Архивы автора: Alexander Leonov

Об авторе Alexander Leonov

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте. And I invite all English-speaking people to another telegram channel @avleonovcom.

Добавил поддержку OVAL-контента для ALT Linux в Linux Patch Wednesday

Добавить комментарий

Добавил поддержку OVAL-контента для ALT Linux в Linux Patch Wednesday

Добавил поддержку OVAL-контента для ALT Linux в Linux Patch Wednesday. Теперь я отслеживаю когда были исправлены те или иные CVE-шки в пакетах ALT Linux и учитываю это при формировании ежемесячных бюллетеней. Чем больше источников данных по исправляемым уязвимостям в Linux дистрибутивах, тем адекватнее становятся бюллетени. 👍 Особенно если эти Linux дистрибутивы независимые, а не деривативы. 😇

Итого, сейчас в генераторе LPW используется 7 источников в формате OVAL:

🔹 Debian
🔹 Ubuntu
🔹 Oracle Linux
🔹 RedOS
🔹 AlmaLinux
🔹 Red Hat
🔹 ALT Linux

И ещё один источник в формате листов рассылки Debian.

С обзором июньского Linux Patch Wednesday я припозднился (в связи с этими доработками и отпуском), но планирую в скором времени его выпустить (upd. выпустил). Тем более что уязвимостей там не так уж много - 598. 🙂

Главные преимущества MaxPatrol VM на российском рынке

Добавить комментарий

Главные преимущества MaxPatrol VM на российском рынке

Главные преимущества MaxPatrol VM на российском рынке. Меня попросили накидать пункты для внутреннего использования, но пусть в паблике тоже будет. 🙂

🔹 Качество детектирования. Если считать с первого XSpider, команда PT уже 27 лет занимается детектированием уязвимостей. Здесь своя школа подготовки именно экспертов-сканеристов. Когда в одном вендоре десятки человек на full-time занимаются улучшением методов детектирования, а в другом "полтора землекопа" пилят исключительно CPE-детекты, разница в качестве детектирования будет очевидна при сколько-нибудь внимательном рассмотрении.

🔹 Настоящие трендовые уязвимости. Это не просто зеркало CISA KEV. За этим стоит процесс непрерывного отслеживания состояния огромного количества уязвимостей. Плюс экспертиза лучшей на рынке пентестерской команды.

🔹 PDQL. Собственный язык запросов позволяет работать с уязвимостями и активами максимально гибко. На мировом рынке похожее есть у Qualys, на отечественном только у PT.

Сканер уязвимостей с "поиском по версиям в базе" может найти все уязвимости из этой базы?

Добавить комментарий

Сканер уязвимостей с поиском по версиям в базе может найти все уязвимости из этой базы?

Сканер уязвимостей с "поиском по версиям в базе" может найти все уязвимости из этой базы? То, что для качественного детектирования нужен "не совсем поиск и не совсем по версиям", я уже расписал ранее. Теперь посмотрим по контенту.

Если в базе сканера 427498 уязвимостей, значит ли это, что сканер может находить их все? Не совсем. 🙂

🔷 Для уязвимости должны быть правила детектирования. Если правила детектирования строятся на основе NVD CPE Configurations, а для какой-то уязвимости в NVD их нет, значит и в сканере их не будет, и сканер уязвимость не обнаружит.

🔷 Должна быть логика определения продукта и его версии. Вот уязвимость CVE-2023-32311 в некотором китайском проекте CloudExplorer Lite, для неё есть логика детектирования: версии = 1.1.0 уязвимы. Но сможет ли сканер узнать инсталляцию с этим CloudExplorer Lite и определить его версию? Не факт. 😉 Поэтому для таких сканеров "наличие уязвимости в базе" != "возможность продетектировать её в инфраструктуре".

Публичная база уязвимостей Эшелон Сканер-ВС

Добавить комментарий

Публичная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВС

Публичная база уязвимостей Эшелон Сканер-ВС. На днях коллеги из Эшелон запустили портал, отображающий уязвимости из базы знаний Сканер-ВС 7. 🔥

На данный момент в базе 427498 уязвимостей. Многовато, учитывая, что в NVD сейчас 283593, да? 😏 На самом деле там не только CVE идентификаторы, но и идентификаторы бюллетеней безопасности, такие как ROS-20240731-03 или oval:redos:def:6132. Причём это только для RedOS так, уязвимости других дистрибов группируются на страницы CVE-шек. 🤷‍♂️ Отдельно вынесены и уязвимости БДУ (даже при наличии ссылки на СVE), например BDU:2022-06708.

