Архив за месяц: Март 2024

Послушал доклад Татьяны Куцовол (ГК «Солар») про безопасность Supply Chain на SafeCode и сделал небольшой конспект

Послушал доклад Татьяны Куцовол (ГК «Солар») про безопасность Supply Chain на SafeCode и сделал небольшой конспект

Послушал доклад Татьяны Куцовол (ГК «Солар») про безопасность Supply Chain на SafeCode и сделал небольшой конспект.

❓SCA и Supply Chain - в чём разница?

🔹 Software Composition Analysis (SCA) - выявление и исправление известных уязвимостей (CVE)
🔹 Supply Chain - текущих проблем нет, но в будущем с кодом могут быть проблемы

📔 Стандарты

🔸 SLSA (Supply-chain Levels for Software Artifacts). 4 уровня. В основном про билды. 🫤
🔸 OWASP SCVS (Software Component Verification Standard). 6 кратких контролей. 😒
🔸 CIS SSCSG (Software Supply Chain Security Guide). 100 рекомендаций в 5 категориях. 👍

😡 Техники злодеев

🔻 Хактивизм и создание токсичных репозиториев
🔻 Starjacking
🔻 Typosquatting
🔻 Dependency Confusion
🔻 Become Maintainer

📊 Метрики для оценки опенсурсных проектов

➕ Популярность
➕ Авторский состав
➕ Активность сообщества
➕ Заинтересованность в безопасности (есть )
➖ Библиотека создана недавно
➖ Первая версия подозрительно высокая

Наверняка старая шутка, но я раньше не слышал

Наверняка старая шутка, но я раньше не слышал

Наверняка старая шутка, но я раньше не слышал. Единственный безопасник в организации как агент 007:
🔸 0 сотрудников,
🔸 0 бюджета на инструменты безопасности,
🔸 7 инцидентов в неделю.

Алексей Федулаев на SafeCode сегодня рассказал. 🙂
Жиза. 😅

Антон Жаболенко (CISO Wildberries) рассказывает про комплексный Continuous Vulnerability Management в сессии "Как устроена безопасность в технологически зрелой компании?" на SafeCode

Антон Жаболенко (CISO Wildberries) рассказывает про комплексный Continuous Vulnerability Management в сессии Как устроена безопасность в технологически зрелой компании? на SafeCode

Антон Жаболенко (CISO Wildberries) рассказывает про комплексный Continuous Vulnerability Management в сессии "Как устроена безопасность в технологически зрелой компании?" на SafeCode.

Процесс включает в себя:

🔸 различные сканирования уязвимостей (как из Интернета, так и из внутренней сети)
🔸 внутренний RedTeam
🔸 пентесты (внешние подрядчики)
🔸 RedTeam (внешние подрядчики)
🔸 внутренние аудиты
🔸 публичное bug bounty

Это источники, которые генерят поток продетектированных проблем компании, чтобы Defense команда могла итеративно и циклично эти проблемы исправлять.

Такой подход применяется преимущественно в технологически зрелых компаниях, потому что он

🔻 дорогой
🔻 сложный
🔻 тяжело найти экспертов для выстраивания

Но только таким образом можно смотреть комплексно на проблемы, которые есть в компании с точки зрения ИБ.

Если использовать одну команду исследователей (подрядчиков или in-house), у неё неизбежно будет "замыливаться глаз".

Интересный доклад Андрея Карпова "Ошибки в коде: ожидания и реальность" на SafeCode

Интересный доклад Андрея Карпова Ошибки в коде: ожидания и реальность на SafeCodeИнтересный доклад Андрея Карпова Ошибки в коде: ожидания и реальность на SafeCodeИнтересный доклад Андрея Карпова Ошибки в коде: ожидания и реальность на SafeCode

Интересный доклад Андрея Карпова "Ошибки в коде: ожидания и реальность" на SafeCode. Идея в том, что у разработчика средства анализа кода (или исследователя) могут быть ожидания по типам ошибок, которые должны часто встречаться в исследуемом коде. А на практике получается, что одни типы ошибок практически не встречаются (неинициализированные переменные, деление на ноль, выход за границу массива, присвоения вместо сравнения), либо встречаются, но практически не влияют на работу приложений (нулевые ссылки и указатели).

