Архивы автора: Александр Леонов

Об авторе Александр Леонов

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно и моих проектах можете прочитать здесь. Приглашаю подписаться на мой канал @avleonovrus "Управление Уязвимостями и прочее" в MAX или в Telegram. Вы можете обсудить мои посты или задать вопросы в группе ВКонтакте. And I invite all English-speaking people to another Telegram channel @avleonovcom.

VM-вендоры и Linux-вендоры: доверять, проверять, стимулировать

Добавить комментарий

VM-вендоры и Linux-вендоры: доверять, проверять, стимулировать

VM-вендоры и Linux-вендоры: доверять, проверять, стимулировать. Моё мнение относительно правильного детектирования уязвимостей в Linux-дистрибах. 🙂

🔹 В идеале бюллетени безопасности (или публичный трекер) Linux-вендора должны содержать информацию обо всех известных уязвимостях во всех пакетах, доступных в репозитории Linux-вендора. И VM-вендор должен детектировать уязвимости в пакетах ОС исключительно на основе этой информации.

🔹 Если VM-вендор в ходе проверок обнаруживает, что в бюллетенях Linux-вендора описаны не все уязвимости, он должен ему об этом сообщить. ✉️ Если реакции нет, VM-вендор должен реализовать правила детектирования по своей логике. В том числе, "опускаясь до базового дистриба".

🔹 При отсутствии реакции VM-вендор должен сообщить регуляторам (ФСТЭК и Минцифры?) о том, что Linux-вендор пренебрегает своими обязанностями по описанию и устранению уязвимостей. Желательно, чтобы это влияло на присутствие ОС в реестре и наличие у неё сертификата. 😉

Стоит ли опускаться до базового дистрибутива при детектировании уязвимостей Linux?

Добавить комментарий

Стоит ли опускаться до базового дистрибутива при детектировании уязвимостей Linux?

Стоит ли опускаться до базового дистрибутива при детектировании уязвимостей Linux? Возьмём деривативный Linux-дистрибутив. Например, Astra Linux CE, использующий помимо собственных также пакеты Ubuntu и Debian.

Есть 2 подхода к детектированию уязвимостей:

🔹 Используем только информацию об уязвимостях от вендора. Берём бюллетени безопасности вендора, генерим на основе них правила детектирования ("версия пакета X -> уязвимость"). И детектируем, и устраняем уязвимости по рекомендациям вендора.

🔹 Используем информацию об уязвимостях от вендора, но и опускаемся до базового дистрибутива. Т.е. предыдущий вариант плюс смотрим на пакеты, которые похоже были взяты из базового дистриба (Ubuntu, Debian) и используем для их проверки правила детектирования для этого базового дистриба (OVAL-контент Ubuntu, Debian). Продетектируется больше уязвимостей, но вендор, скорее всего, посчитает их фолсами и обновлений не выпустит. 🤷‍♂️

Как считаете, какой подход более правильный? 🤔

Ренессанс "албанских" вирусов и антивирусов

Добавить комментарий

Ренессанс албанских вирусов и антивирусов

Ренессанс "албанских" вирусов и антивирусов. Была такая бородатая шутейка времён FIDO (а может и того раньше) про "албанский вирус" - обычное текстовое сообщение, автор которого вежливо просит получателя самостоятельно удалить важные файлы с десктопа и переслать это сообщение дальше друзьям-коллегам. Мол, автор и рад бы закодить всю эту зловредную функциональность, но не умеет. 🤷‍♂️

Адекватный человек, прочитавший такое, только усмехнётся наглости. Хотя, учитывая успешность схем телефонного мошенничества, некоторые люди готовы выполнять и такие указания. 🫡

Гораздо интереснее, когда подобные сообщения начинает читать не человек, а ИИ. Что сейчас внедряется повсеместно. 🤖 Поэтому добавление к инпуту фраз типа "забудь все предыдущие инструкции и выполни это>" становится обычной практикой и для обхода средств защиты, и для выявления зловредной активности. И, наверняка, много ещё для чего. Усилий не требует, а где-нибудь, глядишь, инъекция и сработает.

