Архив рубрики: Видео

На канале Код ИБ вышла запись ИБшного Движа со мной (от 8 сентября)

На канале Код ИБ вышла запись ИБшного Движа со мной (от 8 сентября). Ссылки на доп. материалы публиковал ранее. В целом формат прикольный, можно подумать над продолжением. 🙂

02:02 Обо мне
03:13 Неприятная, но интересная трансформация Vulnerability Management в 2022 году: глобальные VM-вендоры ушли (на примере Tenable), доверие к глобальным IT-вендорам было подорвано (на примере Microsoft)
11:28 Оценка стабильности вендоров и проект Monreal
14:40 Как патчить продукты нестабильных вендоров? Реализация алгоритма НКЦКИ в проекте Monreal
21:23 Open Source нас спасет? Да, но есть нюансы. "Товарищи, а кто ваш апстрим?"
25:41 Можем ли мы защититься от зловредной функциональности в OpenSource?
29:27 В этом году регуляторы развернулись лицом к проблемам Vulnerability Management-а (Молодцы!)

Записал традиционный расширенный вариант отчета по сентябрьскому Microsoft Patch Tuesday

Записал традиционный расширенный вариант отчета по сентябрьскому Microsoft Patch Tuesday. Кратко и на русском было здесь.

—-

Hello everyone! Let’s take a look at Microsoft’s September Patch Tuesday. This time it is quite compact. There were 63 CVEs released on Patch Tuesday day. If we add the vulnerabilities released between August and September Patch Tuesdays (as usual, they were in Microsoft Edge), the final number is 90. Much less than usual.

00:30 Proof-of-Concept Exploits (CVE-2022-33679, CVE-2022-38007, CVE-2022-34729)
02:29 Exploitation in the wild: CLFS Driver EoP (CVE-2022-37969), Microsoft Edge Security Feature Bypass (CVE-2022-2856, CVE-2022-3075)
03:54 IP packet causes RCE: Windows TCP/IP RCE (CVE-2022-34718), IKE RCE (CVE-2022-34721, CVE-2022-34722)
05:39 Windows DNS Server DoS (CVE-2022-34724)
06:30 Spectre-BHB (CVE-2022-23960)

Video: https://youtu.be/KB6LN5h9VwM
Video2 (for Russia): https://vk.com/video-149273431_456239101
Blogpost: https://avleonov.com/2022/09/24/microsoft-patch-tuesday-september-2022-clfs-driver-eop-ip-packet-causes-rce-windows-dns-server-dos-spectre-bhb/
Full report: https://avleonov.com/vulristics_reports/ms_patch_tuesday_september2022_report_with_comments_ext_img.html

@avleonovcom #microsoft #patchtuesday

Сделал блогпост и видяшку про мой опенсурсный проект Scanvus

Сделал блогпост и видяшку про мой опенсурсный проект Scanvus. Проекту уже год и я этой утилитой практически каждый день пользуюсь. Но вот только сейчас дошли руки нормально попиарить это дело.

Scanvus (Simple Credentialed Authenticated Network VUlnerability Scanner) это сканер уязвимостей для Linux. Задача у него получить список пакетов и версию Linux дистрибутива, сделать запрос к внешнему API для получения уязвимостей (в данный момент только Vulners Linux API поддерживается) и отобразить продетектированные уязвимости в репорте.

Scanvus может показать уязвимости для

- локалхоста
- удаленного хоста по SSH
- docker-образа
- файла c инвентаризацией

Такая простенькая утилита, которая сильно упрощает жизнь при аудитах линуксовой инфраструктуры. Ну и кроме того это проект в рамках которого я могу реализовывать свои идеи по сканированию на уязвимости.

В эпизоде разбираю содержание отчета, как поставить и настроить утилиту, режимы сканирования, ну и размышляю о том можно сделать Scanvus совсем бесплатным (сейчас это интерфейс к платному Vulners Linux API).

Video: https://youtu.be/GOQEqdNBSOY
Video2 (for Russia): https://vk.com/video-149273431_456239100
Blogpost: https://avleonov.com/2022/09/17/scanvus---my-open-source-vulnerability-scanner-for-linux-hosts-and-docker-images/
Github: https://github.com/leonov-av/scanvus

Спасибо тем, кто сегодня пришел! Несмотря на технические проблемы, вроде прошло неплохо

Спасибо тем, кто сегодня пришел! Несмотря на технические проблемы, вроде прошло неплохо. Почти соло-стрим получился. 🙂
Соберу ссылочки на темы, которые я упоминал.

