8068
Полезный канал про технологии и информационную безопасность. Нам не поИБ на ИБ. А вам? О канале: http://telegra.ph/Cybershit-08-14 Связь: @cybrsht_bot
Всем привет. Пропал, каюсь, работы слишком много :(
А пока принес вам 40% скидку на все курсы и сертификации от Linux Foundation. Скидка действует только сегодня.
Если кто давно планировал сдать что-то серьезное по k8s, Linux или из DevOps — самое время.
Например Certified Kubernetes Administrator (CKA) и Certified Kubernetes Security Specialist (CKS) бандлом стоит $435 вместо $725.
Экзамен можно сдать в течении года после покупки
> https://training.linuxfoundation.org/end-of-summer-2023/
Все уже успели перевели свои Google-аккаунты на Passkey?
С сегодняшнего дня это официальный способ аутентификации для Google и огромный шаг к будущему без паролей 🔐
включать тут > https://myaccount.google.com/signinoptions/passkeys
Blog > https://blog.google/technology/safety-security/the-beginning-of-the-end-of-the-password/
Неплохие площадки для экспериментов с docker и kubernetes, если лень разворачивать лабы и разбираться с админской частью.
https://labs.play-with-docker.com/
https://labs.play-with-k8s.com/
Есть и песочницы и отдельные таски, где можно подтянуть темы, которые вы давно откладывали, например как работают linux capabilities или seccomp профили
Советую как будет время глянуть вчерашний ИБ-митап Яндекса, достаточно интересные и разные темы. Cразу спойлер — про слив упомянули, но ничего не рассказали, обещали потом.
А вообще парням большой респект за то, что несмотря на то, что происходит в мире российского ИБ, они просто рассказывают важные и интересные вещи о том, как можно и нужно делать ИБ, без какого-либо продающего контекста (ну если только чуть-чуть). Ну и в опенсорс коммитят конечно же 🙂
Все доклады классные, просто бери обводи и обновляй свои ИБ планы на 2023-2024 года.
00:04:13 Про DevSecOps в Яндекс.Облаке, немного продающий облако, но затрагивающий лучшие практики о том, как построить процессы ИБ в финтехе и не только.
01:10:15 Про выстраивание и автоматизацию процессов безопасности, экономию времени на ревью доступов, взаимодействия между команд и пр. Оч крутые кейсы для внедрения в любой организации.
01:38:32 Про организацию безопасного удаленного доступа до инфраструктуры, тут больше понравилась вторая часть, которая реально затрагивает большинство проблем при внедрении решений типа Teleport или Boundary.
Понял тут, что не рассказывал о trufflehog, наверное лучшем на сегодншний день решении для поиска секретов. SSH и API ключи, пароли к бд, токены, облачные учетные данные и многое другое. Там уже 700 детекторов/регулярок, причем для некоторых есть сразу автоматическая проверка. Нашли например креды к AWS или GCP, нажали кнопочку и trufflehog любезно постучал в нужную апишку для валидации.
Еще помимо привычных множественных сканов репозиториев, есть возможность поиска по файловой системе и даже s3 бакетам. Бонусом можно скачать плагин для браузера чтобы и по JS пройтись.
Короче, мастхев для безопасности ваших пайплайнов и обнаружения секретов, которые кто-то случайно забыл положить куда следует или удалить. Ну или не случайно 😏
> https://github.com/trufflesecurity/trufflehog
Я снова пропал, но тут такая новость сегодня, что нельзя было не поделиться — поддержка Passkeys теперь официально доехала до Google Chrome (Chrome Stable M108 если быть точным).
На всякий случай Passkeys — это инициатива альянсов FIDO и W3C по разработке стандарта аутентификации без использования паролей, которые являются занозой в заднице в современном мире: утечки, брутфорс, сменяемость, желание написать его на листочке и приклеить к монитору и пр.
Короче крутые чуваки собрались как-то, подумали и изобрели WebAuthn. Потом инициативу поддержали Apple, Google и Microsoft, обернули это в Passkeys и вот он, продукт который можно внедрять и нести людям (многие уже давно принесли даже, только Google опаздывает).
Короче, со стороны поддержки клиентов кажется все готово, осталось, чтобы технологию начали чаще внедрять уже на стороне приложений и, кажется, сегодня эра passwordless стала намного ближе.
