Скрипты VS Коробка. Как эффективно маскировать данные

Маскировка данных с помощью скриптов — это как временная пломба: она то поможет, но временно. Когда данные становятся больше и больше, скрипты перестают справляться с задачей, а поддержка превращается в боль.

⏺В статье автор рассказывает, как автоматизация процесса обезличивания позволяет не только упростить работу, но и снизить риски. Автоматические инструменты сохраняют структуру данных и защищают данные вообще на всех этапах: от разработки до тестирования.

ZeroDay | #Статья

Wazuh: универсальный инструмент XDR для защиты и мониторинга

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Wazuh — целая экосистема, которая защищает ваши данные в любой среде: локальной, виртуальной, облачной или контейнерной. Она и собирает логи, и даже превращает их в полноценную картину безопасности окружения.

⏺Но вдруг вам нужно больше, чем просто мониторинг логов? Инструмент дает полноценный SIEM-функционал: мощный поиск, индексацию данных и интуитивно понятный веб-интерфейс.

⏺И что важно: Ничего платить не нужно, сам инструмент открыт для всех 😎

ZeroDay | #Инструмент

Иммутабельные файлы

👋 Приветствую в мире цифровой безопасности!

Сегодня разберу простой, но неплохой метод защиты — иммутабельность файлов

⏺Иммутвбельные файлы - это те, которые невозможно ни изменить, ни удалить, даже если у вас права root. Звучит неплохо, да? Этот способ помогает защитить самые важные конфигурационные файлы, критические скрипты или данные от случайных ошибок или от взлома.

⏺Вот как это работает: Ставим защиту на файл:

chattr +i /path/to/file  

Теперь файл стал "неприкосновенным".

Проверяем статус:

lsattr /path/to/file  

Если у файла стоит атрибут i, все в порядке — он под защитой.

⏺Хотите снять защиту?

chattr -i /path/to/file  

Защищаем сразу папку:

chattr -R +i /path/to/directory  

⏺Только помним: если вы заблокируете системные файлы, обновить их можно будет только после снятия защиты.

ZeroDay | #безопасность

Типы киберфизических атак. Часть 2

👋 Приветствую в мире цифровой безопасности!

Продолжим говорить о типах киберфизических атак.

⏺Replay Attack (Повторная атака): представьте, что ваш сервер получает важное сообщение, и кто-то решает "повторить" его в рандомный момент. На практике это может быть критический сигнал в промышленной системе, который хакер воспроизводит, чтобы вызвать сбой.

⏺Code Injection (Внедрение кода): хакеры могут внедрять вредоносный код в систему, что вызывает серьезные сбои. Пример — SQL-инъекция, где при помощи специального кода атакующие могут проникнуть в базу данных, получить доступ к конфиденциальной информации и вызвать сбои в работе системы.

⏺Malware (Заражение вирусами): вредоносы, такие как вирусы и черви, способны разрушать системы, красть данные или выводить из строя оборудование. Один из базовых примеров — Stuxnet, вирус, который был создан для целенаправленной атаки на ядерное оборудование, разрушая его физически, не привлекая внимания.

ZeroDay | #атака

Битовые операции

👋 Приветствую в мире цифровой безопасности!

Расскажу, как работать с данными на уровне битов

⏺Что это: битовые операции — это способ работы с числами, где мы манипулируем каждым отдельным битом. Вот, например, несколько основных операций:

• AND (&): Сравнивает два бита, устанавливает 1, если оба бита равны 1.
• OR (|): Устанавливает 1, если хотя бы один из битов равен 1.
• XOR (^): Устанавливает 1, если биты разные.
• NOT (~): Инвертирует каждый бит (меняет 1 на 0 и наоборот).
• Сдвиг влево (<<) / вправо (>>): Сдвигает биты влево или вправо, увеличивая или уменьшая число в 2 раза.