1. Февральская конфа Tenable Security перед тем как они ушли хлопнув дверью https://www.youtube.com/watch?v=V5T3ftcFwdY
2. Пропагандистский отчет Microsoft, конец нейтральности https://avleonov.ru/2022/07/19/28-prochital-svezhij-majkrosoftovskij-report-tot-samy/
3. Мой опенсурсный проект Monreal: оценка стабильности вендоров https://avleonov.ru/2022/07/10/13-pervyj-skriptik-pozvoljaet-po-zapolnennomu-oprosni/
4. Мой опенсурсный проект Monreal: реализация алгоритма НКЦКИ https://avleonov.ru/2022/07/10/14-vtoroj-skriptik-eto-realizatsija-rekomendatelnogo/
5. Мой доклад на CISO Forum про зловредный Open Source https://www.youtube.com/watch?v=LPXg-MEamVA
6. Американские требования по проверке уязвимостей опенсурсных компонент, используемых в продуктах https://avleonov.ru/2022/08/18/75-u-alekseja-lukatskogo-segodnja-byl-interesnyj-post/
7. Конкурс ФСТЭК на систему проверку апдейтов от недружественных вендоров https://avleonov.ru/2022/08/31/92-i-snova-pro-nestabilnyh-zarubezhnyh-itib-vendorov/
8. Вот это не упоминал, но тоже в тему "Девестернизация IT" https://avleonov.ru/2022/07/03/3-rabotaju-nad-obzorom-vulnerability-management-novo/
9. Доклад на PHDays, +- про то же что и сегодня было, но со слайдами https://www.youtube.com/watch?v=XbAxuikX_eE

Видяшечка по мероприятию Код ИБ Безопасная Среда "Управление уязвимостями" успешно вышла

Видяшечка по мероприятию Код ИБ Безопасная Среда "Управление уязвимостями" успешно вышла. На самом деле ещё 2 дня назад, но только сейчас дошли руки посмотреть и разметить. Отдельно выделил фрагменты, где, имхо, * самое огнище 🔥. Приглашаю заценить полностью или частично. Также посмотрите мои впечатления по мероприятию, если не читали.

Часть 1
* 1:05 - 2:32 Управление мисконфигурациями и управление уязвимостями, можно ли делать в рамках одного процесса? Леонов
* 2:32 - 3:45 А уязвимость процесса это часть VM? Какая функциональность входит в VM? Можно ли отталкиваться от функциональности САЗ? Родыгин, Леонов
* 3:45 - 6:15 А есть ли устоявшаяся терминология в VM? Пример: что такое Compliance Scan? Assessment и Mitigation plan. Ермаков
6:20 - 6:38 Smart Install в Cisco это уязвимость или мисконфигруация? Хлапов
6:42 - 7:34 Vulnerability, Weakness и Misconfiguration. О доверии экспертному мнению. Кузнецов
7:53 - 9:44 Уровни уязвимостей. Мисконфигурации это уязвимости. Волчков
* 10:12 - 14:53 А всякая ли небезопасная настройка приводит к уязвимости? На примере CIS Benchmarks. Нам нужны более лучшие стандарты. Кузнецов, Волчков, Леонов, Ермаков
14:55 - 15:44 Реализуемость уязвимости для конкретной системы. Родыгин
* 16:15 - 22:37 Трендовые эксплуатируемые уязвимости. Кузнецов, Леонов, Хлапов, Ермаков, Родыгин
22:50 - 26:27 Стандарты и требования по безопасной конфигурации: регуляторные и корпоративные. Волчков
* 26:27 - 27:55 Требования по управлению уязвимостями. Методичка по управлению патчами и уязвимостями для MaxPatrol на 300 страниц. Кузнецов
28:00 - 29:30 Стоит ли вообще устранять уязвимости? Родыгин, Волчков
29:30 - 52:58 Стоит ли устранять все уязвимости? Кузнецов, Леонов, Ермаков, Волчков, Хлапов, Родыгин
* -> 29:30 - 30:33 Не стоит устранять все, фокусироваться на детекте и реагированием на действия злоумышленника. Кузнецов
* -> 30:41 - 36:16 Нужно исправлять все уязвимости, если вы доверяете вендору. Леонов. Оппонируют Ермаков, Кузнецов, Родыгин
-> 36:16 - 36:55 Уязвимости могут становиться нереализуемыми из-за изменения архитектуры. Родыгин, Кузнецов
-> 36:55 - 38:41 Нужно ли оценивать реализуемость? Родыгин - да, Кузнецов - нет
-> 38:41 - 39:47 Все патчить невозможно. Хлапов, Родыгин
* -> 39:47 - 41:15 А почему нам больно патчиться? Леонов
-> 41:30 - 42:41 Пример кейса, когда патчиться не вариант. Кузнецов
-> 42:41 - 44:06 Переконфигурирование как способ ремедиации. Волчков
-> 44:06 - 47:07 Архитектурные изменения лучше патчинга. Родыгин. Оппонирует Кузнецов
* -> 47:07 - 48:19 Комментируем результаты опроса. Леонов, Родыгин, Волчков
-> 48:50 - 50:51 Автоматическая приоритизация на основе сетевых сегментов и ассетов. Хлапов, Кузнецов
* -> 50:51 - 52:58 Патчить нужно всё, потому что хорошая качественная сетевая сегментов это иллюзия. Ермаков