P.s проблема паролей постепенно уходит, приходит проблема социальной инженерии через openai.
Аминь.
- - -
Новость про passkey в Chrome > https://blog.chromium.org/2022/12/introducing-passkeys-in-chrome.html
Почитать подробнее > https://www.passkeys.io
Потестить как это работает > https://webauthn.io/
Для тех, кто пропустил увлекательный доклад с недавнего BlackHat и DEFCON от представителей Rapid7 про их исследования ПО для Cisco ASA.
В текущих реалиях, когда многие остались отрезанными от обновлений и подписок, готовы скачивать различные кряки, образа и клиенты для администрирования штата своих Cisco, такая тема кажется более чем актуальна.
Если опустить рассказ про то, как Cisco выпустила патч не закрывающий зарепорченную уязвимость, то основные темы доклада всего две:
– Установка вредоносного программного обеспечения для ASA и простые способы внедрения бекдоров в ПО администрирования Cisco ASDM.
– Создание вредоносных установочных пакетов и загрузочных образов для модуля FirePOWER. Там вообще забавная история с очень сложными кредами root:cisco123 для рутового пользователя в образах FirePOWER, которые в большинстве инсталляций имеют доступ ко всему трафику.
По сути весь доклад про то как вредоносные пакеты могут оказаться на ваших ASA, а также полный инструментарий со скриптами и модулями для метасплоита. Все как полагается.
Из рекомендаций по устранению — это конечно же максимальная изоляция административного доступа до цисок, обновление дистрибутивов ПО (что для многих сейчас проблематично) и несколько YARA правил на детект эксплоитов и вредоносных пакетов. 🔥
read > https://www.rapid7.com/blog/post/2022/08/11/rapid7-discovered-vulnerabilities-in-cisco-asa-asdm-and-firepower-services-software/
repo with materials > https://github.com/jbaines-r7/cisco_asa_research
В Kaspersky решили не мелочиться и сделать VR игру для знакомства топ-менеджмента с рисками ИБ.
Такой Standoff на минималках)
https://www.kaspersky.com/blog/vr-interactive-simulation/40188/
Идея обучения своих сотрудников вопросам ИБ не является чем-то новым, но последнее время стремительно набирает популярность.
Поэтому в рамках этого партнерского материала хочу вам рассказать про своих знакомых из компании Secure-T, которые мне предложили разыграть среди подписчиков бесплатную проверку социалкой на 150 человек.
Ребята не первый год на рынке и уже обучают и тестируют более 10 тысяч сотрудников крупных организаций.
Вот немного статистики из их последних двух фишинговый рассылок:
1-й кейс — 46% сотрудников перешли по ссылке в открытом письме, а 14% ввели свои учетные данные в поддельные формы;
2-й кейс — 50% сотрудников перешли по ссылке в письме, а 28,5% ввели свои учетные данные в поддельные формы.
В рамках проверки они подготовят фишинговые шаблоны и проверят знания сотрудников в вашей организации. По завершении работ вам будет предоставлен отчет.
Условия для участия простые:
1. Быть подписанными на канал
2. Тыкнуть на кнопку «Я участвую»
Тянуть не будем, розыгрыш состоится уже в эту пятницу, результаты будут в 19:00. С победителем розыгрыша я дополнительно свяжусь.
Ну а для тех, кто хочет побольше узнать о деятельности ребят:
Сайт компании: https://secure-t.ru/
Сайт продукта: https://edu.secure-t.ru/
Если вы еще не интегрировали MITRE ATT&CK в свои процессы, вот вам отличный повод еще раз понять, как применять фреймворк на практике — CISA выпустило свое краткое руководство, где с помощью общих инструкций и на примере трояна TrickBot показали как работать с MITRE ATT&CK и сопоставить поведение злоумышленника.
https://us-cert.cisa.gov/sites/default/files/publications/Best%20Practices%20for%20MITRE%20ATTCK%20Mapping.pdf
Ребята из Яндекса в рамках Positive Hack Days рассказали, как они повышают ИБ-осведомленность своих сотрудников, начиная от мемов, которые размещают в офисных кофе-поинтах и заканчивая обучающей платформой для поиска багов в коде. Последнюю кстати выложили в открытый доступ и на GitHub. Говорят было бы круто, если бы вы помогли в развитии и использовали их наработки у себя, например дописав тесты под свои языки и сценарии.
http://securitygym.ru
https://github.com/yandex/securitygym
Article:
Новые взломы на Pwn2Own 2021: побеждены Ubuntu Desktop, Windows 10, Zoom и кое-что еще
> https://habr.com/ru/company/selectel/blog/550182/
На прошлой неделе у PortSwigger вышел неплохой материал для любителей поковыряться в OAuth2 и OIDC. Рассмотрены три новые уязвимости для демонстрации которых используются опенсорсные реализации OAuth и OpenID Connect — ForgeRock OpenAM и MITREid Connect.