⏺Примеры на практике:
AND: Простой пример — операция AND оставит нам только те биты, которые в обоих числах равны 1.

int a = 0b10101010;
int b = 0b11110000;
int result = a & b;  // 0b10100000 (160)

OR: Операция OR включит все биты, где хотя бы в одном числе был 1.

int a = 0b10101010;
int b = 0b11110000;
int result = a | b;  // 0b11111010 (250)

XOR: А вот XOR работает только тогда, когда биты разные.

int a = 0b10101010;
int b = 0b11110000;
int result = a ^ b;  // 0b01011010 (90)

⏺Зачем всё это: битовые операции дают нам контроль над низким уровнем. Их зачастую используют для:

• Сжатия данных, с оптимизированными алгоритмами.
• Криптографии — шифрования и защиты данных.
• Ну и встраивания на аппаратном уровне.

ZeroDay | #биты

Что делать, если WAF не позволяет создать кастомное правило для JSON: готовое решение

Когда WAF не справляется с JSON, защита приложения - это будто сдерживание наводнения с помощью дырявого ведра 😐 PT Application Firewall PRO — отличный инструмент, но в версии 4.1.5 нет поддержки кастомных правил для работы с JSON. Это достаточно серьезное ограничение.

⏺В статье рассказывается, как обойти эти ограничения и с помощью внешнего агента и регулярных выражений настроить собственные фильтры, которые надежно закроют уязвимости.

ZeroDay | #Статья

Hachoir: инструмент для анализа бинарных данных

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Hachoir — это что-то вроде Python-библиотеки, которая раскрывает внутренности бинарных потоков в виде удобного дерева полей. Хотите понять, из чего состоит файл или извлечь метаданные? С этим инструментом всё возможно даже без распаковки или предварительной обработки.

⏺Тут вам и поддержка множества форматов, готовые парсеры и гибкость в настройке.

⏺Ещё одна фишка: Hachoir позволяет не только анализировать, но и изменять содержимое файлов. Это мастхэв, если нужно быстро протестить изменения или найти какие-то слабые места в структуре данных.

ZeroDay | #Инструмент

Битовые операции в C и ASM

👋 Приветствую в мире цифровой безопасности!

Теперь покажу, как применять битовые операции на практике.

⏺Как извлечь конкретный бит: для этого нам нужно сдвигать биты и использовать операцию AND.

int value = 0b10101010;  // Число 170
int bit = (value >> 3) & 1;  // Извлекаем 3-й бит (счёт с нуля)
printf("Бит: %d\n", bit);  // Вывод: 1

И где это применимо: когда нужно проверить состояние флагов или просмотреть специфическую информацию в данных.

⏺Как установить или сбросить бит: если нужно установить или сбросить бит, используем OR для установки и AND с инверсией для сброса.

int value = 0b10101010;
value |= (1 << 2);  // Устанавливаем 2-й бит
value &= ~(1 << 5);  // Сбрасываем 5-й бит
printf("Новое значение: %d\n", value);  // Вывод: 0b10001010

Где это может помочь? Это частая операция при манипуляциях с конфигурационными флагами или состоянием системы.

⏺Простой пример шифрования с XOR:
XOR — это ваш лучший друг, когда дело касается простой защиты данных.

char data = 'A';  // Исходные данные
char key = 0x3F;  // Ключ
char encrypted = data ^ key;
char decrypted = encrypted ^ key;
printf("Шифрованный: %c, Расшифрованный: %c\n", encrypted, decrypted);

Где применяется?
Для базового шифрования, где важен быстрый и эффективный метод защиты.

⏺Как это выглядит в ASM: Заглянем в ассемблер для тех, кто хочет работать на самом низком уровне:

mov eax, 0b10101010  ; Загружаем значение
and eax, 0b00001111  ; Оставляем только младшие 4 бита
shr eax, 2           ; Сдвигаем вправо на 2

ZeroDay | #биты

Схема работы SSH

Если коротко, то начинается все с:

1️⃣Запуск соединения: тут клиент устанавливает TCP-соединение с сервером, создавая основу для защищенного канала.

2️⃣Согласование версии: Клиент и сервер договариваются, какую версию SSH юзать для совместимости.

3️⃣Обмен алгоритмами: Стороны выбирают методы шифрования, хэширования и компрессии данных для безопасной работы.

4️⃣Генерация ключей: Клиент делает пару ключей:
• Публичный ключ для передачи серверу.
• Приватный ключ для защиты данных клиента.

