Проблемы поколений: история уязвимостей мобильных сетей от 1G до 5G

Мобильные сети стали неотъемлемой частью нашей жизни, и даже кратковременное отсутствие связи может вызвать стресс. От первых телефонов до современных смартфонов, полностью зависящих от беспроводных сетей, технологии прошли огромный путь, но с ними пришли и новые угрозы.

⏺В этой статье я расскажу, как эволюционировали мобильные сети и какие уязвимости сопровождали каждое поколение — от 1G до 5G. Вы узнаете, какие меры защиты были разработаны, чтобы обеспечить стабильность связи и безопасность данных пользователей.

ZeroDay | #Статья

Настройка OSSEC для мониторинга и анализа событий безопасности

👋 Приветствую в мире цифровой безопасности!

Сегодня обсудим, как настроить OSSEC для мониторинга и анализа событий безопасности на ваших системах.

⏺Установка OSSEC: Стартуем с установки OSSEC на ваш сервер. Для этого выполните следующие команды:

wget https://github.com/ossec/ossec-hids/archive/refs/tags/3.6.0.tar.gz
tar -xvf 3.6.0.tar.gz
cd ossec-hids-3.6.0
sudo ./install.sh

Следуйте инструкциям на экране, чтобы завершить установку. OSSEC будет установлен в директорию /var/ossec.

⏺Настройка OSSEC: Откройте файл конфигурации /var/ossec/etc/ossec.conf и настройте его для сбора логов и обнаружения угроз. Добавьте следующие секции для мониторинга:

<localfile>
  <log_format>syslog</log_format>
  <location>/var/log/auth.log</location>
</localfile>
<localfile>
  <log_format>syslog</log_format>
  <location>/var/log/syslog</location>
</localfile>

Эти настройки позволяют OSSEC собирать логи из системных файлов. Для создания отчетов и настройки правил, откройте раздел <rules> и добавьте нужные вам правила.

⏺Создание отчетов: OSSEC включает инструменты для анализа и создания отчетов. Используйте команду для просмотра отчетов о событиях:

/var/ossec/bin/agent_control -l

Эта команда покажет вам текущий статус агентов и их активности.

Для получения более детализированных отчетов используйте команду:

/var/ossec/bin/ossec-logtest

Делать продолжение?

ZeroDay | #Инструмент

Настройка OSSEC.
Часть 2

👋 Приветствую в мире цифровой безопасности!

Сегодня разберем более продвинутую настройку OSSEC для защиты вашей системы

⏺Модуль Active Response: OSSEC поддерживает модуль Active Response, который автоматически реагирует на определенные угрозы. Откройте файл /var/ossec/etc/ossec.conf и добавьте следующую конфигурацию:

<active-response>
  <command>firewall-drop</command>
  <location>any</location>
  <level>7</level>
</active-response>

Этот модуль позволяет автоматически блокировать IP-адреса, с которых поступает вредоносный трафик, с помощью команд для настройки фаервола.

⏺Настройка агентов: Чтобы обеспечить проактивную защиту на всех серверах в сети, необходимо установить и настроить агенты OSSEC на каждом из них. Сначала установите агент, а затем добавьте его в мастер-сервер:

/var/ossec/bin/manage_agents

Затем введите IP-адрес мастера и следуйте инструкциям для подключения агента к центральному серверу OSSEC.

⏺Мониторинг целостности файлов: Для защиты критически важных файлов настройте мониторинг их целостности. Откройте файл конфигурации /var/ossec/etc/ossec.conf и добавьте секцию для отслеживания изменений файлов:

<syscheck>
  <frequency>43200</frequency>
  <directories>/etc,/bin,/sbin,/usr/bin,/usr/sbin</directories>
  <realtime>yes</realtime>
</syscheck>

Это позволит OSSEC отслеживать любые изменения в критических системных файлах и немедленно уведомлять вас о подозрительной активности.

⏺Настройка распределенной архитектуры: В крупных сетях OSSEC можно настроить в распределенной архитектуре, где один сервер выполняет роль менеджера, а другие — агентов.

Для этого на каждом агенте необходимо указать IP-адрес менеджера в файле /var/ossec/etc/ossec.conf:

<client>
  <server-ip>192.168.1.10</server-ip>
</client>

Это обеспечивает централизованное управление и анализ данных безопасности.

ZeroDay | #безопасность

Arbor Spectrum: инструмент защиты и предотвращения целевых атак

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Анализ и обнаружение: инструмент работает на границе периметра и внутри локальных сетей, обеспечивая всесторонний сбор и анализ сетевого трафика. Он выявляет аномалии и подозрительное поведение благодаря интеграции с облачными сервисами Arbor и применению передовых эвристических методов.

⏺Глобальный охват: с помощью анализа более трети интернет-трафика Arbor Spectrum оперативно выявляет новые угрозы и типичные поведения вредоносного ПО. Это позволяет быстро обновлять правила и предотвращать атаки на ранних стадиях.

