Архив за месяц: Август 2023

По поводу новой фичи от Microsoft Python in Excel

По поводу новой фичи от Microsoft Python in Excel

По поводу новой фичи от Microsoft Python in Excel. Идея дёргать полноценный Python из Excel выглядит как раздолье для малварщиков. Но если верить странице "Data security and Python in Excel", то всё должно быть достаточно безобидно:

1. Python в Excel запускает код Python, используемый Excel, в безопасном контейнере в облаке Microsoft. Я только не понял это только для Microsoft 365 или для Excel for Windows тоже? Получается в оффлайне не будет работать что ли? 🙄
2. Python код не имеет доступа к вашему компьютеру, устройствам или аккаунту.
3. Python код не имеет доступа к сети.
4. Если вы откроете workbook, содержащий код Python, из Интернета, защищенный просмотр Excel (Excel Protected View) не будет запускать формулы Python в workbook.

В общем, пока это всё в бете, посмотрим на итоговую реализацию. Может, когда оно выйдет из беты, в России Excel настолько импортозаместят, что это вообще не актуально будет. 🤞

Вчерашнюю статью про "сравнительно более безопасную" Apple iOS обновили

Вчерашнюю статью про "сравнительно более безопасную" Apple iOS обновили. Пассаж про "сравнительно более безопасную" убрали вовсе. Добавили тезисы, чтобы "расставить однозначные акценты":

1. Нет сомнений в необходимости отказа от использования устройств Apple в госсекторе и на объектах критической информационной инфраструктуры и в связи компании Apple с разведсообществом США.
2. Apple и Google нарушают собственные политики сбора данных и конфиденциальности.
3. Выход из ситуации - переход на российские устройства с сертифицированными российскими мобильными ОС.
4. Российские устройства и мобильные ОС (например «Аврора») готовы для решения базовых задач бизнеса и позволяют заменить иностранные устройства и ОС.

Имхо, стало лучше. 👍🙂

Оказалось, что недавний апдейт WinRAR 6.23 исправлял не только RCE CVE-2023-40477, по которой пока тихо, но и активно эксплуатируемую с апреля 2023 Extension Spoofing CVE-2023-38831

Оказалось, что недавний апдейт WinRAR 6.23 исправлял не только RCE CVE-2023-40477, по которой пока тихо, но и активно эксплуатируемую с апреля 2023 Extension Spoofing CVE-2023-38831

Оказалось, что недавний апдейт WinRAR 6.23 исправлял не только RCE CVE-2023-40477, по которой пока тихо, но и активно эксплуатируемую с апреля 2023 Extension Spoofing CVE-2023-38831. Через эксплуатацию уязвимости распространяли различные семейства вредоносных программ, включая DarkMe, GuLoader и Remcos RAT. Уязвимость позволяла злоумышленникам создавать вредоносные архивы .RAR и .ZIP, в которых отображались, казалось бы, безобидные файлы, такие как изображения JPG (.jpg), текстовые файлы (.txt) или документы PDF (.pdf). Когда пользователь открывал документ, выполнялся скрипт, который устанавливает вредоносное ПО на устройство. Атаки таргетировали на криптотрейдеров. Подробности в блоге Group-IB.

На AntiMalware вышел обзор EFROS DefOps 2.6 от Газинформсервис, который содержит, среди прочего, модуль Vulnerability Control (VC)

На AntiMalware вышел обзор EFROS DefOps 2.6 от Газинформсервис, который содержит, среди прочего, модуль Vulnerability Control (VC)

На AntiMalware вышел обзор EFROS DefOps 2.6 от Газинформсервис, который содержит, среди прочего, модуль Vulnerability Control (VC).

"Модуль Vulnerability Control позволяет проводить проверки инфраструктуры на наличие уязвимостей в режиме аудита с использованием информации из различных баз данных, включая БДУ ФСТЭК России. Также в качестве источников сведений могут подключаться сканеры и ITSM-системы".

Реализованный комплекс мер:

"- автоматическое выявление уязвимостей;
- автоматическую ассоциацию активов с уязвимостями;
- выделение важных (критических) уязвимостей;
- контроль выполнения работ по устранению уязвимостей;
- градацию, приоритизацию уязвимостей;
- отображение цепочки уязвимостей, которая может быть использована в реальных атаках (построение векторов атак на карте сети)."

Потенциально выглядит ничего так, но надо тестить.

Премия SC Awards из года в год улыбает

Премия SC Awards из года в год улыбает

Премия SC Awards из года в год улыбает. В этот раз "Best Vulnerability Management Solution" выиграл Rapid7 InsightVM. В номинации там был Tenable - это ок, заслуженно. А знаете, какие ещё 3 гиганта и инноватора VM-рынка там были?

🔸 Palo Alto Networks Prisma Cloud - cloud-native application protection platform 😀
🔸 Lacework - cloud security platform 😄
🔸 Coalfire Ransomware Simulation-as-a-Service (RSaaS) 😆

А чего там VM от Qualys, например, вообще не котируется уже? 😏

Видимо чтобы Tenable не обижались и выпустили пресс-релиз, им дали "Best Risk/Policy Management Solution" (в этой номинации был и Qualys) и "Best Security Company". Компания лучшая, но вот видимо VM у них так себе, у Rapid7 получше будет. 🙃 Жаль только, что у Rapid7 с продажами этого лучшего VM-решения, видимо, совсем беда.