> https://portswigger.net/research/hidden-oauth-attack-vectors
Для большего погружения в тему работы OAuth/OIDC, их реализации, известных атак и безопасности:
https://portswigger.net/web-security/oauth
https://portswigger.net/web-security/oauth/openid
https://www.polarsparc.com/xhtml/OAuth2-OIDC.html
https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1
https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html
Вчера в одном профильном чатике возникла любопытная дискуссия на тему того, нужен ли в современных реалиях WAF. Тема изъезженная, и тем не менее всегда есть, что обсудить.
Были озвучены десятки «ЗА» и «ПРОТИВ», и вот пожалуй самые интересные из них:
ЗА
- Виртуальный патчинг WAF позволяет закрыть что-то экстренное, когда у разработчиков на это нет времени.
- Сложно постоянно полагаться на качество кода вашей команды разработки, завтра может произойти что угодно: от ухода всей команды, до каких-то «срочных» нововведений по запросу от менеджмента.
- Не стоит забывать, что появление багов и уязвимостей циклично, одного харденинга будет недостаточно.
- Какой бы «тупой» WAF не был, он всегда мешает, и как следствие — увеличивает стоимость атаки.
- Масса «ЗА» касались мониторинга и быстрого детектирования атак, даже если WAF стоит не в режиме блокирования, оперативная сработка правил позволяет быстрее работать по инцидентам, разбирать L7 DDoS, логи, блокировать ботов и пр. Особенно если никаких других мониторингов нет.
- «Имхо, ваф — маст хэв, как антивирус и Яндекс браузер. То есть некоторым это не нужно, а родителям поставлю.»
- Для малого и среднего бизнеса, где нет ИБ подразделения, либо с его небольшой численностью, будет оптимальным решением какое-нибудь недорогое облачное коробочное решение, для энтерпрайза этого скорее всего будет недостаточно.
ПРОТИВ
- Внедрение WAF приведет к тому, что на багам перестанут уделять должное внимания со стороны разработки, а менеджмент расслабится.
- Если основная задача установки WAF связана с защитой API, лучше уделить внимание хенделингу API, будет дешевле. Или воспользоваться каким-то универсальным облачным решением, например CloudFlare.
- Построение полноценного CI/CD с должным уровнем код ревью и хорошими тестами (включая SAST, DAST, OAST и пр.) будет намного эффективнее WAF, но безусловно трудозатратнее.
- WAF требует много человеческих ресурсов при внедрении и сопровождении, может фолзить, влиять на стабильность защищаемых приложений.
- На практике вы сталкнетесь с тем, что WAF почти всегда будет «ломать» логику ваших приложений. Нужно быть готовым с этим работать.
АЛЬТЕРНАТИВНЫЕ МНЕНИЯ
- Конечно же ни одна дискуссия не обходится без обсуждения opensorce, здесь не исключение. Например посмотреть в сторону Naxsi под Nginx или ModSecurity.
- За годовую стоимость, сопоставимую с закупкой WAF у популярного вендора, можно создать/нанять «крутую» команду безопасников и используя opensource решения, реализовать отличные контроли, тесты, дашборды, запустить bug bounty, выстроить процессы со своей командой разработки.
ИТОГ
Как вы понимаете универсального решения нет, все индивидуально и сильно зависит от потребностей, возможностей и рисков.
БОНУС
Ребята из Wallarm опубликовали чеклист с актуальными критериями, помогающими выбрать современное решение для защиты ваших приложений и API.
ССЫЛКИ
Старт дискуссии> /channel/cb_sec/1405
Wallarm Protection Evaluation Checklist> https://www.wallarm.com/resources/waf-and-api-protection-evaluation-checklist
P.S Кстати, ребята собираются каждую субботу в Clubhouse (формат еще определяется) и трут за безопасность, при желании всегда можно поучаствовать в дискуссии.
