Чек-лист по внедрению DLP (Data Loss Prevention)

Внедрение систем Data Loss Prevention (DLP) — важный шаг для защиты компании от утечек информации. DLP-системы предназначены для предотвращения несанкционированного доступа и передачи данных, обеспечивая контроль и безопасность информации.

⏺В статье я расскажу о ключевых этапах внедрения DLP-системы, представив подробный чек-лист, начиная с подготовки и заканчивая финальными тестированиями и настройками. Мы рассмотрим важные вопросы, которые следует учитывать на каждом этапе, чтобы процесс внедрения прошел эффективно, и обсудим распространенные ошибки, а также способы их предотвращения.

ZeroDay | #Статья

От RFC до RCE, или как неожиданная особенность библиотечного метода стала причиной уязвимости

Недавно была обнаружена интересная уязвимость, связанная с внедрением системных команд (OS command injection) в облачной инфраструктуре. Эта уязвимость оказалась результатом использования сторонней библиотеки, поддерживающей специфичный стандарт RFC, что привело к неожиданным последствиям.

⏺В этой статье я расскажу о процессе обнаружения уязвимости в исходном коде сервисов, а также о формировании полезной нагрузки и её эксплуатации. Во второй части статьи я поделюсь лучшими практиками защищенной разработки, которые помогут предотвратить такие уязвимости в будущем.

ZeroDay | #Статья

🆘 Срочные новости: В телеграм найдена уязвимость

В Telegram найден эксплойт, с помощью которого можно взломать смартфоны на Android.

Жертва получает видео, которое предлагают открыть через сторонний плеер — как только вы соглашаетесь, смартфон начинает загрузку вирусов.

В ближайшее время ожидаем подробностей, и просим вас не открывать медиафайлы от незнакомых

ZeroDay | #Новость

Trivy - инструмент для выявления уязвимостей в файлах и образах.

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Инструмент выявляет уязвимости в образах контейнеров и конфигурационных файлах Docker, Kubernetes и Terraform. При этом утилита поддерживает разные форматы: Buildah, Podman, img, Kaniko. Отчеты по сканированию содержат не только описания потенциальных слабых мест и уровней критичности, но и рекомендуемые обновления. Результаты доступны в ряде поддерживаемых форматов: XML, SARIF, HTML и JSON.

⏺Также Trivy Operator может автоматизировать сканирование кластера, например, запускать проверку безопасности при добавлении пода. Trivy хвалят за простоту интеграции в CI/CD-пайплайн и настройку автоматических функций.

ZeroDay | #Инструмент

Реподжекинг

👋 Приветствую в мире цифровой безопасности!

Поговорим о таком виде атаки, как кража репозитория или же реподжекинг.

⏺ Реподжекинг или захват репозитория/перехват контроля над репозиторием — это особый вид атак на цепочки поставок. Этот тип атаки привлекает внимание из-за своего потенциального влияния на программное обеспечение с открытым исходным кодом. Если вы получаете все свои программные зависимости из менеджера пакетов — например, npm или PyPI, то эта атака не может на вас повлиять. Однако если вы берёте зависимости напрямую с GitHub, нужно быть более осторожными, но есть простое решение — зафиксировать определённый ID коммита.

⏺В случае реподжекинга, злоумышленник заменяет доверенный репозиторий на вредоносный. Например, если репозиторий kubernetes/kubernetes будет заменён на вредоносное ПО, многие разработчики могут не заметить подмены и загрузить вредоносный код на свои системы. Самым простым способом атаки было бы размещение вредоносного коммита кем-то с правами на запись.

ZeroDay | #вирус #атака

Защита от реподжекинга

👋 Приветствую в мире цифровой безопасности!

Продолжим обсуждать реподжекинг и разберем, как правильно защитить систему от этого типа атаки.

⏺Установка фиксации ID коммита в GitHub Actions: Если ваша система сборки загружает ПО непосредственно с GitHub, риск взлома репозитория становится реальной проблемой. Использование ID коммита помогает избежать взлома, так как хэши SHA-1 практически невозможно подделать. Для безопасности в GitHub Actions зафиксируйте ID коммита:

steps:
    - uses: actions/javascript-action@4be183afbd08ddadedcf09f17e8e112326894107

Это гарантирует загрузку кода с конкретного коммита, предотвращая атаки через подмену кода.

⏺Проверка идентификатора репозитория с API GitHub: Используйте API GitHub для проверки, был ли репозиторий переименован или заменён.