5️⃣Передача публичного ключа: Клиент отправляет серверу публичный ключ, который станет основой для безопасного обмена.

6️⃣Инициация входа: Клиент отправляет запрос на подключение, чтобы подтвердить свои права доступа.

7️⃣Проверка ключа сервером: Сервер сверяет ключ с доверенным списком (например, ~/.ssh/authorized_keys) и принимает решение.

8️⃣Шифрованный тест: Сервер генерирует рандомное число, шифрует его публичным ключом клиента и отправляет обратно.

9️⃣Ответ клиента: Клиент расшифровывает сообщение приватным ключом и возвращает результат.

1️⃣0️⃣ Установление туннеля: После успешной проверки создается защищенное соединение, через которое уже передаются команды и данные.

ZeroDay | #SSH

CA: что это?

👋 Приветствую в мире цифровой безопасности!

Обсудим, что такое CA и когда они нужны.

⏺Центры сертификации (CA), такие как GlobalSign или DigiCert, выпускают SSL/TLS сертификаты, подтверждающие подлинность веб-сайта. С их помощью браузеры проверяют сервер, используя асимметричное шифрование. Как это происходит? Все просто: сервер подписывает данные закрытым ключом, а браузеры сверяют их с открытым ключом из доверенного списка CA.

⏺Всё ок? Добро пожаловать на сайт по HTTPS. Если нет — получаете предупреждение.

⏺Для тестирования и разработки есть проще способ — самозаверяющие сертификаты. Это сертификаты, которые вы сами создаёте и подписываете. Они бесплатны, быстро генерируются и отлично подходят для проверки шифрования без затрат.

ZeroDay | #CA

3️⃣0️⃣ ноября - день защиты информации

Всех причастных с праздником 🫡

ZeroDay | #мем

Как победить киберугрозы по заветам Сунь-Цзы: стратегия кибербезопасности

В кибербезе, как и на войне, ключ к успеху — это, конечно, правильная стратегия. Как говорил Сунь-Цзы, "Если ты знаешь врага и знаешь себя, то не будешь в опасности ни в одном бою". Кибербезопасность — не исключение, и знание слабых мест в защите, а также умение использовать свои же ресурсы эффективно — вот основа победы

⏺В статье автор разбирает, как принципы великого китайского стратега применимы к современной киберзащите. Тут изучим стратегии выявления угроз, предотвращения атак и укрепления системы безопасности через призму философии Сунь-Цзы.

ZeroDay | #Статья

Intezer: инструмент для анализа бинарных файлов

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Intezer Analyze — инструмент, который "копает" в бинарных файлах Windows, выявляя микрокодовые сходства с известными угрозами. Это не просто анализ, а поиск следов вредоносного ПО, даже если оно было как-либо модифицировано.

⏺Intezer использует уникальную технологию, позволяющую анализировать код на уровне "ДНК" угрозы. И что самое приятное — результат всегда будет понятен. Интерфейс Intezer прост и не требует долгого изучения.

ZeroDay | #Инструмент

Supply Chain атаки

👋 Приветствую в мире цифровой безопасности!

Расскажу, что такое атака Supply chain или же проще — атака на слабое звено.

⏺Как всё начинается: Представьте, что вы доверяете своему поставщику, потому что он предоставляет вам обновления безопасности и патчи. Вы спокойно устанавливаете новое обновление, не подозревая, что оно уже заражено. Хакеры могут внедрить вредоносный код в обновления, и когда вы их применяете — система заражается.

⏺Но это только начало: Другой способ — через заражённые библиотеки и пакеты. Например, в процессе разработки вы скачиваете популярную библиотеку для работы с данными. Она выглядит как обычный компонент, но в реальности туда был вставлен скрытый троян. Как только вы её подключаете, вирус оказывается внутри.

⏺А что насчёт сотрудников или партнеров по работе: хакеры могут юзать слабые места у ваших подрядчиков или партнёров, чтобы проникнуть в вашу сеть. Вы доверяете этим компаниям, предоставляете им доступ к своим данным или инфраструктуре, и на этом строится атака. Через них хакеры могут войти в вашу систему, используя уже имеющиеся уязвимости.

ZeroDay | #supplychain #атака