Архив за месяц: Ноябрь 2023

На днях начал использовать чатботы для генерации кода

1 комментарий

На днях начал использовать чатботы для генерации кода

На днях начал использовать чатботы для генерации кода. Удобно. С задачками типа "напиши python код, который сделает текстовую замену в docx файле и сохранит его как новый docx файл" справляется хорошо. Можно брать код и использовать as is.

🔹 Можно ли нагуглить ответ на такой вопрос и чуть подправить под себя? Безусловно. Но через бота удобнее.

🔹 Заменит ли это программистов? Вряд ли, но даст буст. Причём и джунам, и мидлам, и сеньорам. Всем станет эффективнее и удобнее работать. Но совсем профанам буст не даст, т.к. нужно понимать, что конкретно ты хочешь от бота.

🔹 А как это скажется на безопасности? Пока непонятно. Не так давно у Start X (бывшие Антифишинг) вышла статья и видяшка, в которой они описали работу с ботом для генерации кода веб-приложения и смогли получить приложение с небезопасной десериализацией пользовательских данных. 🤷‍♂️ Так что без скиллов в безопасной разработке обойтись не получится.

Ноябрьский Linux Patch Wednesday

3 комментария

Ноябрьский Linux Patch Wednesday

Ноябрьский Linux Patch Wednesday. Посмотрим какие уязвимости Linux начали исправляться вендорами Linux дистрибутивов с октябрьского LPW. На самом деле отчёт требует допиливания в части детектов продуктов и типов уязвимостей, но выкладываю как есть. 🙂

🔹 Есть одна уязвимость с признаком эксплуатации вживую (CISA KEV). Это Cross Site Scripting - Roundcube (CVE-2023-5631). Это клиент для работы с электронной почтой с веб-интерфейсом, часто используется как компонент веб-почты в почтовых пакетах и платформах групповой работы. Злоумышленник шлёт зловредное письмо, у пользователя выполняется произвольный JavaScript код. 💥
🔹 Есть ~50 уязвимостей, для которых вроде как есть эксплоиты и PoCи (в основном ссылки с тэгом "exploit" на NVD).
🔹 Больше чем для половины уязвимостей не детектируются продукты и не детектируются типы уязвимостей. 🤷‍♂️ Буду добавлять детекты.

🗒 Vulristics report

Сбербанк заходит в тему Управления Уязвимостями с продуктом X-Threat Intelligence

1 комментарий

Сбербанк заходит в тему Управления Уязвимостями с продуктом X-Threat Intelligence

Сбербанк заходит в тему Управления Уязвимостями с продуктом X-Threat Intelligence.

"X-Threat Intelligence предоставляет быструю и полную информацию о киберугрозах с помощью интуитивно понятного интерфейса или API."

По описанию из лендинга в текущей реализации выглядит как Vulnerability Intelligence Feed с данными по эксплоитам и обновлениям. Про данные об эксплуатации вживую напрямую не пишут. Интересно, будем наблюдать. 🙂

Подъехало свежее маркетинговое чтиво от IDC "MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment"

1 комментарий

Подъехало свежее маркетинговое чтиво от IDC MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment

Подъехало свежее маркетинговое чтиво от IDC "MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment". Выдержку можно скачать у Tenable, правда она на 7 страничек и описание вендора там только для Tenable.

Что можно сказать, просто глядя на картинку? Глобальный расклад сил не меняется. Большая TQR тройка на месте. С другой стороны, маркетинг такой маркетинг. Опять масса компаний, решения которых к VM-у имеют опосредованное отношение. При этом нет более-менее известных игроков. Ну ладно, российских нет. Сложно было бы ожидать. 😏 Но вот Greenbone и SecPod могли бы и упомянуть. Да даже тот же самый Microsoft с Defender for Endpoint. Хорошо хоть Outpost24 есть. 😅

Тут, конечно, всегда можно попробовать заявить, что решения отсутствующих VM-вендоров недостаточно Risk-Based, но это очень сомнительная аргументация.

В Vulristics теперь можно задать профиль для анализа в JSON и получить результаты в JSON

1 комментарий

В Vulristics теперь можно задать профиль для анализа в JSON и получить результаты в JSON

В Vulristics теперь можно задать профиль для анализа в JSON и получить результаты в JSON. Что открывает новые возможности по автоматизации работы с ним. По-простому: задаем на вход список CVE-шек и комментарии к ним (если есть), получаем на выходе оцененные CVE-шки (с типом уязвимости, продуктом, эксплуатацией вживую, публичными эксплоитами и прочим). А учитывая возможность добавлять данные по уязвимостям через Custom Data Source и управлять правилами детектов софтов (products.json) и типов уязвимостей (data_classification_vulnerability_types.py), получается очень гибкая штуковина. 😇

Можно выпускать отчёты сразу и в JSON, и в HTML:

Ноябрьский Microsoft Patch Tuesday

1 комментарий

Ноябрьский Microsoft Patch Tuesday

Ноябрьский Microsoft Patch Tuesday. Выпустил отчёт Vulristics, посмотрел. Всего 98 CVE-шек, 40 из них набежало с октябрьского MSPT. Выглядит очень блекло. 🤷‍♂️

1. Самая критичная Security Feature Bypass - Windows SmartScreen (CVE-2023-36025). Эксплуатируется вживую. Уязвимость в том, что можно создать файл .URL и при переходе по этому файлу на зловредный сайт Defender не спасёт. 🤨 Ерундень.
2. Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2023-36036) и Elevation of Privilege - Windows DWM Core Library (CVE-2023-36033). Вживую эксплуатируются, можно SYSTEM получить.
3. 3 Spoofing уязвимости в Exchange (CVE-2023-36035, CVE-2023-36039, CVE-2023-36050). Требуют аутентификацию, но потенциально могут использоваться в NTLM Relay атаках.

Из забавного - фиксы для уязвимостей Curl. Оказывается используется в Windows Update. 🙈 Ещё какая-то уязвимость в Bluetooth - видимо в какой-то их старой железке.

🗒 Vulristics report

Прожектор по ИБ, выпуск №11 (12.11.2023): не верь описаниям, периметр и Аврора для физиков

Добавить комментарий

Прожектор по ИБ, выпуск №11 (12.11.2023): не верь описаниям, периметр и Аврора для физиков. Записали очередной эпизод нашего еженедельного подкаста. В этот раз записывали таким составом:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Иван Шубин

00:00 Здороваемся и смотрим статистику
02:29 Как Лев съездил на Цифротех
07:52 Не верь описанию уязвимости - может внезапно поменяться (на примере недавней Improper Authorization в Confluence CVE-2023-22518)
11:36 Специалисты из Check Point Research раскрыли уязвимость в Microsoft Access, которая может быть использована злоумышленниками для получения NTLM-токенов пользователя Windows
15:31 Парочка занимательных аномалий из National Vulnerability Database
18:27 Про возраст уязвимости и её трендовость
29:38 Ещё один экран Бесконечного VM-a про сетевой периметр
40:05 Делюсь впечатлениями от покупки первого смартфона на Авроре для физиков
55:19 В преддверии Черной пятницы число веб-атак на ретейл России возросло на 50%
57:27 Минцифры России запускает второй этап программы bug bounty, распространив ее на все ресурсы и системы электронного правительства
01:00:47 В Южной Корее робот насмерть прижал мужчину
01:06:11 Иван рекомендует книгу "How vCISOs, MSPs and MSSPs Can Keep their Customers Safe from Gen AI Risks"
01:10:21 Прощание от Льва