Пример кода на Python:

from github import Github

def check_repo_id(full_name, id):
    gh = Github()
    repo = gh.get_repo(full_name)
    if repo.id != id:
        raise Exception(f'repo ID has changed to {repo.id}')
    if repo.full_name != full_name:
        raise Exception(f'repo has been renamed to {repo.full_name}')

check_repo_id("github/cmark-gfm", 75244322)

Эта функция проверяет идентификатор репозитория и выбрасывает исключение, если он изменился.

⏺Использование менеджеров пакетов для защиты: Менеджеры пакетов создают дополнительный уровень защиты от взлома репозиториев. Примеры: npm (JavaScript), PyPI (Python), crates.io (Rust). Всегда проверяйте источник пакетов и избегайте использования последней версии напрямую с GitHub, если это возможно.

ZeroDay | #вирус #атака

😒Подборка каналов для каждого безопасника и хакера

Арсенал Безопасника - Проект по кибербезопасности - сборник лучших инструментов и утилит по OSINT, хакингу и деанону

Бункер Хакера - Сборник инструментов, книг, справочников, гайды и ресурсы по информационной безопасности, анонимности и разведки.

Airgeddon: многофункциональный инструмент для аудита безопасности Wi-Fi сетей

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Airgeddon - это мощное универсальное средство, предназначенное для аудита безопасности беспроводных сетей. Инструмент поддерживает различные функции, включая сканирование сетей на наличие уязвимостей, атаки на пароли WPS и WPA/WPA2-PSK, перехват трафика и множество других операций, необходимых для тестирования на проникновение. Airgeddon легко устанавливается и запускается из репозитория на GitHub, что делает его доступным для широкого круга пользователей, занимающихся обеспечением информационной безопасности беспроводных сетей.

⏺Этот инструмент особенно полезен для специалистов по безопасности, которые занимаются оценкой и укреплением защиты Wi-Fi сетей. Airgeddon предоставляет возможность не только обнаруживать уязвимости, но и проводить целенаправленные тесты на проникновение для идентификации потенциальных уязвимых точек в сетевой инфраструктуре.

ZeroDay | #Инструмент

Использование ModSecurity в Nginx — практика защиты проекта на WordPress

Использование ModSecurity в Nginx для защиты проекта на WordPress представляет собой эффективный подход к обеспечению безопасности веб-приложений. ModSecurity является одним из ведущих в мире веб-файрволов (WAF), способным предотвращать широкий спектр атак, таких как SQL-инъекции, XSS и CSRF. Этот инструмент интегрируется в серверы Apache, Nginx и IIS, обеспечивая надежную защиту на уровне приложения.

⏺В статье я подробно рассмотрю несколько ключевых аспектов использования ModSecurity для защиты WordPress. Мы начнем с методов отключения ModSecurity в административной части сайта, настройки безопасных параметров в php.ini для предотвращения уязвимостей, а также рассмотрим специфические меры защиты для таких популярных компонентов как PHPMyAdmin, RoundCube и WordPress.

ZeroDay | #Статья

Глобальный сбой систем Windows

👋 Приветствую в мире цифровой безопасности!

По всему миру наблюдается сбой в работе устройств с системой Windows.

⏺ Сбой вызван ошибкой в обновлении от поставщика решений информационной безопасности CrowdStrike.

⏺Пользователи жалуются на появление «синего экрана смерти» на устройствах с Windows 10. Falcon Sensor, система безопасности от CrowdStrike, блокирующая кибератаки, стала причиной массовых сбоев.

⏺Сбой носит глобальный характер, затронув пользователей из США, Великобритании и других стран.

⏺Прекращено вещание британского телеканала Sky News, нарушена работа авиакомпаний Delta, United и American Airlines. В Великобритании пострадали железнодорожные службы, а в Израиле — больницы, банки и системы экстренной помощи.

⏺Причиной сбоя стало изменение конфигурации в части внутренних рабочих нагрузок Azure, платформы облачных вычислений Microsoft. Это вызвало перебои между ресурсами хранения и вычислений, что привело к сбоям подключения и затронуло службы Microsoft 365. Microsoft признала проблему и работает над ее решением.

⏺В России сбои в работе Windows не зафиксированы.

ZeroDay | #разное

Попытки отключить глобальный интернет

👋 Приветствую в мире цифровой безопасности!

Расскажу о том, какие были попытки отключить или помешать работе глобальной сети.

⏺Утром 8 февраля 2007 года произошла значительная DDoS-атака на два из тринадцати рутовых серверов доменных имен (DNS).

⏺Серверы G и L не смогли справиться с резким увеличением трафика, что привело к тому, что около 90% стандартных DNS-запросов остались без ответа.

⏺Атака стала напоминанием о событиях 2002 года, когда подобная атака затронула 13 рутовых DNS-серверов, вызвав проблемы у восьми из них. Эти инциденты подчеркнули уязвимость и важность безопасности рутовых DNS-серверов, которые играют ключевую роль в функционировании интернета.

