Архив за месяц: Декабрь 2023

Отчитал лекцию по Управлению Уязвимостями в Росатоме

Отчитал лекцию по Управлению Уязвимостями в Росатоме

Отчитал лекцию по Управлению Уязвимостями в Росатоме. Зарегистрировалось около ста человек. Раньше я этот материал читал только студентам-безопасникам. А тут мало того, что далеко не студенты, а взрослые опытные люди, так в основном ещё и из IT. Учитывая, что у меня значительная часть контента про то как мотивировать IT-шников наводить порядок в активах и как противостоять их попыткам саботажа VM-процесса ("как челобитную царю подаёшь" и "докажи-покажи") было волнительно как это зайдет на такую аудиторию. 🙂 Но прошло хорошо. Вопросы были конструктивные. VM-щики, конечно, тоже не всегда ангелы. 😈

Чтобы соответствовать названию "мастер-класс" уделил больше времени разбору примеров уязвимостей, способов их детекта и приоритизации (Vulners Linux Audit, Scanvus, OpenSCAP, ScanOVAL, Vulristics).

Большое спасибо отраслевой IT-школе Росатома за приглашение и Positive Education за организацию!

Запись буду использовать как основу для книги. 😉

ФСТЭК России 50 лет!

ФСТЭК России 50 лет!

ФСТЭК России 50 лет! Сегодня день основания Гостехкомиссии СССР (18 декабря 1973), которая в итоге превратилась во ФСТЭК. С праздником, коллеги! 🎉

ФСТЭК это главный российский регулятор в области Управления Уязвимостями:

🔸 Руководство по организации процесса управления уязвимостями в органе (организации)
🔸 Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств
🔸 База угроз и уязвимостей; регламент добавления
🔸 Бесплатный сканер уязвимостей ScanOVAL
🔸 ГОСТ Р 56546-2015 Классификация уязвимостей информационных систем
🔸 ГОСТ Р 56545-2015 Правила описания уязвимостей
🔸 Методика тестирования обновлений безопасности программных, программно-аппаратных средств

Посмотрел презентацию РОСА Мобайл и Р-ФОН

Посмотрел презентацию РОСА Мобайл и Р-ФОН

Посмотрел презентацию РОСА Мобайл и Р-ФОН. В позиционировании чувствуется закос под Apple. Делаем всё сами, получается вещь в себе, но вам другое и не нужно. А если вам чего-то будет не хватать, то будет возможность запускать Android приложения. Часто употребляли слова "привычное", "простое", "полностью российское".

Под выпуск мобильной ОС сделали небольшой ребрендинг: короткий домен, новый логотип для всех продуктов РОСА, слоган "РОСА - пространство ваших возможностей". Сделали отдельные лендинги с картинками для мобильной ОС и смартфона.

Про какие фичи рассказывали:

🔸 РОСА ID - единый идентификатор
🔸 РОСА Маркет - магазин приложений
🔸 РОСА Диск - облачное хранилище с синхронизацией, до 10 гб свободного места, можно будет увеличить
🔸 РОСА Контроль - MDM инструмент для управления корпоративными устройствами
🔸 РОСА Уведомления - собственный PUSH сервис (можно запустить на корпоративной инфраструктуре)
🔸 РОСА Мессенджер - мессенджер для корпоративного и личного общения а-ля Telegram. Есть групповые чаты/информационные каналы. В 1 полугодии 2024 обещали аудио и видео звонки.
🔸 Есть инструмент для запуска Android приложений. В 1 полугодии 2024 ожидается "полная поддержка".

Чего ещё нет, но в планах на 1 полугодие 2024:

🔹 NFC и датчик отпечатка
🔹 РОСА Платежи для оплаты приложений и сервисов
🔹 РОСА Миграция для перехода с Andorid и iOS

Во 2 полугодии 2024:

🔹 появятся виджеты
🔹 расширение функциональности по редактированию фото и видео
🔹 собственный РОСА Браузер

Акцент на безопасность. ОС будет запускаться только на "доверенных устройствах". РОСА сами разработали набор драйверов, нет блобов, нет закладок. Выпуск новой версии ОС раз в 2 года. Обновления безопасности чаще.

Для разработчиков запустили портал (пока недоступен) и обещают проводить мероприятия. Обещают кросс-платформенную среду разработки. У приложений будет один бэкенд, но разные интерфейсы на ноутбуке, смартфоне, планшете. Про Plasma Mobile и вообще то, что в смартфоне "под капотом" не говорили. Презентация была не для гиков.

Про сам телефон Р-ФОН. Западные компоненты, но монтаж печатных плат, сборка, тестирование в Мордовии. Продажи в 24-ом году. Сначала для корп. рынка. "Не теряют надежду", что будут продавать для физиков. Про системные характеристики устройства не буду тут писать, уже писали о максимальной схожести с бангладешским Symphony Helio 80.

