует меня уже давно. Хочется и чтобы на конференциях можно было зарубиться, и не погруженным в мир ИБ было интересно. Мы с другом даже делали прототип, но дальше тестов к сожалению ничего не уехало :( На самом деле там не все так просто

В Kaspersky решили не мелочиться и сделать VR игру для знакомства топ-менеджмента с рисками ИБ. Такой Standoff на минималках) www.kaspersky.com/blog/vr…on/40188

Для участия в розыгрыше нажмите на «Я участвую» ***** Победители: Mak Mih

​Идея обучения своих сотрудников вопросам ИБ не является чем-то новым, но последнее время стремительно набирает популярность. Поэтому в рамках этого партнерского материала хочу вам рассказать про своих знакомых из компании Secure-T, которые мне предложили разыграть среди подписчиков бесплатную проверку социалкой на 150 человек. Ребята не первый год на рынке и уже обучают и тестируют более 10 тысяч сотрудников крупных организаций. Вот немного статистики из их последних двух фишинговый рассылок: 1-й кейс — 46% сотрудников перешли по ссылке в открытом письме, а 14% ввели свои учетные данные в поддельные формы; 2-й кейс — 50% сотрудников перешли по ссылке в письме, а 28,5% ввели свои учетные данные в поддельные формы. В рамках проверки они подготовят фишинговые шаблоны и проверят знания сотрудников в вашей организации. По завершении работ вам будет предоставлен отчет. Условия для участия простые: 1. Быть подписанными на канал 2. Тыкнуть на кнопку «Я участвую» Тянуть не будем, розыгрыш состоится уже в эту пятницу, результаты будут в 19:00. С победителем розыгрыша я дополнительно свяжусь. Ну а для тех, кто хочет побольше узнать о деятельности ребят: Сайт компании: https://secure-t.ru/ Сайт продукта: https://edu.secure-t.ru/

Кто пропустил, вчера Microsoft выкатила июньские обновления безопасности в рамках Patch Tuesday. Коротко обзор: [RU] news.microsoft.com/ru-ru/u…-jun2021 [EN] krebsonsecurity.com/2021/06…ty-holes

Если вы еще не интегрировали MITRE ATT&CK в свои процессы, вот вам отличный повод еще раз понять, как применять фреймворк на практике — CISA выпустило свое краткое руководство, где с помощью общих инструкций и на примере трояна TrickBot показали как работать с MITRE ATT&CK и сопоставить поведение злоумышленника. us-cert.cisa.gov/sites/d…ping.pdf

Best Practices for MITRE ATTCK Mapping.pdf

application/pdf

Вчера на хабре вышла неплохая статья про ошибки в конфигурации Nginx без указания авторства, но на самом деле это просто перевод материала годичной давности, написанный командой Detectify, которые и проводили это исследование.

Кстати, в феврале этого года Франс Розен, один из исследователей Detectify, опубликовал продолжение, рассмотрев некоторые новые проблемы в конфигурациях веб-серверов и лишний раз напомнил всем об утилитке Gixy для статического анализа мисконфигов Nginx.

Раз> https://blog.detectify.com/2020/11/10/common-nginx-misconfigurations/
Два> https://labs.detectify.com/2021/02/18/middleware-middleware-everywhere-and-lots-of-misconfigurations-to-fix/
Три> https://habr.com/ru/company/cloud4y/blog/547164/

Вчера в одном профильном чатике возникла любопытная дискуссия на тему того, нужен ли в современных реалиях WAF. Тема изъезженная, и тем не менее всегда есть, что обсудить.

Были озвучены десятки «ЗА» и «ПРОТИВ», и вот пожалуй самые интересные из них:

ЗА
- Виртуальный патчинг WAF позволяет закрыть что-то экстренное, когда у разработчиков на это нет времени.
- Сложно постоянно полагаться на качество кода вашей команды разработки, завтра может произойти что угодно: от ухода всей команды, до каких-то «срочных» нововведений по запросу от менеджмента.
- Не стоит забывать, что появление багов и уязвимостей циклично, одного харденинга будет недостаточно.
- Какой бы «тупой» WAF не был, он всегда мешает, и как следствие — увеличивает стоимость атаки.
- Масса «ЗА» касались мониторинга и быстрого детектирования атак, даже если WAF стоит не в режиме блокирования, оперативная сработка правил позволяет быстрее работать по инцидентам, разбирать L7 DDoS, логи, блокировать ботов и пр. Особенно если никаких других мониторингов нет.
- «Имхо, ваф — маст хэв, как антивирус и Яндекс браузер. То есть некоторым это не нужно, а родителям поставлю.»
- Для малого и среднего бизнеса, где нет ИБ подразделения, либо с его небольшой численностью, будет оптимальным решением какое-нибудь недорогое облачное коробочное решение, для энтерпрайза этого скорее всего будет недостаточно.

