Архив за месяц: Декабрь 2022

С наступающим 2023 годом! Год был непростой, но интересный

С наступающим 2023 годом! Год был непростой, но интересный
С наступающим 2023 годом! Год был непростой, но интересныйС наступающим 2023 годом! Год был непростой, но интересный

С наступающим 2023 годом! Год был непростой, но интересный. Мозгопрочищающий. По моей ИБ-шной активности помимо основной работы итоги получаются такие:

1. 31 эпизод на avleonov.com (блогпост с аудио/видео). На 3 меньше, чем в прошлом году. Из них
1.1. 12 обзоров Microsoft Patch Tuesdays. Тут получалось выпускать четенько, доволен собой. 🙂
1.2. 3 эпизода по другим уязвимостям (Joint Advisory AA22-279A, Gitlab OmniAuth, Spring4Shell).
1.3. 2 эпизода про инструменты детектирования (Vulners Linux Audit API, OpenSCAP).
1.4. 3 эпизода чисто про мои опенсурсные проекты (Vulristics, Scanvus).
1.5. 4 эпизода на общие темы (Zero Day, Malicious Open Source, End of CentOS Linux, удаляем данные с Github).
1.6. 3 эпизода про ИБшные конфы, где выступал (PHDays 11, AM Live VM, CISO Forum 2022). Ещё о 3 где-то мероприятиях не написал отчет. Основные темы, которые поднимал в этом году: "Слепые пятна в базах знаний VM решений", "Зловредный Open Source", "Изменения VM процесса в новой реальности".
1.7. 2 эпизода "Vulnerability Management news and publications". Очередная попытка поиграть в новостной формат. Довольно успешная, но свернул. В какой-то момент спросил себя, "я что, хочу тратить значительную часть свободного времени на постоянный пересказ чужих новостей?" Не хочу. Лучше хочу что-то свое делать и рассказывать об этом.
1.8. 2 эпизода в рамках VMconf 22. Проект отдельной Vulnerability Mangement "конфы" сворачиваю. Эксперимент неудачный, но довольно занимательный. Проникся ещё большим уважением к организаторам мероприятий, это прям работа-работа.

2. В июле завел телеграмм-канал на русском языке @avleonovrus, за полгода он набрал 500+ подписчиков. Делать посты на русском гораздо приятнее, быстрее и как-то естественнее. На некоторые темы писать на английском просто странно, особенно сейчас (импортозамещение, российские ОС, российская регуляторика и т.д.). Основной англоязычный канал @avleonovcom перевалил за 1500 подписчиков. Обе цифры для настоящих блоггеров конечно ни о чем, ну да я и ненастоящий блоггер. 😉

Планы на следующий год примерно те же - постараться насколько возможно жить своей жизнью и периодически фиксировать реальность, когда не фиксировать её не получается. Постараюсь больше уделять внимания освещению своих опенсурсных проектов, т.к. толку от этого больше. На конференции собираюсь ходить, только если орги будут звать, самому подаваться пока не хочется.

Прочитал статью в Ъ, что некий консорциум из российского бигтеха будет развивать "мобильную операционную систему для широкого потребителя"

Прочитал статью в Ъ, что некий консорциум из российского бигтеха будет развивать "мобильную операционную систему для широкого потребителя". Т.е. фактически возьмут гугловый AOSP, запилят свой аналог Google Mobile Services и такое поделье в духе хуавеевской Harmony станет нашей новой отечественной мобильной ОС. И эта ОС видимо будет дальше продвигаться для установки на отечественные же устройства.