Вышла занимательная статья про то, что переход с iPhone на китайские Android-смартфоны это так себе идея с точки зрения безопасности

Вышла занимательная статья про то, что переход с iPhone на китайские Android-смартфоны это так себе идея с точки зрения безопасности

Вышла занимательная статья про то, что переход с iPhone на китайские Android-смартфоны это так себе идея с точки зрения безопасности. Если резюмировать написанное, то там про то, что у Apple всё централизовано, а у китайских производителей смартфонов сплошной разброд и шатание:

1. Уязвимости они закрывают хуже и медленнее.
2. Телеметрии и персональных данных собирают больше.
3. В магазинах приложений там всякие "фонарики" со зловредной функциональностью.
4. APK-шки разрешают ставить скаченные непонятно откуда.
5. Иногда могут предустановленные на заводе бэкдоры содержать.
6. Разнообразных драйверов больше, соответственно уязвимостей в них больше.
7. Для Android сформировался чёрный рынок малварей.

В целом, со всем можно согласиться, но есть 2 передёргивания:

1. Игнорируется тот факт, что Apple обвинили в намеренном внесении бэкдора. После этого называть Apple iOS "сравнительно более безопасной мобильной ОС" это такоё себе. Ну правда, о какой безопасности говорить, если вендор специально бэкдоры вставляет, которые используются в таргетированных атаках.
2. Сравнивать надо сравнимое. Устройства на Apple iOS надо сравнивать с устройствами какого-то конкретного вендора, а не с условным китайским ноунейм вендором Android-смартфонов, навешивая на него проблемы из всех кейсов за последние 15 лет. Если брать топовых вендоров, таких как Xiaomi и Huawei, и их актуальные модели, то там с безопасностью всё совсем не так плохо.

Хотя с тем, что от регуляторов желательно было бы видеть не только рекомендацию отказываться от устройств Apple, но и рекомендацию переходить "на российские мобильные устройства и операционные системы", я полностью согласен. Было бы также здорово, если бы эти устройства появились уже в свободной продаже для физиков.

В начале августа Qualys представили новые возможности по анализу уязвимостей самописных (First-Party) и опенсурсных приложений

В начале августа Qualys представили новые возможности по анализу уязвимостей самописных (First-Party) и опенсурсных приложенийВ начале августа Qualys представили новые возможности по анализу уязвимостей самописных (First-Party) и опенсурсных приложенийВ начале августа Qualys представили новые возможности по анализу уязвимостей самописных (First-Party) и опенсурсных приложений

В начале августа Qualys представили новые возможности по анализу уязвимостей самописных (First-Party) и опенсурсных приложений.

Вот, допустим, есть у вас в организации самописная софтина. Её пилят ваши разрабы. Естественно на основе опенсурса. Возможно ваши апсеки периодически проверяют её SAST-ом/DAST-ом и детектят-исправляют уязвимости. Но ваше VM-решение об этой софтине не знает и, соответственно, уязвимости для неё не детектирует. Более того, даже если вы знаете, что версии этой софтины уязвимых софтов. Причём какие-то софты явно забыли и VM-решения в таких софтах Log4Shell не продетектируют. Как и в вашей доморощенной софтине, которая также использует Log4j. Получается такое детектить надо не от софта, а непосредственно от либы, jar-ники искать и анализировать каким-то сторонним решением. И эта активность тоже, получается идёт мимо вашего дорогущего VM-а. Плохо это? Плохо. Зачем VM брали-то тогда! 🙄😁

Что предлагает Qualys. Во всяком случае то, что я понял из достаточно пространной видяшки и поста.

1. Custom Assessment and Remediation (CAR), о котором я раньше уже писал. Это механизм для добавления собственных скриптовых детектов, в том числе на PowerShell и Python. Написали свой скрипт детекта (например по версиям, которые вам апсеки сказали), добавили в Qualys - получили уязвимые хосты. Такие уязвимости будут иметь QID и с ними можно работать как с уязвимостями, которые продетектил сам Qualys.

2. Runtime Software Composition Analysis (SCA). Это композиционный анализ. Во время сканирования на наличие уязвимостей детектируется не только сам софт и его версия, но и используемые этим софтом библиотеки.

"SCA сканирует уязвимости в компонентах с открытым исходным кодом, разработанных для Java, Go, .Net, Python, Node JS, Rust, Ruby, PHP и других. Добавление SCA расширяет возможности сканирования VMDR, добавляя более 13 000 новых сигнатур, охватывающих более 11 000 CVE."

Фактически это сводится к тому, что Qualys Agent бегает по файловой системе и ищет/анализирует файлики библиотек (в т.ч. Log4j). Это не супер-новшество. Такие детекты я давно видел в Microsoft Defender for Endpoint. Видимо это становится обязательной фичой.

В общем, VM-вендоры, присмотритесь к кейсам! Клиенты VM-вендоров, задавайте им неудобные вопросы! 😉