РОСА Мобайл или Аврора? Моё мнение пока не меняется. Аврора, несмотря на все недостатки, гораздо более зрелый проект с большим количеством партнеров из недавно представленного Aurora Foundation (включая VK-шный RuStore). Если ОМП не допустят каких-то фатальных ошибок, то РОСе будет крайне сложно догнать Аврору. А так, пусть расцветают сто цветов, пусть соперничают сто школ. Будем наблюдать.

Злоумышленники получили доступ к корпоративным системам компании MongoDB

Злоумышленники получили доступ к корпоративным системам компании MongoDB

Злоумышленники получили доступ к корпоративным системам компании MongoDB. Пока сообщают о раскрытии метаданных учетных записей клиентов и контактной информации. Подозрительную активность обнаружили 13 декабря, а когда именно поломали пока непонятно. Также непонятно добрались ли злоумышленники до данных в облачной ДБ MongoDB Atlas. Вендор рекомендует клиентам всякие профилактические меры типа смены пароля и установки двухфакторки. Ну и быть бдительными, а то сейчас фишеры будут отрабатывать по слитым контактным данным.

Но интересно другое: а могли злоумышленники внести зловредные изменения в коммерческие и опенсурсные продукты MongoDB? Затрояненые версии пакетов с официального сайта раздавать или что-нибудь подобное? Пока эту тему вообще не поднимают, но посмотрим, что дальше будет.

Прожектор по ИБ, выпуск №16 (16.12.2023): Кружочки чёрного Несквика

Прожектор по ИБ, выпуск №16 (16.12.2023): Кружочки чёрного Несквика

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

К сожалению, Telegram снова скинул запоротую запись конференции. 😔 Видео запись с шипением и выпадением аудио. Аудио запись убыстренная и с какими-то рассинхронами, так что в диалогах все звучат одновременно, как будто перебивают друг друга. В итоге начало эпизода кое-как нарезал. 🤷‍♂️ С 04:16 качество аудио становится нормальным, с 08:46 появляется видео. Приношу извинения от нашей дружной команды. Очень жаль, что начало получилось таким смазанным, там было весело. В следующий раз постараемся дублировать запись на нашей стороне, хотя бы в аудио. 🎙Имейте в виду, что Telegram может так косячить.

00:00 Здороваемся и смотрим статистику по просмотрам. Прошлый выпуск всего 52 просмотра набрал. Очередной анти-рекорд, но мы не сдаёмся.
00:13 RCE уязвимость в Apache Struts2 (CVE-2023-50164).
00:49 Декабрьский Microsoft Patch Tuesday
02:18 Анализ восприятия инцидентов ИБ от Hive Systems
04:21 Чат с Copilot на базе GitHub
08:46 MITRE и модель угроз EMB3D
12:05 Угораем со статистики по инцидентам
18:13 В Москве запретили использование QR-кодов на билбордах
20:19 Мем про корпоративные новогодние подарки, обсуждаем какие нам нравятся
26:44 Мем про то, что Касперский спалил сам себя в рамках своей борьбы со сбором данных
28:19 ГРЧЦ закручивает гайки: ботам OpenAI могут закрыть доступ к Рунету
31:04 Прощание от Mr.X

📁 Свежая папка с телеграмм-каналами российских ИБшников

📁 Свежая папка с телеграмм-каналами российских ИБшников. Весьма прикольная подборка (не только потому, что меня не забыли добавить, но и поэтому тоже 😅). Добавил себе, чего и всем советую. 🙂

Коллегам тоже пошарьте. 😉

https://t.me/addlist/sCZrcODabP4xNDky

А не выпустить ли мне свою книгу про Управление Уязвимостями?

А не выпустить ли мне свою книгу про Управление Уязвимостями?

А не выпустить ли мне свою книгу про Управление Уязвимостями? 🤔 Чтобы ещё больше структурировать свой контент и чтобы на вопрос "а что почитать?" можно было ответить "ну вот мою книжку можешь почитать, вроде норм". 🙂 Ну и чтобы ЧСВ своё погреть естественно, типа я не просто в ТГ что-то пощу, а я писатель, лол. 😅 Пока задумки такие:

1. Электронная версия будет доступна на моём сайте абсолютно бесплатно. Как по мне, торговать электронными книгами это что-то малоэтичное, да и глупое - всё равно спиратят. А если книгу не пиратят, то это говорит о том, что книга совсем плоха и никому не нужна. Или же о том, что автор сутяжник и неутомимый копираст. Я даже не знаю, что из этого большее позорище. 🙂

2. Исходники книги будут доступны в репозитории кода. И версий книги будет множество, как у Firefox-а. Чтобы новую версию можно было выпускать хоть каждую неделю.

3. Бумажная версия, если она вообще будет, будет представлять собой что-то сувенирное, малотиражное и неадекватно, просто бессовестно дорогое. Артефакт, вещь штучная, коллекционная! 🙂 Чтобы я лично брал книжку, подписывал, нумеровал, заворачивал во множество слоёв пупырки и тащил в СДЭК. Соответственно печататься такое будет напрямую, без издательства и не в каком магазине продаваться, скорее всего, не будет.

Чего думаете? Пустите кита 🐳, чтобы я мог понять стоит ли заморачиваться.