⏺Проактивная защита: инструмент позволяет не только обнаруживать атаки, но и предсказывать их, что существенно повышает уровень защиты сети.

ZeroDay | #Инструмент

👋 Приветствую в мире цифровой безопасности!

Сделал для вас новую подборку крутых бесплатных курсов по ИБ и не только на YouTube.

⏺ Курс от специалиста по кибербезопасности
⏺ Кибербезопасность 2024. Теоретический курс
⏺ Полный курс по кибербезопасности
⏺ Школа ИБ от Яндекса
⏺ Курс по кибербезу

ZeroDay | #Подборка

Как хакеры взламывают ваш Wi-Fi: разбор атак на WPA2 и WPA3

В последние годы безопасность Wi-Fi сетей имеет особую важность, поскольку кибератаки на него становятся всё более изощрёнными. Протоколы WPA2-Personal и WPA2-Enterprise широко используются, но они не без уязвимостей. Даже новейший протокол WPA3, призванный усилить защиту, не является полностью защищённым.

⏺В этой статье я расскажу о самых распространённых методах взлома WPA2 и WPA3, и о том, как злоумышленники находят и используют слабые места в этих протоколах. Вы узнаете, какие инструменты применяются для атак, и как можно защитить свои сети, чтобы не стать следующей жертвой.

ZeroDay | #Статья

Автоматическое удаление учётных записей без активности

👋 Приветствую в мире цифровой безопасности!

Расскажу, как настроить удаление неактивных уч. записей в вашей системе

⏺Неактивные учётные записи — это тихие лазейки, через которые злоумышленники могут проникнуть в систему. Вместо того чтобы вручную отслеживать и удалять такие аккаунты, можно настроить автоматическую блокировку или удаление учётных записей, которые не использовались длительное время. Это поможет укрепить защиту и минимизировать риски.

Пример PowerShell-скрипта для Windows:

# Определяем количество дней неактивности
$daysInactive = 90

# Определяем дату, до которой учётная запись считается неактивной
$cutoffDate = (Get-Date).AddDays(-$daysInactive)

# Получаем все учётные записи пользователей, которые не являются системными и не заблокированы
$users = Get-ADUser -Filter * -Property LastLogonDate, Enabled | Where-Object {
    $_.Enabled -eq $true -and $_.LastLogonDate -lt $cutoffDate
}

# Отключаем учётные записи, которые неактивны
foreach ($user in $users) {
    Disable-ADAccount -Identity $user.SamAccountName
    Write-Output "Account $($user.SamAccountName) has been disabled due to inactivity."
}

Пример Bash-скрипта для Linux:

#!/bin/bash

# Определяем количество дней неактивности
INACTIVE_DAYS=90

# Получаем текущую дату в секундах с начала эпохи Unix
CURRENT_DATE=$(date +%s)

# Проверяем учётные записи пользователей
for user in $(lastlog -b $INACTIVE_DAYS | grep -v "Never" | tail -n +2 | awk '{print $1}'); do
    sudo usermod -L $user
    echo "Account $user has been locked due to inactivity."
done

ZeroDay | #безопасность

Подборка Honeypot инструментов

👋 Приветствую в мире цифровой безопасности!

Поговорим о полезных Honeypot инструментах для защиты ваших ресурсов.

⏺ Google Hack Honeypot: инструмент для разведки против злоумышленников, использующих поисковые системы для взлома. Помогает выявлять и анализировать попытки хакеров найти уязвимости через поисковые запросы.

⏺ HellPot: Honeypot, который делает взаимодействие с системой для ботов и клиентов максимально сложным, затрудняя атаку и увеличивая время отклика.

⏺ Shadow Daemon: модульный брандмауэр веб-приложений с функциями Honeypot для PHP, Perl и Python. Блокирует вредоносные запросы и предоставляет аналитику.

⏺ StrutsHoneypot: Honeypot на основе Struts Apache 2, который защищает серверы Apache 2, выявляя подозрительные действия и атаки.

⏺ WebTrap: создает обманчивые веб-страницы, чтобы отвлечь злоумышленников от реальных ресурсов и сбить их с толку.

ZeroDay | #Инструмент

От сирен до SIEM: разбираем архитектуру и защиту локальных систем оповещения

Когда взлом хакеров приводит к ложной воздушной тревоге на национальном уровне, это вызывает беспокойство. Но что, если подобная атака произойдет на предприятии, где сбой в системе оповещения может привести к катастрофическим последствиям? Обеспечение безопасности локальных систем оповещения становится жизненно важной задачей для защиты не только бизнеса, но и человеческих жизней.

⏺ В этой статье я расскажу, как работают локальные системы оповещения, какие задачи они выполняют и какие существуют методы их защиты. Мы разберем типовые сценарии атак на ЛСО, а также обсудим, какие меры можно принять, чтобы минимизировать риски и обеспечить бесперебойную работу таких систем в условиях повышенной опасности.

