Архивы автора: Александр Леонов

Об авторе Александр Леонов

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно и моих проектах можете прочитать здесь. Приглашаю подписаться на мой канал @avleonovrus "Управление Уязвимостями и прочее" в MAX или в Telegram. Вы можете обсудить мои посты или задать вопросы в группе ВКонтакте. And I invite all English-speaking people to another Telegram channel @avleonovcom.

Подводные камни Open Source

Добавить комментарий

Подводные камни Open Source. Прикольная статья вышла в блоге Swordfish Security на Хабре. Основная идея там в том, что если вы видите бесплатное Open Source решение (в статье разбирается Defect Dojo и Semgrep), то прежде чем кидаться его использовать, неплохо подумать, а почему оно ничего не стоит конечному потребителю. Где подвох?

🔹 Иногда подвоха нет, а проект развивают энтузиасты just4fun или за счёт грантовой поддержки. 😇

🔹 Но частенько подвох в том, что в опенсурсе находится только сознательно урезанная до самой базовой функциональности версия коммерческого продукта (очень даже платного). Что-то вроде демки. Если вам не хватает чего-то для полноценной работы, то это так и задумано. 😉

Тут можно сказать: код-то открытый, сейчас кааак форкнем и допишем что надо? Теоретически да, а практически поддерживать чужой проект бывает настолько грустно, что проще с нуля переписать.

Или выбить бюджет на коммерческое решение с поддержкой и не париться. 🙃

5 сентября в рамках подготовки к конкурсу Security Gadget Challenge пройдёт вебинар "Аппаратные средства защиты информации"

Добавить комментарий

5 сентября в рамках подготовки к конкурсу Security Gadget Challenge пройдёт вебинар "Аппаратные средства защиты информации". Выступать будет Владимир Смирнов, главный конструктор АО НИЦ. Обещают рассказать про последние достижения в разработке устройств, направленных на защиту данных, обсудить их эффективность и применимость в реальных условиях.

Для контекста, АО НИЦ производит такие устройства как средство для ответвления трафика "СПРУТ100", микросервер "МУРЕНА RD1" и шлюз безопасности "ГРАНИЦА" (последнее, правда, с использованием FortiGate - видимо уже не так актуально сейчас).

Я не особо в курсе реалий разработки отечественных аппаратных СЗИ, так что послушать будет интересно. 🙂

Также организаторы Security Gadget Challenge подробнее расскажут про конкурс и поотвечают на вопросы.

🗓️ Дата: 5 сентября
⏰ Время: 19:00-20:00

➡️ Регистрируйтесь на Timepad

AVLEONOV Start - совместная работа над Open Source проектами для вкатывания в Vulnerability Management

Добавить комментарий

AVLEONOV Start - совместная работа над Open Source проектами для вкатывания в Vulnerability Management. Периодически ко мне приходят люди в такой ситуации: хотят вкатиться в VM, но практического опыта работы с уязвимостями у них нет, поэтому на работу их не берут. А опыта набраться негде. Замкнутый круг. Обычно я на это говорю - идите на стажировку. Вот недавно отбор на PT Start завершился. Но на стажировках мест тоже ограничено и не факт, что получится заниматься именно VM-ными задачами. И что делать?

Альтернатива - участие в опенсурсных проектах. Здесь я могу немного помочь. Открытых VM-ных проектов у меня довольно много, а времени, чтобы их тянуть не всегда хватает. Я могу выделить задачку, отслеживать её выполнение, смерджить код в основной проект с указанием авторства и описать заслуги в канале и changelog проекта. Будет что приложить к резюме. 😉

Гарантирует ли это трудоустройство? Нет. Ничто не гарантирует. Но плюсом будет.

Если что, пишите в личку. 🙂

Размышляю о развитии Scanvus

Добавить комментарий

Размышляю о развитии Scanvus. Давненько не было обновлений проекта. Так-то понятно, что опекать конкретную инфру мне стало не нужно, поэтому приоритизирующий уязвимости Vulristics мне стал важнее, чем детектирующий их Scanvus. 🤷‍♂️ Однако проблема оценки качества детектирования уязвимостей никуда не делась, поэтому и необходимость в "прозрачном" (и желательно бесплатном 😏) сканере остаётся.

