Запись MEPhI CTF Meetup 10.02уже доступна. Для удобства расставил таймстемпики.
48:12 Welcome-слово. Евгений Волошин, директор по стратегии, BI ZONE 48:50 Открытие MEPhI CTF Meetup. Павел Блинников, капитан CTF-команды, SPRUSH; ENZO, community manager, BI ZONE —- 51:38 Малварные техники Windows в Linux. Илья Титов, младший специалист TI, BI ZONE 2:16:24 ZKP: кому и зачем мы что-то доказываем. Александр Соколов, независимый исследователь 3:04:27 Пентест через призму ресерча. Данила Сащенко, старший специалист по тестированию на проникновение, BI ZONE 3:42:16 Аутопсия бинарных CTF-тасков. Георгий Кигурадзе, CTF-игрок на пенсии 4:46:33 Интересные баги из жизни пентестера. Денис Погонин, старший специалист по тестированию на проникновение, BI ZONE
Контента много, пока только урывками смотрел. Георгий Кигурадзе очень крут, интересно рассказывает и кажется вообще без понтов. 👍 Вроде раньше не пересекались, постараюсь теперь отслеживать выступления. 🙂
Некоторые заметки по итогам митапа Яндекс-а. Зафиксирую, чтобы не забылось. Для тех, кто не смотрел, полное видео уже доступно.
1. Прикольная тема из Яндекс Финтех про "одна команда - один Golden Image":
"У нас большой стек. У нас сервисы пишутся и на Kotlin, и на плюсах, и для разных языков мы используем разные Golden Image-ы. Но стараемся, чтобы внутри команды, которая пишет на одном фреймворке и на одном языке сформировался какой-то единый образ, который будет использоваться внутри этой команды. У нас есть набор этих золотых образов, которые используются конкретными командами. Все контейнеры, которые получаются мы пушим в наш registry. Вопрос сколько их сложный, т.к. у нас микросервисная архитектура и у нас очень много микросервисов."
➡️ Вопрос: Используете ли вы distroless образы в Банке, да и в Яндексе в целом, к примеру Google distroless, чтобы минимизировать поверхность атаки и уменьшить размер самих образов? Ответ: нет, но очень хотим к этому прийти ➡️ Вопрос: Если не секрет, что у вас за базовый образ? Аstra Linux? 😉 Ответ: отвечу, что такой же как и во всем Яндексе )
Вполне возможно это секрет полишинеля на основе какого Linux-дистрибутива базовые образы в Яндексе делают, но я не знаю. Если кто знает - шепните в личку, любопытно. 😉
2. То, что Яндекс Финтеху комфортно в Яндекс Облаке это понятное дело. Но будет ли так же комфортно другим банкам и финтехам?
➡️Вопрос: Возвращаясь к сертификации банка в облаке по стандартам PCI DSS и ГОСТам. Я смогу запустить такой банк в я.облаке и получить содействие при прохождении аудита со стороны Команды облака или это единичный случай для «родственной» компании? Ответ: Можно это получить как отдельную услугу в Облаке. ➡️ Вопрос: прям услуга Облака или рекомендованная внешняя команда? Ответ: В Облаке есть архитекторы и premium support.
3. В Wildberries и Яндекс Финтех для организации привилегированного доступа к Linux-инфраструктуре используют Teleport. Почему именно его? Как минимум половина доклада команды Wildberries была про обоснование этого выбора. Очень подробно и убедительно. Единственное жаль, что тема в основном крутилась про то как безопасно дать доступ до нужных серверов и дать/не дать root-а, но не про хитрое ограничение прав пользователя на хосте. А это у Wildberries есть, т.к. Teleport у них сильно допиленный:
"Команда переписала админку Teleport-а полностью с нуля. Написала свой PAM-модуль, который учитывает роли, которые передаются телепортом при аутентификации и на основе этого настраивает sudo. Но мы сегодня про это подробно не рассказывали, потому что оно опять же не поместилось."
Про sudo тема интересная, будем ждать следующего раза. 🙂
Вынужденно смотрю много детских мультов, в частности "Маленькое королевство Бена и Холли". Понравилась одна серия про принятие риска ТОПом. Распространенный финт в Управлении Уязвимостями и в ИБ вообще. Посмотрите, всего 10 минут.
Серия называется Банти 2. Сюжет следующий. Мистер Эльф строит лодку Банти 2. Почему 2? Потому что первую лодку Банти съела рыба Большой-злой-Барри. Лодка идеально подходит для круиза по тропическим морям. Но как защитить её от Большого-злого-Барри? У Мистера Эльфа есть решение - "Банти 2 никогда не спустится на воду".
Защищаем уязвимый актив через ограничение (сетевого) доступа. Как это часто бывает с компенсационными мерами, выглядит это довольно по-дурацки, но задачу решает. 🙂 Почему не рассмотрели внедрение средств обнаружения и защиты история умалчивает. Можно предположить, что на это не было бюджета. Поэтому вот так.
Король Чертополох заявляет, что это нелепо и у него есть идея. Он заявляет Мистеру Эльфу:
- Как король я приказываю тебе спустить Банти 2 на воду и отправиться в тропический круиз. - Но как же Большой-злой-Барри? - Не бойся, если Барри съест Банти 2 я возьму ответственность на себя - Что это значит? - Будешь винить во всем меня - Но, но… - Чудно, тогда решено, мы едем в отпуск! - Лаадно…
Т.е. ТОП пушит принятие решения по небезопасной эксплуатации актива, владельцем которого он не является. Владелец актива прогибается, при этом у него на руках нет ничего кроме расплывчатой устной договоренности.