ZeroDay | #Статья

Изоляция сети (Network Isolation)

👋 Приветствую в мире цифровой безопасности!

Сегодня обсудим, как изоляция сети может использоваться в атаках на киберфизические системы

⏺Что это: Изоляция сети используется злоумышленниками для создания «чёрных дыр» и блокировки доступа к важным участкам сети. Например, атака может нацелиться на интеллектуальные сети или системы управления светофорами, компрометируя узлы вокруг целевой области и вызывая сбои в работе и потерю доступа.

⏺Атака на практике: В атаках часто применяются методы компрометации сетевых узлов с последующим выборочным отбрасыванием или задержкой сетевых пакетов. Это приводит к нарушению доступности сети и может затронуть критические инфраструктуры, такие как датчики и исполнительные механизмы в определённой географической зоне.

ZeroDay | #атака

Конфигурация ClamAV для антивирусного сканирования

👋 Приветствую в мире цифровой безопасности!

Сегодня обсудим, как настроить ClamAV для эффективного антивирусного сканирования ваших систем.

⏺Установка ClamAV: Начните с установки ClamAV на вашу систему. Для этого выполните следующие команды:

sudo apt-get update
sudo apt-get install clamav clamav-daemon

⏺Настройка сканирования: ClamAV позволяет настроить частоту и глубину сканирования. Чтобы настроить регулярные проверки, отредактируйте файл конфигурации:

sudo nano /etc/clamav/clamd.conf

Настройте параметры сканирования по вашему выбору, например, установите частоту обновлений баз данных и конфигурации сканирования.

⏺Сканирование системы: Для начала сканирования выполните команду:

sudo clamscan -r /path/to/directory

Замените /path/to/directory на путь к директорий, который вы хотите просканировать. Добавьте параметр --log=/var/log/clamav/scan.log, чтобы сохранить отчет в лог-файл:

sudo clamscan -r /path/to/directory --log=/var/log/clamav/scan.log

Отчеты будут содержать информацию о найденных угрозах и помогут вам определить, где могут быть проблемы.

⏺Автоматическое сканирование: Для автоматизации процесса сканирования добавьте скрипт в cron. Например, чтобы запускать сканирование каждый день в 3 часа ночи, добавьте запись в crontab:

0 3 * * * /usr/bin/clamscan -r /path/to/directory --log=/var/log/clamav/scan.log

ZeroDay | #безопасность

Matano: бессерверный инструмент безопасности с открытым исходным кодом

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Обработка данных безопасности: Matano позволяет эффективно собирать, хранить и анализировать большие объёмы данных безопасности в базе данных Apache Iceberg. Это решение идеально подходит для работы с петабайтами данных и обеспечивает высокую масштабируемость для крупномасштабных инфраструктур.

⏺Обнаружение в реальном времени: Благодаря поддержке Python и встроенным возможностям анализа данных, Matano может запускать детектирование угроз в режиме реального времени, что позволяет быстро реагировать на подозрительные активности в сети.

⏺Бессерверная архитектура: Платформа полностью функционирует на AWS, что избавляет от необходимости управления серверами. Это упрощает процесс интеграции и снижает затраты на эксплуатацию.

ZeroDay | #Инструмент

ML-алгоритмы против хакеров: как поведенческая аналитика меняет правила игры в кибербезопасности

Машинное обучение и поведенческий анализ меняют подходы к кибербезопасности, помогая выявлять сложные угрозы за пределами традиционных методов защиты. Эти технологии анализируют необычные паттерны поведения, что позволяет лучше справляться с новыми угрозами.

⏺ Автор статьи описывает, как модуль Behavioral Anomaly Detection (BAD) использует машинное обучение для оценки риска событий и анализа поведения в системе. Это позволяет более эффективно выявлять угрозы и облегчать работу аналитиков за счет детального анализа активности и снижения нагрузки на систему.

ZeroDay | #Статья

RS/6000 SP: суперкомпьютер IBM, обыгравший Каспарова. Что это была за система?

👋 Приветствую в мире цифровой безопасности!

Сегодня вспомним суперкомпьютер IBM RS/6000 SP — тот самый, что обыграл Гарри Каспарова в 1997 году.

⏺Система включала 30 узлов с 480 шахматными процессорами и работала под ОС AIX 4.2. Она обеспечивала мощные расчёты, необходимые для победы над чемпионом.

⏺Deep Blue II на базе RS/6000 SP мог просчитывать миллионы ходов за секунды, что позволило ему победить Каспарова со счётом 3½:2½.

⏺Однако RS/6000 SP применялся не только в шахматах, но и в науке, инженерии, анализе данных.

⏺Он даже был главным веб-сервером на Олимпийских играх 1996 и 1998 годов.

ZeroDay | #разное