Архив за месяц: Сентябрь 2024

Генерация имён для уязвимостей

Добавить комментарий

Генерация имён для уязвимостей

Генерация имён для уязвимостей. У коллег, которые занимаются атрибуцией атак, есть забава давать группам злоумышленников имена по какой-то схеме. Например, Midnight Blizzard или Mysterious Werewolf. 🙂 Я подумал, а чего бы нам уязвимостям так имена не давать?

Допустим, Remote Code Execution - Windows NAT (CVE-2024-38119)

🔹 Типы уязвимостей превращаем в созвучные названия животных. RCE - это пусть будет Racoon. Для EoP можно Elephant, для Memory Corruption - Monkey и т.д.

🔹 По названиям софта автоматом подбираем прилагательные, начинающиеся с тех же букв. "Windows NAT" -> "Windy Nautical".

🔹 Уязвимостей одного типа в одном продукте может быть сколько угодно. Поэтому генерим сочетания наречий и причастий прошедшего времени (6940230 комбинаций), а потом мапим в них CVE-идентификаторы. CVE-2024-38119 -> 202438119 -> "2438119": "inquisitively underspecified"

Получаем: "Inquisitively Underspecified Windy Nautical Racoon", т.е. "Любопытно Неуточненный Ветреный Морской Енот". 🙂

Боли Asset Management процесса

Добавить комментарий

Боли Asset Management процесса

Боли Asset Management процесса. Судя по результатам прошлого опроса, Asset Management-ом в организациях занимаются, но в основном не с использованием специализированных продуктов, а закрывают эти задачи около-AM-ной функциональностью в смежных IT/ИБ решениях.

Давайте теперь наведём статистику, по проблемам, с которыми мы сталкиваемся в процессе управления активами. Ну и тем самым сформируем приоритизированный список задач, которые Asset Management система должна решать. 😉

🗳 Голосуем
🗣 Высказываемся в VK (в частности, интересно почему специализированные AM-решения не используете)

Взгляд на Offensive со стороны Vulnerability Management специалиста

Добавить комментарий

Взгляд на Offensive со стороны Vulnerability Management специалиста

Взгляд на Offensive со стороны Vulnerability Management специалиста. В канале Just Security вышел ролик про церемонию награждения Pentest Awards 2024 от Awillix. В ролике организаторы, жюри и победители рассуждают что это за мероприятие и для чего оно нужно - в первую очередь для нетворкинга специалистов по наступательной кибербезопасности и обмена опытом.

Я, как VM-щик, смотрю на этот движ несколько со стороны, но всегда с интересом.

🔹 Имхо, VM-щику лучше устраняться от игры в "докажи-покажи" с IT-шниками, т.к. это сжирает ресурсы необходимые для поддержания VM-процесса.

🔹 А у оффенсеров (pentest, bug bounty) суть работы как раз в "докажи-покажи" и заключается. Т.е. проломить здесь и сейчас хотя бы в одном месте.

Поэтому VM-щику обязательно нужно дружить с оффенсерами и отслеживать какие векторы популярны, эксплоиты для каких уязвимостей работают надёжно и "не шумят". Чтобы устранять такие уязвимости в первую очередь. 😉

Использование Android смартфона без учётки Google

Добавить комментарий

Использование Android смартфона без учётки Google

Использование Android смартфона без учётки Google. 9 сентября у Google был сбой при подтверждении новых аккаунтов из России по СМС. 10 сентября сбой устранили, но осадочек остался. 🤔

Я в это время как раз переезжал на новый Android смартфон Xiaomi. В качестве эксперимента я решил вообще не аутентифицироваться в нём с помощью Google аккаунта.

В принципе, жить можно. 🙂

🔹 Установке "skip" не мешает.

🔹 Сервисы Google (такие как Google Lens, TTS или голосовой ввод в Gboard) работают и без аутентификации.

🔹 А как без Google Play? Все российские приложения есть в RuStore (+ Duolingo и Telegram 😉), привычные мне западные (Voice Aloud Reader и Total Commander) я поставил через Xiaomi GetApps. Насколько я понимаю, приложения в GetApps могут попадать без ведома вендора. 🤷‍♂️ Не может ли там быть чего-то зловредного под видом популярного приложения? Xiaomi заверяют, что делают все необходимые проверки. Но, имхо, количество приложений из GetApps лучше минимизировать.