⏺Интересно отметить, что рутовые DNS-серверы не находятся под единым управлением компании или организации. Администрирование серверов осуществляется организацией по назначению доменных имен ICANN и Министерством обороны США.

ZeroDay | #разное

Неизвестные «окирпичили» 600 000 маршрутизаторов с помощью малвари

👋 Приветствую в мире цифровой безопасности!

Давай расскажу о массовой атаке на маршрутизаторы с использованием малвари Chalubo.

⏺В октябре 2023 года пользователи провайдера Windstream столкнулись с массовым выходом из строя своих маршрутизаторов.

⏺Атака была осуществлена с использованием малвари Chalubo, которая затронула более 600 000 устройств.

⏺Среди пострадавших устройств были модели ActionTec T3200s, ActionTec T3260s и Sagemcom F5380.

⏺Малварь Chalubo использовала шифрование ChaCha20 для связи с управляющими серверами, а также могла отправлять команды через Lua-скрипты для эксфильтрации данных и внедрения дополнительных нагрузок.

ZeroDay | #разное

The Sleuth Kit и Autopsy: Инструменты для судебной компьютерной экспертизы

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺The Sleuth Kit и Autopsy — это инструменты, предназначенные для проведения судебной компьютерной экспертизы на платформах Unix и Windows. Эти инструменты предоставляют широкий набор возможностей для анализа цифровых данных. The Sleuth Kit включает различные утилиты, которые помогают в анализе образов дисков, проведении глубокой проверки файловых систем и выполнении других задач, связанных с цифровой криминалистикой.

⏺Autopsy, в свою очередь, предоставляет удобный графический интерфейс для работы с The Sleuth Kit, что делает процесс анализа более интуитивным и доступным. С их помощью можно выявлять и исследовать артефакты, указывать на следы взлома, восстанавливать удаленные файлы и проводить комплексный анализ данных, находящихся на исследуемом устройстве.

ZeroDay | #Инструмент

WIPS: что это?

👋 Приветствую в мире цифровой безопасности!

Расскажу о системе защиты от вторжений WIPS.

⏺Беспроводные сети подвержены атакам из-за широковещательной природы радиоволн, которые не ограничиваются стенами зданий. Для обеспечения безопасности многие организации разворачивают беспроводные системы предотвращения вторжений (WIPS). Эти системы мониторят беспроводную активность, определяют и предотвращают попытки внутренних и внешних сетевых вторжений, работая на канальном и физическом уровнях модели OSI.

⏺WIPS помогают обнаруживать и защищать сети от несанкционированных точек доступа, атак на беспроводные сети и атак типа "отказ в обслуживании". С распространением беспроводных сетей атаки становятся более изощренными, что требует развертывания WIPS для контроля политики запрета Wi-Fi, обнаружения и предотвращения атак или проникновения в сеть.

ZeroDay | #вирус #атака

Разбираемся с MavenGate. Настолько ли он страшен на самом деле

MavenGate — это атака на цепочку поставок, которая позволяет злоумышленникам выкупить домен разработчика библиотеки и внедрить в неё вредоносный код. Разработчики, не проверяя содержимое, могут случайно интегрировать заражённую библиотеку в свои проекты, что представляет серьёзную угрозу для безопасности приложений.

⏺В этой статье я расскажу о реальной опасности MavenGate, как эта атака может повлиять на 18% всех зависимостей в публичных репозиториях, таких как MavenCentral, jCenter и jitpack, и насколько open-source проекты мобильных приложений Android подвержены этой атаке. Мы также рассмотрим, сколько библиотек уже могут быть заражены.

ZeroDay | #Статья

Модели WIPS

👋 Приветствую в мире цифровой безопасности!

Разберем различные модели WIPS.

⏺Оверлейная модель: Создает WIPS-сеть над существующей WLAN, используя специальные сенсоры (AMs), которые внедряются как точки доступа. Эти сенсоры пассивно контролируют среду на наличие атак или другой нежелательной активности, увеличивая инфраструктуру WLAN.

⏺Интегрированная модель: Использует одну консоль управления для WLAN и WIPS. В этой модели организации усиливают WLAN сеть устройствами AP/AM, которые выполняют функции подключения клиентов и анализа трафика для выявления атак. Модель менее дорогостоящая, так как одно оборудование используется для обслуживания пользователей и мониторинга сетей.

⏺Гибридная модель: Комбинирует преимущества оверлейной и интегрированной моделей. Компании могут использовать APs и сенсоры (AMs) для увеличения защиты, создавая гибкую и комплексную систему для обнаружения и предотвращения атак.

ZeroDay | #вирус #атака