Подход к интерпретации OVAL-контента в рамках Vuldetta показал, что хоть это делать и можно, но местами довольно хлопотно (для уязвимостей ядра, например).

Использовать для детектирования OpenSCAP было бы гораздо проще. В этом случае задачей Scanvus было бы зайти на хост, определить версию дистрибутива, найти инсталляцию OpenSCAP, скачать и загрузить на хост актуальный OVAL-контент, запустить утилиту OpenSCAP, забрать и отобразить отчёт сканирования.

Мне кажется, что такой "агентный" режим работы имеет смысл реализовать.

Установка RHVoice TTS на Linux с помощью Snap

Добавить комментарий

Установка RHVoice TTS на Linux с помощью Snap. Прежде чем выкладывать пост, я стараюсь прогонять его через Text To Speech, чтобы услышать и убрать все ошибки и "шероховатости". К сожалению, очередной "бесплатный" онлайн-TTS, которым я пользовался, обновился и начал просить денег. 🤷‍♂️

Поэтому я сделал очередной подход к локальным TTS-кам под Linux. В частности, к отечественной RHVoice. Несколько лет назад установку из исходников я не осилил. Сейчас же установка Snap-ом тривиальна. Как и использование.

sudo snap install rhvoice
sudo rhvoice.vm -a
# смотрим список голосов
sudo rhvoice.vm -i BDL
# устанавливаем голос
cat test_en.txt | rhvoice.test -p BDL
# читаем текст из файла
sudo rhvoice.vm -i Artemiy
cat test_rus.txt | rhvoice.test -p Artemiy

Ещё послушал интересное интервью из 2020-го с разработчиком RHVoice Ольгой Яковлевой. Она очень крутая. Как можно такую сложную штуку сделать в одиночку и будучи незрячей - просто невероятно! 🤯 Пример нам всем.

Открыт приём заявок на конкурс по разработке ИБ-устройств Security Gadget Challenge

Добавить комментарий

Открыт приём заявок на конкурс по разработке ИБ-устройств Security Gadget Challenge. Организаторы АО «Национальный Инновационный Центр» и платформа Phystech.Genesis.

Что можно подавать:

🔹 Готовые прототипы и схемы - Hardware challenge (до 16 сентября)
🔹 Концепции - Idea challenge (до 7 октября)

Участники получат помощь в реализации пилотного проекта, в том числе смогут бесплатно напечатать плату своего устройства. Предусмотрены и приятные денежные призы. 😉

К участию в конкурсе приглашаются студенты технических ВУЗов, специалисты по ИБ, инженеры, предприниматели и аналитики в сфере ИБ. Не секрет, что такие конкурсы/хакатоны это хорошая возможность продемонстрировать свои скиллы работодателям и получить оффер. 😎

Размер команды 2-5 человек, если нет команды - помогут собрать.

Канал "Управление Уязвимостями и прочее" в информационных партнёрах конкурса, так что буду отслеживать и подсвечивать происходящее. 🙂

➡️ Регистрация на сайте
💬 Чат конкурса в Telegram

Greenbone представили сканер уязвимостей Greenbone Basic для SME организаций, стоимость которого НЕ привязана к количеству сканируемых IP-адресов

Добавить комментарий

Greenbone представили сканер уязвимостей Greenbone Basic для SME организаций, стоимость которого НЕ привязана к количеству сканируемых IP-адресов. Лицензия на 1 сканер будет стоить 2450 € в год. Он будет поставляться в виде образа виртуалки. Есть сравнительная таблица и data sheet.

Отличия Greenbone Basic:

🔹 По сравнению с бесплатным Greenbone Free там БУДЕТ полноценная неурезанная база плагинов для детектирования уязвимостей, комплаенс сканирование, планировщик сканов, алерты, LDAP/ Radius аутентификация, управление HTTPS сертификатами, интеграция с NTP.

🔹 По сравнению с Greenbone Enterprise там НЕ БУДЕТ возможности иерархически соединять сканеры (сенсоры), поддержки API, тикетов на исправление уязвимостей, техподдержки от Greenbone и будущих энтерпрайзных фич.

По фичам выглядит как реальная альтернатива Nessus Professional от Tenable. Конкуренция в сегменте VM-решений базового уровня с фиксированной ценой усиливается. 👍