ПРОТИВ
- Внедрение WAF приведет к тому, что на багам перестанут уделять должное внимания со стороны разработки, а менеджмент расслабится.
- Если основная задача установки WAF связана с защитой API, лучше уделить внимание хенделингу API, будет дешевле. Или воспользоваться каким-то универсальным облачным решением, например CloudFlare.
- Построение полноценного CI/CD с должным уровнем код ревью и хорошими тестами (включая SAST, DAST, OAST и пр.) будет намного эффективнее WAF, но безусловно трудозатратнее.
- WAF требует много человеческих ресурсов при внедрении и сопровождении, может фолзить, влиять на стабильность защищаемых приложений.
- На практике вы сталкнетесь с тем, что WAF почти всегда будет «ломать» логику ваших приложений. Нужно быть готовым с этим работать.

АЛЬТЕРНАТИВНЫЕ МНЕНИЯ
- Конечно же ни одна дискуссия не обходится без обсуждения opensorce, здесь не исключение. Например посмотреть в сторону Naxsi под Nginx или ModSecurity.
- За годовую стоимость, сопоставимую с закупкой WAF у популярного вендора, можно создать/нанять «крутую» команду безопасников и используя opensource решения, реализовать отличные контроли, тесты, дашборды, запустить bug bounty, выстроить процессы со своей командой разработки.

ИТОГ
Как вы понимаете универсального решения нет, все индивидуально и сильно зависит от потребностей, возможностей и рисков.

БОНУС
Ребята из Wallarm опубликовали чеклист с актуальными критериями, помогающими выбрать современное решение для защиты ваших приложений и API.

ССЫЛКИ
Старт дискуссии> https://t.me/cb_sec/1405
Wallarm Protection Evaluation Checklist> https://www.wallarm.com/resources/waf-and-api-protection-evaluation-checklist

P.S Кстати, ребята собираются каждую субботу в Clubhouse (формат еще определяется) и трут за безопасность, при желании всегда можно поучаствовать в дискуссии.

Новые место и дата ZN 2021 📢

Ничто не заменит нам энергию живого общения! Поэтому ZeroNights приглашает вас отметить свое десятилетие офлайн в неформальной обстановке эпохи цифровой революции.

В этом году конференция пройдет 30 июня в пространстве «Севкабель Порт» г. Санкт-Петербург.

Открыта ранняя регистрация. Промокод EARLYBIRD на скидку 20% действует до конца марта.

Сайт: https://zeronights.ru/

оп

OWASP TOP-10 недостаточно быстро обновляется в современных реалиях и построен на непрозрачных для сообщества метриках — подумали в Wallarm и, используя базу Vulners, выкатили свой OWASP TOP-10 2021, собрав более 4 миллионов бюллетеней безопасности от 144 поставщиков.

https://lab.wallarm.com/owasp-top-10-2021-proposal-based-on-a-statistical-data/

Неплохой материал про опыт RedTeam при пентесте Active Directory, где автор рассказыват про инструменты и возможности обхода встроенных средств защиты с помощью обфускации, дополнительного шифрования пейлоада и упаковки исполняемого файла несколькими пакерами.

Команде защиты также на вооружение и проверок на своей инфраструктуре.

https://luemmelsec.github.io/Circumventing-Countermeasures-In-AD/

p.s также там есть и другие полезные материалы https://luemmelsec.github.io/

Где-то слышал мнение, что у современных анти-чит систем методы обнаружения куда более продвинутые, чем у EDR, представленных сегодня на рынке, или по крайней мере есть, что можно позаимствовать. Справедливости ради стоит отметить, что задачи у EDR куда шире, учитывая, что они не привязаны к конкретным процессам, как в случае с анти-читами.

Поэтому кто заскучал и хочет попробовать чего-то новенького, можно погрузиться в базовый реверс и исследование того, как работают видеоигры и читерский софт.

https://gamehacking.academy/

А вообще любопытная тема для изучения.
В заключение небольшая проверка на олдфагов: ArtMoney помните?)

Как вам такой аудит сети РЖД?

https://habr.com/ru/post/536750/

Вчера в блоге Tenable появилась любопытная статья про локальное повышение привилегий в PsExec, позволяющее процессу, запущенному не от администратора, перейти в SYSTEM.

Работает для Windows 10 и более младших версий, вплоть до XP. Тестируемые версии PsExec v1.72 и до актуальной v2.2.

PoC прилагается.

https://medium.com/tenable-techblog/psexec-local-privilege-escalation-2e8069adc9c8

Ого, вышлая новая версия OWASP Web Security Testing Guide!

https://github.com/OWASP/wstg/releases/tag/v4.2