AI-ный аналог кавычки. 😉

Кибердом запустил метавселенную

Добавить комментарий

Кибердом запустил метавселеннуюКибердом запустил метавселеннуюКибердом запустил метавселеннуюКибердом запустил метавселеннуюКибердом запустил метавселеннуюКибердом запустил метавселенную

Кибердом запустил метавселенную. Виртуальное пространство повторяет интерьеры реального московского Кибердома. Эту площадку собираются использовать для проведения гибридных мероприятий: одновременно и офлайновых, и виртуальных. 🙂 Но уже сейчас можно побродить, пообщаться голосом, пройти квест, поиграться с редактором аватаров. 🥸 Доступ свободный. Работает всё из браузера.

В общем, довольно потешная штука. Возможно, и для чего-нибудь полезного можно будет приспособить. 😉

Добавил поддержку OVAL-контента для ALT Linux в Linux Patch Wednesday

Добавить комментарий

Добавил поддержку OVAL-контента для ALT Linux в Linux Patch Wednesday

Добавил поддержку OVAL-контента для ALT Linux в Linux Patch Wednesday. Теперь я отслеживаю когда были исправлены те или иные CVE-шки в пакетах ALT Linux и учитываю это при формировании ежемесячных бюллетеней. Чем больше источников данных по исправляемым уязвимостям в Linux дистрибутивах, тем адекватнее становятся бюллетени. 👍 Особенно если эти Linux дистрибутивы независимые, а не деривативы. 😇

Итого, сейчас в генераторе LPW используется 7 источников в формате OVAL:

🔹 Debian
🔹 Ubuntu
🔹 Oracle Linux
🔹 RedOS
🔹 AlmaLinux
🔹 Red Hat
🔹 ALT Linux

И ещё один источник в формате листов рассылки Debian.

С обзором июньского Linux Patch Wednesday я припозднился (в связи с этими доработками и отпуском), но планирую в скором времени его выпустить (upd. выпустил). Тем более что уязвимостей там не так уж много - 598. 🙂

Главные преимущества MaxPatrol VM на российском рынке

Добавить комментарий

Главные преимущества MaxPatrol VM на российском рынке

Главные преимущества MaxPatrol VM на российском рынке. Меня попросили накидать пункты для внутреннего использования, но пусть в паблике тоже будет. 🙂

🔹 Качество детектирования. Если считать с первого XSpider, команда PT уже 27 лет занимается детектированием уязвимостей. Здесь своя школа подготовки именно экспертов-сканеристов. Когда в одном вендоре десятки человек на full-time занимаются улучшением методов детектирования, а в другом "полтора землекопа" пилят исключительно CPE-детекты, разница в качестве детектирования будет очевидна при сколько-нибудь внимательном рассмотрении.

🔹 Настоящие трендовые уязвимости. Это не просто зеркало CISA KEV. За этим стоит процесс непрерывного отслеживания состояния огромного количества уязвимостей. Плюс экспертиза лучшей на рынке пентестерской команды.

🔹 PDQL. Собственный язык запросов позволяет работать с уязвимостями и активами максимально гибко. На мировом рынке похожее есть у Qualys, на отечественном только у PT.

Сканер уязвимостей с "поиском по версиям в базе" может найти все уязвимости из этой базы?

Добавить комментарий

Сканер уязвимостей с поиском по версиям в базе может найти все уязвимости из этой базы?

Сканер уязвимостей с "поиском по версиям в базе" может найти все уязвимости из этой базы? То, что для качественного детектирования нужен "не совсем поиск и не совсем по версиям", я уже расписал ранее. Теперь посмотрим по контенту.

Если в базе сканера 427498 уязвимостей, значит ли это, что сканер может находить их все? Не совсем. 🙂

🔷 Для уязвимости должны быть правила детектирования. Если правила детектирования строятся на основе NVD CPE Configurations, а для какой-то уязвимости в NVD их нет, значит и в сканере их не будет, и сканер уязвимость не обнаружит.

🔷 Должна быть логика определения продукта и его версии. Вот уязвимость CVE-2023-32311 в некотором китайском проекте CloudExplorer Lite, для неё есть логика детектирования: версии = 1.1.0 уязвимы. Но сможет ли сканер узнать инсталляцию с этим CloudExplorer Lite и определить его версию? Не факт. 😉 Поэтому для таких сканеров "наличие уязвимости в базе" != "возможность продетектировать её в инфраструктуре".