Пятничный подгон — как быстро и безопасно управлять переменными окружения на macOS с помощью keychain.
По сути там уже все есть, нужно только добавить обертку.
Делаем раз:
tee ~/keychain-env.sh <<'EOF'Два:
function keychain-env-read () {
security find-generic-password -w -a ${USER} -D "environment variable" -s "${1}"
}
function keychain-env-add () {
[ -n "$1" ] || print "Missing environment variable name"
read -s "?Enter Value for ${1}: " secret
( [ -n "$1" ] && [ -n "$secret" ] ) || return 1
security add-generic-password -U -a ${USER} -D "environment variable" -s "${1}" -w "${secret}"
}
EOF
echo -n 'source ~/keychain-env.sh' >> ~/.zshrc
Три:source ~/.zshrc
Теперь взмахом руки можно добавлять переменные окружения в ваш keychain и вычитывать их оттуда. keychain-env-add AWS_ACCESS_KEY_ID
export AWS_ACCESS_KEY_ID=$(keychain-env-get AWS_ACCESS_KEY_ID);
полный сниппет тут
Читать полностью…
🐐 Kubernetes Goat — наверное самый популярный проект для изучения безопасности Kubernetes.
Круто, что благодаря сообществу они продолжают развивать и добавлять новые сценарии. Например недавно добавили лабы для изучения Cilium Tetragon и Kyverno.
Большинство сценариев простые, зато их уже более 20 штук, поэтому для общего понимания очень даже.
> https://madhuakula.com/kubernetes-goat/
> https://github.com/madhuakula/kubernetes-goat
Говорят, чтобы пойти работать джун аппсеком достаточно научиться разворачивать какую-нибудь oauth proxy перед своими критическими сервисами.
Согласны? Узнали? Какая ваша любимая? 🫠
А вы знали, что OpenSSH на macOS позволяет пасс-фразы от ваших ssh-ключей добавить в keychain, чтобы автоматом подтягивать их при подключении?
Делаем:ssh-add --apple-use-keychain ~/.ssh/[priv-key]И подключаем в конфиге агента ~/.ssh/config:
Host *Готово, вы сэкономили немного своего времени на ввод passphrase.
UseKeychain yes
AddKeysToAgent yes
IdentityFile ~/.ssh/id_rsa
Пссс, завезем немного движа в ИБ?
Давно вынашивал идею закрытого сообщества для безопасников, где можно было бы черпать экспертизу, обмениваться опытом, получать актуальную информацию и просто общаться с крутыми и интересными людьми.
Почему закрытого? Потому что сами знаете специфику нашего направления, когда далеко не все готовы обсуждать многие вещи публично. Но согласитесь, у многих есть опыт, которым можно поделиться и который может быть очень полезен. Мне кажется закрытый формат может хотя бы частично эту проблему решить.
В общем, не буду ходить вокруг да около, сейчас я на этапе проверки гипотезы поэтому очень хочется получить от вас обратную связь.
Основную идею постарался изложить тут > https://cyfeed.co
Если вам было бы интересно поучаствовать в таком, можете оставить там свой email, это поможет мне понять на сколько такой формат откликается в ИБ.
А тут будут анонсы и внутрянка, чтобы понять на каком этапе сейчас проект > @cyfeed
P.s говорят с понедельника можно начать новую жизнь, проверим на примере сообщества 👨💻
Вопрос который меня в последнее время сильно волнует. Будет очень круто если поучаствуете анонимно.
Если вы еще не касались истории с импортозамещением — игнорируйте (хотя предположу, что коснулось многих).
Собственно вопрос ↓
Вообще идея создания подобной карточной ИБ-игры преследует меня уже давно. Хочется и чтобы на конференциях можно было зарубиться, и не погруженным в мир ИБ было интересно. Мы с другом даже делали прототип, но дальше тестов к сожалению ничего не уехало :(
На самом деле там не все так просто
Для участия в розыгрыше нажмите на «Я участвую»
*****
Победители: Mak Mih
Кто пропустил, вчера Microsoft выкатила июньские обновления безопасности в рамках Patch Tuesday.