Далее Банти 2 успешно уплывает от Большого-злого-Барри, но в итоге её съедает Гигантский Осьминог. Происходит диалог:
- Ааа! Моя лодка съедена, я же говорил вам! - Нет, ты говорил, что её съест Большой-злой-Барри, но её съел Гигантский Осьминог. - Это катастрофа… - Не волнуйся, я обещал взять ответственность на себя и я возьму. - И? - И всё, я взял ответственность на себя.
Ущерб нанесен, никакого возмещения с ТОПа истребовать теперь невозможно. Крайним оказывается владелец актива. Чтобы было совсем по классике по итогам должно быть что-то от ТОПа: "Когда я говорил, что принимаю риск, я не понимал всей опасности, ведь не я же профессионал в этом, а вы! Это ваш актив! Зачем вы меня слушали? Это ваша вина!"Крыть такое особенно нечем. 🙂
Мораль для реальной жизни?
1. Не ведитесь на "я принимаю риск", "ответственность на мне". 2. Моделируйте что будет в случае реализации риска. Возможный ущерб лучше переводить в деньги. 3. Аккуратно фиксируйте договоренности, слова к делу не пришьешь. Предложение написать заявление по собственному с открытой датой на случай реализации риска обычно заставляет человека задуматься, а стоит ли упорствовать. 4. Подумайте что вы будете делать, если завтра этот ТОП сам уволится, а наследовать этот риск никто не захочет, не окажитесь ли вы при этом крайним. 5. Информируйте о происходящем CEO/Board. Возможно они вообще не в курсе и их точка зрения будет гораздо ближе к вашей, чем вы думаете. 6. Старайтесь не работать с чудаками.
Зарелизил на неделе утилитку imgtov, с помощью которой свои видяшки собираю, как и обещал ранее. Последнюю видяшку собрал аж в 8k качестве, вроде норм на Youtube и VK залилось.
Название это абберевиатура от "images tovideo". Кроме того "tov" это "хорошо" на иврите ("טוב"). И это хорошо. 🙂
Сделал максимально примитивно. В input.txt кладем таймстемпы. Исходные файлы с картинками кладем в директорию images. В корень кладем input.mp3. Запускаем imgtov.py. Получаем video.mp4, радуемся. Подробнее читайте в описании проекта на гите.
Что Наталья Касперская говорила на SOC форуме про кибервойну и децифровизацию (1/2).
На прошлой неделе вышло несколько довольно резонансных новостных статей по мотивам выступления Натальи Ивановны Касперской на SOC форуме. Пока видео с выступления не было, комментировать было сложновато. Но теперь видео есть, каждый может посмотреть пленарку и сделать выводы. По мне как и в прошлом случае с "отключением смартфонов" прямая речь оказалась более чем адекватной, а журналисты опять всё передернули и переврали. Не поленился выписать, что конкретно было сказано.
Про кибервойну
[Вступление про 9 месяцев кибервойны] [Игорь Ляпунов: технологический суверенитет, импортозамещение и технологический рывок как-то не сочетаются.]
"Я начну все-таки с кибервойны. Здесь прозвучал термин "кибервойна", "идет кибервойна". Я не согласна, что идет кибервойна. Главная недружественная страна кибервойну против России не разворачивала, потому что если бы она её развернула у нас бы всё уже выключено было. У нас бы все ключевые элементы инфраструктуры просто бы перестали работать. Товарищи, давайте не будем строить себе иллюзий. Базовые станции мобильных операторов, основные системы управления технологическими процессами, контроллеры на ключевых наших сетях, это все импортное у нас. Большинство из них с удаленным управлением. Выключить не представляет никакой сложности, никаких атак не нужно. Атаки делают […] переобувшиеся на политическую борьбу хакеры-самоучки. Профессионалы, профессиональные спецслужбы, конечно, действовали бы по-другому и гораздо более жестко. И мы, конечно, не готовы к этому.
Обсуждать киберзащиту в отрыве от IT-систем бессмысленно. Что бы мы ни делали с наложенными средствами кибербезопасности, как бы мы ни прыгали с нашими фаерволами или чем угодно, выключат нам всю инфраструктуру и всё. Для обеспечения кибербезопасности нужно говорить об информационных технологиях в целом.
[…] Цифровой суверенитет состоит из двух компонент: электронного и информационного. С этого и надо начинать.
Нужно говорить про электронный, инфраструктурный суверенитет. Это значит, что нам нужно заменять все по цепочке. Будет торможение? Ну да. По сути нам нужно у едущего поезда заменить все части, включая колесную базу и двигатель. Сохранить скорость это другая задача, но по крайней мере наш поезд не должен сойти с рельс. Это серьезный вызов. Как это делать второй вопрос, об этом поговорим.
С другой стороны на нас сверху сыпятся "немецкие листовки", всякие телеграмм-каналы "всёпропальщики", которые предсказывают скорую гибель всему. И от этого нужно абстрагироваться, отключать, с этим нужно бороться. Это вторая компонента, о которой нельзя забывать. Она не является в прямом смысле кибербезопасностью, но мы тоже должны с этим работать. У нас Роскомнадзор в основном блокирует эти каналы по возможности. Но они все равно просачиваются во-первых. А во вторых здесь ещё вопрос воспитания. Должно быть какое-то информационное воспитание: этому верьте, этому не верьте, это десять раз просчитайте.".
На сайте SOC форума про записи выступлений пока ни слова, но они уже есть на ютуб-канале Ростелекома. К сожалению, большими кусками по дням/залам и без каких-либо дополнительных описаний и таймстемпов. Поэтому чтобы что-то найти нужно смотреть в программу мероприятия, а потом уже как-то искать в самой видяшке. Но и на том большое спасибо! Есть что заценить на выходных. 🙂
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