С другой стороны, встречаются пласты ошибок, о которых и не думали:

🔸 CWE-14 (исчезновение memset)
🔸 Повторная запись в переменную
🔸 Проверка указателя после new
🔸 Опечатки вида (А == A)

Лучше не увлекаться ошибками, которые взяты из книг, а брать их из реальной жизни (свой код, сторонний код, код с ошибками, присланный пользователями анализатора).
Важно не фокусироваться на анализе потока данных и не делать инструмент анализа однобоким.

Через 20 минут начинается SafeCode 2024

Через 20 минут начинается SafeCode 2024
Через 20 минут начинается SafeCode 2024

Через 20 минут начинается SafeCode 2024. Уютный канальчик "Управление Уязвимостями и прочее" в информационных партнерах этого мероприятия. 🙂 Так что буду смотреть трансляцию и, возможно, что-то комментировать по ходу. На скриншотике доклады первого дня, которые я себе наметил на посмотреть.

Первые впечатления от мартовского Microsoft Patch Tuesday

Первые впечатления от мартовского Microsoft Patch Tuesday
Первые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch Tuesday

Первые впечатления от мартовского Microsoft Patch Tuesday. Пока ничего откровенно критичного не просматривается. Всего 80 уязвимостей, включая 20 добавленных между февральским и мартовским MSPT.

С PoC-ом всего одна:

🔻 Information Disclosure - runc (CVE-2024-21626). Она позволяет реализовать побег из контейнера. Причём тут Microsoft? Уязвимость исправили в Azure Kubernetes Service и CBL-Mariner (внутренний Linux дистрибутив Microsoft).

Для остальных пока нет признаков активной эксплуатации или наличия PoC-а.

Можно обратить внимание на следующее:

🔸 Elevation of Privilege - Windows Kernel (CVE-2024-21443, CVE-2024-26173, CVE-2024-26176, CVE-2024-26178, CVE-2024-26182). Их частенько доводят до практической эксплуатации в последнее время. Сюда же Elevation of Privilege - Windows Print Spooler (CVE-2024-21433).
🔸 Remote Code Execution - Open Management Infrastructure (OMI) (CVE-2024-21334). CVSS 9.8 и ZDI пишут, что "она позволит удаленному, неавторизованному злоумышленнику выполнить код на инстансах OMI в Интернете". Возможно их и правда в интернет часто выставляют, требует ресёрча. 🤷‍♂️
🔸 Remote Code Execution - Windows Hyper-V (CVE-2024-21407). Эту "guest-to-host escape" уязвимость подсветили вообще все: Qualys, Tenable, Rapid7, ZDI.
🔸 Remote Code Execution - Microsoft Exchange (CVE-2024-26198). Уязвимость типа "DLL loading". Детали пока неясны, но я не удивлюсь если по ней скоро будет подробный write-up.

🗒 Отчёт Vulristics

Наблюдаю за историей с блокировкой продуктов КриптоПро компанией Apple

Наблюдаю за историей с блокировкой продуктов КриптоПро компанией Apple

Наблюдаю за историей с блокировкой продуктов КриптоПро компанией Apple.

"Компания Apple заблокировала приложения нашей разработки в AppStore и отозвала сертификат подписи кода продуктов для операционных систем MacOS."

Судя по тому, что компания КриптоПро выпустила новые версии дистрибутивов и инструкции по установке КриптоПро CSP, Chromium GOST и Ngate client, работу продуктов под MacOS удалось восстановить. Надолго ли? Посмотрим.

"Проблема доступности наших приложений для iOS в процессе решения."

Вижу позитивный момент в том, что Apple перешли к прямым блокировкам продуктов отечественных разработчиков. Очередной прозрачный намёк российским компаниям и организациям, что производить корпоративные закупки продукции Apple не нужно и ничего кроме проблем это не принесёт.

Microsoft могут в любой момент заняться аналогичными блокировками. Так что в среднесрочной перспективе альтернатив российским Linux-ам не просматривается. 🤷‍♂️