Коротко обзор:
[RU] https://news.microsoft.com/ru-ru/update-tuesday-microsoft-security-updates-jun2021/
[EN] https://krebsonsecurity.com/2021/06/microsoft-patches-six-zero-day-security-holes/
Эту неделю очень хочется начать с минутки мотивации, которой в последнее время мне не хватает чтобы регулярно вести канал.
Знакомьтесь, Кельвин Сиу (Kelvin Siu) из Гонконга, который за 12 месяцев получил 14 сертификаций. Пусть набор сертификатов странный, кажется Кельвин решил не мелочиться и сложить все яйца в одну корзину, но факт, что парень просто взял и за год закрыл такой объем сертификаций, малую часть которого многие закрывают годами.
Если вдаваться в детали, конечно там не так все просто — у него уже было 7 лет опыта в индустрии, а подготовка заняла куда больше времени, чем сама сдача (по 2-3 месяца подготовки на каждый экзамен). Судя по linkedin работает Кельвин аудитором в компании из большой четверки, а зная какие там бывают нагрузки мне вся ситуация кажется вообще легендарной.
Предлагаю порадоваться за Кельвина и пойти работать. Усерднее(!). Всем хорошей недели.
https://www.linkedin.com/pulse/thank-you-all-support-here-answers-your-questions-kelvin-siu/
Открытое письмо Дениса Баранова исследовательскому сообществу: «Наши ключевые ценности – открытость информации и знаний для сообщества, ответственный подход к разглашению при исследовании систем на наличие уязвимостей и практический подход к кибербезопасности».
Читать полностью…
Делать Infrastructure-as-code (IaC) сейчас модно, главное предварительно ознакомиться с лучшими практиками и не забыть подумать о безопасности. Для последнего существует несколько бесплатных утилит, как для конкретного решения, так и комплексных (например checkov).
Компания Checkmarx, многим известная своим SAST решением для анализа исходного кода, тоже решила сделать вклад в комьюнити и выпустила собственное opensource решение для статического анализа конфигураций — Keeping Infrastructure as Code Secure (KICS).
Поддерживает: Terraform, Kubernetes, Docker, Ansible, Helm и AWS CloudFormation.
А еще есть неплохая документация и запланированный на 15 апреля вебинар, где обещают рассказать о решении подробнее.
KICS > https://www.checkmarx.com/opensource/kics/
Docs > https://docs.kics.io
Git > https://github.com/Checkmarx/kics
Webinar > https://register.gotowebinar.com/register/3720624616764432144
1. Брутфорс аккаунта
- прямой (безлимит)
- горизонтальный
- cred stuffing
2. Брут пинкодов
- брут в “лоб”
- брут с ротацией IP
- запрашиваем от 1+кк аккаунтов код и пробуем один и тот же код
3. восстановление акков
- подмена хоста на восстановлении
- смена пароля или емейла без CSRF
- раскрытие токена при восстановлении акка
4. oauth
- привязка без CSRF (state)
5. мобилки
- одинаковая схема
6. session confusion
7. cache deception
8. логические баги (слушайте эфир)
9. доп скопы в oauth
10. юз одного токена к чужому акку
Вчера на хабре вышла неплохая статья про ошибки в конфигурации Nginx без указания авторства, но на самом деле это просто перевод материала годичной давности, написанный командой Detectify, которые и проводили это исследование.
Кстати, в феврале этого года Франс Розен, один из исследователей Detectify, опубликовал продолжение, рассмотрев некоторые новые проблемы в конфигурациях веб-серверов и лишний раз напомнил всем об утилитке Gixy для статического анализа мисконфигов Nginx.
Раз> https://blog.detectify.com/2020/11/10/common-nginx-misconfigurations/
Два> https://labs.detectify.com/2021/02/18/middleware-middleware-everywhere-and-lots-of-misconfigurations-to-fix/
Три> https://habr.com/ru/company/cloud4y/blog/547164/
Новые место и дата ZN 2021 📢
Ничто не заменит нам энергию живого общения! Поэтому ZeroNights приглашает вас отметить свое десятилетие офлайн в неформальной обстановке эпохи цифровой революции.
В этом году конференция пройдет 30 июня в пространстве «Севкабель Порт» г. Санкт-Петербург.
Открыта ранняя регистрация. Промокод EARLYBIRD на скидку 20% действует до конца марта.
Сайт: https://zeronights.ru/