А что же в таком случае будет с Авророй? "Будет использоваться в корпоративном и государственном секторе для работы с чувствительными данными". Т.е. останется нишевым решением поддерживаемым за счёт регуляторных требований и без особых перспектив роста. 🙁

Если и правда так будет, то это жесть. Хитрым способом получили контроль над единственным в мире полноценным мобильным Linux-ом, чудом нарастили экспертизу, чтобы оно как-то работало и развивалось. И вместо того чтобы продвигать сейчас своё родное по максимуму, опять будут брать готовый американский код, который не контролируют вообще никак. И все для того, чтобы бигтеху свои уникальные Java-приложеньки не переписывать. Офигеть теперь. Ну не хотите переписывать, ну развивайте эмулятор в Авроре. Sailfish OS позволяет запускать Android приложения, в Авроре тоже не должно быть принципиальных проблем с этим. Но нет. Лучше по пути наименьшего сопротивления.

В общем, новость так себе. 😐

Выпустил эпизод про поддержку двух API в Scanvus

Выпустил эпизод про поддержку двух API в Scanvus. Потестил сканирование локалхоста, удаленного хоста по SSH и Docker образа. Все работает, но при сравнении результатов есть серьезные расхождения. До конкретных причин я в этом эпизоде на докапывался. Однако это в очередной раз подтверждает, что обнаружение уязвимостей не такое просто дело, и хорошо, когда можно использовать несколько независимых механизмов обнаружения и сравнивать результаты. 😉

Чем может быть полезна поддержка двух API детекта уязвимостей в Scanvus?

Чем может быть полезна поддержка двух API детекта уязвимостей в Scanvus?

1. Нет привязки к одному вендору, выбирайте чьи условия вам нравятся больше.
2. Набор поддерживаемых ОС у Vulners.com и Vulns.io различается. Если какой-то Linux дистрибутив не поддерживается у одних, он может поддерживаться у других.
3. Реализации проверок независимые. Если при сканировании одного и того же хоста/образа результаты будут различаться, то будут наглядно видны ошибки/особенности реализации.
4. Scanvus выпускается под лицензией MIT, поэтому вы можете использовать его как пример работы с API Vulners.com и Vulns.io и использовать этот код в своих проектах.

Что дальше?

В настоящий момент поддержка API Vulners.com и Vulns.io реализована в равной степени, но она реализована независимо. Скрипты инвентаризации на bash для каждого из API различаются. Также используются 2 независимые функции репортинга. Скрипты для инвентаризации видится правильным унифицировать, чтобы эти результаты инвентаризации можно было бы проверить и с помощью Vulners.com и Vulns.io. Также напрашивается создание единого формата представления результатов детектирования, к которому можно будет приводить сырые результаты от API, и который можно будет использовать для построения отчетов и дальнейших интеграций. Кажется, что на примере работы Vulners.com и Vulns.io можно отладить схему добавления новых API в Scanvus.

Отличные новости по моему опенсурсному проекту Scanvus!

Отличные новости по моему опенсурсному проекту Scanvus!

Отличные новости по моему опенсурсному проекту Scanvus! Теперь вы можете проводить проверки на уязвимости Linux хостов и докер-образов не только с помощью API от Vulners.com, но и с помощью аналогичного API от Vulns.io. Особенно приятно, что весь код для поддержки нового API коллеги из Vulns.io написали и законтрибьютили сами. Оставалось только потестить, что все работает. За это им огромное спасибо!

LastPass наконец подтвердили, что у них слили хранилище паролей

LastPass наконец подтвердили, что у них слили хранилище паролей. Ну надо же. Всё, что я об этом думаю я в сентябре расписал, все ещё актуально. LastPass и другие навороченные менеджеры паролей не нужны и опасны. Не используйте их. Лучше используйте что-нибудь открытое, локальное и примитивное. То, что можно глазами просмотреть и проконтролировать как оно на самом деле работает. Например мой Barapass.

Выпустил эпизод про декабрьский Microsoft Patch Tuesday,

Выпустил эпизод про декабрьский Microsoft Patch Tuesday, Там про фейл со SPNEGO, а собственно декабрьское не особо интересное. В топе по критичности обход “Mark of the Web” и очередные RCE в Edge/Chromium. Остальное весьма потенциальное, но патчить всё рано надо.