Часть 2 таймкодов Код ИБ Безопасная Среда "Управление уязвимостями" (в один пост не помещалось)

Часть 2 таймкодов Код ИБ Безопасная Среда "Управление уязвимостями" (в один пост не помещалось)

52:58 - 1:04:42 Взаимодействие ИБ и ИТ в части управления уязвимостями. Волчков, Родыгин, Кузнецов, Хлапов
1:04:54 - 1:07:35 Автоматизация и централизованный менеджмент конфигураций. Волчков, Ермаков, Кузнецов
* 1:07:35 - 1:13:34 Инвентаризация ассетов и инвентаризация софтов как основа для Vulnerability и Compliance Management-а. Ермаков, Волчков, Кузнецов, Хлапов, Леонов, Родыгин
* 1:13:58 - 1:17:05 Конкретные решения на рынке для VM и CM. Леонов, Кузнецов, Хлапов
1:17:47 - 1:20:16 Решение SpaceBIT для CM. Волчков
1:21:06 - 1:33:59 Вопросы
-> 1:21:06 - 1:22:40 Как считать вероятность эксплуатации уязвимости? Кузнецов
* -> 1:23:20 - 1:24:44 Патчинг "ушедших" вендоров. Алгоритм НКЦКИ. Леонов, Родыгин, Кузнецов
-> 1:24:44 - 1:28:24 Внедрение CIS стандарта. Хлапов, Ермаков, Кузнецов, Волчков
-> 1:28:24 - 1:29:30 Кто должен заниматься безопасной настройкой. Кузнецов
* -> 1:29:30 - 1:33:59 Насколько можно доверять аудиту Windows хостов по аналогии с аудитом Linux хостов? Ограничения детектов сканеров. Леонов, Кузнецов, Родыгин
1:33:59 Завершающие слова.

Microsoft продолжают чудачить

Microsoft продолжают чудачить. Принесли новую уязвимость. Проигрывание музыкального клипа Janet Jackson - Rhythm Nation (1989) ломает некоторые жесткие диски в некоторых ноутбуках ~ 2005-го года выпуска. Причем не только если клип проигрывается на самом устройстве, но и просто на соседнем устройстве. Есть в этом клипе какие-то частоты, которые с чем-то там в жестком диске резонируют. 😄 Звучит как лютый бред, но вот CVE-шка есть, CVE-2022-38392:

"A certain 5400 RPM OEM hard drive, as shipped with laptop PCs in approximately 2005, allows physically proximate attackers to cause a denial of service (device malfunction and system crash) via a resonant-frequency attack with the audio signal from the Rhythm Nation music video."

Заведена по посту в майкрософтовском блоге. Пишут, что неназванный "major computer manufacturer" зафиксил уязвимость добавлением кастомного аудио-фильтра:

"The manufacturer worked around the problem by adding a custom filter in the audio pipeline that detected and removed the offending frequencies during audio playback."

На самом деле демонстирует отсутствие какого-либо входного барьера при заведении CVE. CVE Numbering Authorities могут завести практически что угодно, с каким-угодно обоснованием, вплоть до совсем анекдотических.