Сентябрьский Microsoft Patch Tuesday

Добавить комментарий

Сентябрьский Microsoft Patch Tuesday

Сентябрьский Microsoft Patch Tuesday. 107 CVE, из которых 28 были добавлены с августовского MSPT. 6 уязвимостей с признаками эксплуатации вживую:

🔻 Remote Code Execution - Windows Update (CVE-2024-43491)
🔻 Elevation of Privilege - Windows Installer (CVE-2024-38014)
🔻 Security Feature Bypass - Windows Mark of the Web (CVE-2024-38217), Microsoft Publisher (CVE-2024-38226), Chromium (CVE-2024-7965)
🔻 Memory Corruption - Chromium (CVE-2024-7971)

Без признаков эксплуатации, но с приватными эксплоитами:

🔸 Authentication Bypass - Azure (CVE-2024-38175)
🔸 Security Feature Bypass - Windows Mark of the Web (CVE-2024-43487)
🔸 Elevation of Privilege - Windows Storage (CVE-2024-38248)

Остальное интересное:

🔹 Remote Code Execution - Microsoft SQL Server (CVE-2024-37335 и ещё 5 CVE)
🔹 Remote Code Execution - Windows NAT (CVE-2024-38119)
🔹 Elevation of Privilege - Windows Win32k (CVE-2024-38246, CVE-2024-38252, CVE-2024-38253)

🗒 Полный отчёт Vulristics

А у вас вообще есть Asset Management процесс в организации?

Добавить комментарий

А у вас вообще есть Asset Management процесс в организации?

А у вас вообще есть Asset Management процесс в организации? Прямо вот взрослый с использованием специализированных инструментов? Или хватает около-AM-ной функциональности в смежных IT/ИБ решениях? Или может вам Asset Management вообще не нужен? Давайте выяснять. 🙂

Моё имхо я неоднократно высказывал: Asset Management это наиболее важная часть Vulnerability Management-а. Даже с сетевым периметром разобраться зачастую непросто. А с внутрянкой тем более. В идеале, конечно, было бы хорошо, чтобы ответственность за AM лежала не на самом VM-щике. Чтобы VM-щик только аномалии в учёте активов находил и жаловался. 😅

🗳 Голосуем
🗣 Высказываемся в VK

16 сентября заканчивается подача заявок на Security Gadget Challenge (в трек Hardware challenge)

Добавить комментарий

16 сентября заканчивается подача заявок на Security Gadget Challenge (в трек Hardware challenge)

16 сентября заканчивается подача заявок на Security Gadget Challenge (в трек Hardware challenge). По треку Idea challenge заявки принимаются чуть подольше, до 7 октября. На вебинаре в прошлый четверг организаторы конкурса дали советы участникам по каким темам лучше подаваться.

Что лучше НЕ подавать:

Программные (главным образом) средства СЗИ
- межсетевые экраны;
- средства формирования VPN;
- СКЗИ в целом;
- антивирусы;
- IDS/IPS;
- средства анализа защищённости (пожалуй, кроме Honey Pot);
- средства централизованного управления и оркестрации СЗИ (SIEM…);
- модули защиты в другие программные продукты (DBMS…);
- сборщики мусора и уничтожители остаточной информации.

«Спорные» СЗИ
- RAID-массивы;
- ИБП;
- кластеры надёжности;
- СКУД;
- ФДСЧ;
- предотвращение вскрытия корпусов оборудования;
- предотвращение кражи оборудования;
- ограничители поля зрения LCD-мониторов;
- шумогенераторы;
- нелинейные детекторы.

В каких областях организаторы ждут проекты:

Белый список — аппаратные СЗИ
- разного рода электронные замки (АПМДЗ, TPM, АКД…);
- контейнеры критической информации (без выхода её наружу, схема запрос - ответ);
- устройства блокировки отдельных узлов ПК (портов USB, клавы, мыши, дисков);
- контроль неизменности конфигурации ПАК;
- изолированные полнофункциональные системы обработки критически важной информации (пинпады);
- применение биометрических средств (с оговоркой о компрометации);
- логгеры событий безопасности (+блокчейн).

Светло-белый список — перспективные (?) технологии
- методы защиты информации на основе искусственного иммунитета (клональный ответ, мутации и т.д.);
- методы, позволяющие вычисления над зашифрованными данными;
- специализированные архитектуры ядер микропроцессоров (не-фон-неймановская архитектура, невозможность исполнения данных);
- "прозрачное" шифрование передаваемых между узлами и/или процессами вычислителя данных;
- квантовое распределение ключей.

В целом, за исключением некоторых спорных моментов (например, IDS нельзя, а ханипоты можно; чисто программное нельзя, но блокчейн или искусственный иммунитет можно 🤔) всё более-менее логично следует из названия и описания конкурса. Не подавай чисто программное, не подавай неэлектронное ("не гаджеты"), не подавай чисто IT-шное и будет норм. 😉

❗️ При этом подчёркивается, что это всё в рамках совета, явных ограничений кроме "голого ПО" нет.

➡️ Регистрация на сайте
💬 Чат конкурса в Telegram