Доступны правила детектирования! Например, для CVE-2021-40438 в Apache HTTP Server видим детекты по версиям пакетов из бюллетеней безопасности (включая признаки "unfixed" и "unaffected" для версий дистрибов), и NVD CPE Configurations для баннерных детектов без аутентификации.

Также есть ссылки на эксплоиты (не из NVD!) 🔥

В общем, круто получилось! Молодцы, Эшелон! 👍

Ровно 84 года назад началась самая страшная война в отечественной истории

Добавить комментарий

Ровно 84 года назад началась самая страшная война в отечественной истории

Ровно 84 года назад началась самая страшная война в отечественной истории. Оценки первого года этой войны практически единогласные: "трагедия 1941 года", "катастрофа 1941 года". О причинах исследователи спорят до сих пор. Но то, что страна оказалась не готова к войне с нацистской Европой - факт.

А готова ли она сейчас? В части защиты КИИ, похоже, что нет. Во всяком случае, если верить тому, что написал Владимир Иванов (CEO ScanFactory) в комментарии на мой предыдущий пост:

"Когда российское ИТ полностью откажется от использования зарубежного софта, тогда и российское ИБ может отказываться от зарубежных решений. Переводя с политического на русский — никогда".

Если так, то КИИ нам на определённом этапе отключат. 🤷‍♂️ Возможно, в ходе операции под чужим флагом.

"Статус ядерной державы" этому не помешает. Как не мешает он объединённому Западу уже третий год участвовать в полномасштабном прокси-конфликте с Россией. И даже наносить удары по компонентам ядерной триады.

Программно-аппаратные закладки в западных продуктах: смотрите, с кем имеете дело

Добавить комментарий

Программно-аппаратные закладки в западных продуктах: смотрите, с кем имеете дело

Программно-аппаратные закладки в западных продуктах: смотрите, с кем имеете дело. Понятно, что личные убеждения, не особо впечатляют скептиков. 🙂 Они будут возмущаться импортозамещением и препятствовать ему до самого часа X. Хотя сейчас даже новости из реального, физического мира, намекают, что такого рода действия вполне в духе западных джентльменов. Возьмём, из последнего ирано-израильского:

🔹 Наносят удар 13 июня, за 2 дня до переговоров.
🔹 Физически устраняют учёных-ядерщиков. А ИБшников когда?
🔹 Заявляют о двухнедельном тайм-ауте для заключения соглашения и тут же начинают бомбардировки.

Про хлопающие пейджеры тоже вспомним. Да и про дроны, вылетающие из фур.

Грязные и бесчестные методы? А с точки зрения Запада это военная хитрость, изобретательность, хуцпа. 🤷‍♂️

На этом фоне активация программно-аппаратных закладок выглядит как что-то вполне невинное: "вот дурачки-то, поверили, закупили, внедрили, а мы им через это РАЗ - коллапс и ущерб на миллиарды $". 😏

Программно-аппаратные закладки в западных продуктах: вопрос личных убеждений

Добавить комментарий

Программно-аппаратные закладки в западных продуктах: вопрос личных убеждений

Программно-аппаратные закладки в западных продуктах: вопрос личных убеждений. Размышления о существовании недекларируемых возможностей (НДВ) всегда отдают некоторой паранойей. 🤔

🔹 По-хорошему, НДВ нужно наглядно предъявлять. А делать это технически сложно. И у западного вендора всегда остаётся правдоподобное объяснение: "Это уязвимость, сейчас исправим". 😏

🔹 А если их не предъявлять, остаются лишь голословные обвинения в адрес "респектабельных" западных компаний, которые делают продукты дешевле, эффективнее и удобнее отечественных аналогов. 🥸 А главное - "ПРИВЫЧНЕЕ".

В таких условиях вопрос НДВ сводится во многом к личной убеждённости (и "экспертным оценкам"). 🤷‍♂️

Я абсолютно убеждён, что зловредная функциональность в западных продуктах есть, и в час X она обязательно будет активирована. И чем больше западных продуктов мы успеем выкорчевать и заменить отечественными или хотя бы продуктами из дружественных стран, тем менее катастрофичными будут последствия.