Архив метки: профдеформация

Русалочка и неудачная закупка VM-решения

Добавить комментарий

Русалочка и неудачная закупка VM-решения

Русалочка и неудачная закупка VM-решения. Ходили вчера в театр на Русалочку. По интерпретации, мягко говоря, не Дисней. 🫣 Действо максимально приближено к оригинальному тексту Андерсена. Ну, не без режиссёрских находок, конечно. Ведьма почему-то везде ходит с раком-отшельником (в прошлом тоже принцем 🤨) и делится с ним подробностями своих злодейских гешефтов. А он на это только офигивает и жалобно мычит. Жутковатая фигня. В остальном же всё близко к тексту. Финал трагический. 🤷‍♂️

Так вот, смотрел я эту постановку и думал, что Русалочка там похожа на VM-щика, который крайне неудачно закупил решение у VM-вендора (ведьмы). Спешил, повёлся на маркетинг. В итоге приобрёл пепяку, которой нестерпимо больно пользоваться. А функциональности её недостаточно для решения бизнес-задач. Ещё и вынужден помалкивать - бюджет-то слил и получается сам дурак, что недостаточно тестил решение перед закупкой. Приходится теперь превозмогать и плясать на том, что есть. 🕺

Мастер-класс по росписи ёлочных игрушек прошёл успешно

Добавить комментарий

Мастер-класс по росписи ёлочных игрушек прошёл успешно
Мастер-класс по росписи ёлочных игрушек прошёл успешноМастер-класс по росписи ёлочных игрушек прошёл успешноМастер-класс по росписи ёлочных игрушек прошёл успешно

Мастер-класс по росписи ёлочных игрушек прошёл успешно. 👍 Сказали, что можно рисовать всё что угодно. 😏 Нарисовал Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086). 😅

Сидим в кафе за столиком с прикольным видом на рыбок

Добавить комментарий

Сидим в кафе за столиком с прикольным видом на рыбок
Сидим в кафе за столиком с прикольным видом на рыбокСидим в кафе за столиком с прикольным видом на рыбокСидим в кафе за столиком с прикольным видом на рыбок

Сидим в кафе за столиком с прикольным видом на рыбок. Смотрю на них и думаю: вот и в Vulnerability Management-е также. Масса мелких уязвимостей-рыбёшек. Ты с ними возишься, исправляешь по мере сил. А потом в произвольный момент флегматично из-за поворота выплывает супер-мега-критикал акула. 😱 Только в VM-е прикольнее, т.к. маленькая рыбка мгновенно в акулу не превратится, а с уязвимостями такое сплошь и рядом случается. 😏

Есть бородатый анекдот, когда студентам разных специальностей показывают кирпич и спрашивают о чём каждый из них в этот момент думает. Архитектор о том, какой дом можно построить из таких кирпичей, математик о свойствах параллелепипеда и т.д. А курсант военного ВУЗа думает о женщинах. Почему? А он всегда о них думает. 🤷‍♂️😉

Три богатыря и Bug Bounty

Добавить комментарий

Три богатыря и Bug Bounty

Три богатыря и Bug Bounty. Сходили в кино на анимационный фильм "Три богатыря. Ни дня без подвига". Три короткие истории. Первая, думаю, ИБшникам зайдёт. 😉

Князь с подачи коня Юлия внедряет во дворце систему безопасности и объявляет багбаунти программу для выявления уязвимостей в ней: кто проникнет во дворец и выполнит реализацию недопустимого события (кражу короны), тот получит 100 сладких пряников.

В результате недопустимое событие реализуют, но за наградой никто не обращается. 😱🫣

Пришлось Алёше Поповичу проводить ресёрч как же злоумышленнику получилось обойти средства защиты. 😏

В итоге оказалось, что был реализован совсем не тот вектор, от которого защищались. 🤷‍♂️ Как это и бывает.

Мораль? 🙂 Тщательнее оговаривайте условия Bug Bounty программы. Она не обязательно должна быть публичной, зачастую приватная программа с ограниченным количеством проверенных участников (или даже обычный пентест) получается эффективнее и безопаснее. 😉

Колядка про Vulnerability Management "Пропатчите уязвимость"

Добавить комментарий

Колядка про Vulnerability Management "Пропатчите уязвимость". 🙂 Наигрывал сегодня разные новогодние и рождественские песенки, и мне пришла в голову идея, что "We Wish You a Merry Christmas" с требованием инжирного пудинга отличное описывает процесс пушинга исправления критичных уязвимостей.

Что, в общем, и накидал по-быстрому. Подозреваю, что это первая песня, которая упоминает "НКЦКИ". 😅

Поздравляю всех с наступающим Новым 2024 Годом! Всем здоровья, счастья и интересных задачек! Ура! 🎄🎉

ИБшники радостно перекидывают друг другу pdf-ку с новогодним поздравлением якобы от НКЦКИ, оформленным под бюллетень безопасности

Добавить комментарий

ИБшники радостно перекидывают друг другу pdf-ку с новогодним поздравлением якобы от НКЦКИ, оформленным под бюллетень безопасностиИБшники радостно перекидывают друг другу pdf-ку с новогодним поздравлением якобы от НКЦКИ, оформленным под бюллетень безопасностиИБшники радостно перекидывают друг другу pdf-ку с новогодним поздравлением якобы от НКЦКИ, оформленным под бюллетень безопасности

ИБшники радостно перекидывают друг другу pdf-ку с новогодним поздравлением якобы от НКЦКИ, оформленным под бюллетень безопасности. Хотя на safe-surf такого бюллетеня с поздравлением нет. 🧐 Не буду утверждать, что конкретно эта pdf-ка зловредная. Но выглядит как идеальная тема для атаки на российских ИБшников, пока они на расслабоне. ИБшник, бди!

Upd. По поводу данного конкретного кейса пишут, что pdf-ка прилетела в почтовой рассылке с правильного адреса, а safe-surf выкладывает всё с задержкой. 😉 Так что панику не разводим, но как возможный сценарий атаки учитываем.

"Аленький цветочек" и приоритизация уязвимостей в условиях неполной информации

Добавить комментарий

Аленький цветочек и приоритизация уязвимостей в условиях неполной информации

"Аленький цветочек" и приоритизация уязвимостей в условиях неполной информации. Когда нашего сомнительного купца просят привести цветочек "краше не было на белом свете" он отвечает ровно так, как стоило бы отвечать Vulnerability Management специалисту на просьбу найти самую критичную уязвимость в инфраструктуре:

"— Ну, задала ты мне работу потяжеле сестриных: коли знаешь, что искать, то как не сыскать, а как найти то, чего сам не знаешь? Аленький цветочек не хитро найти, да как же узнать мне, что краше его нет на белом свете? Буду стараться, а на гостинце не взыщи."

Какую-то критичную уязвимость выделим, а вот гарантировать, что эта уязвимость будет наиболее критичной из существующих - тут извините. Способы детектирования и наши знания о характеристиках уязвимостей существенно ограничены. Не взыщите. И занимайтесь лучше безусловным патчингом. 😉