Безопасность на высоте: как защищать API сегодня

API в последние годы все активнее становятся базой цифрового мира, но с их количеством и растет количество угроз. Ошибки в безопасности уже стоили компаниям миллионов долларов. Например, некорректная защита API обошлась Uber в $148 млн, а 91% организаций столкнулись с инцидентами, связанными с уязвимостями API только за последний год.

⏺Как предотвратить атаки? В статье как раз и узнаете ответы. Узнаете, как правильно управлять API, почему спецификации — это не просто документ, а полноценынй инструмент защиты, и как валидация данных помогает противостоять угрозам из списка OWASP API Top 10. Всё это с примерами реальных ошибок и рекомендациями 👍

ZeroDay | #Статья

LSAT: полный аудит Linux-систем

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что такое LSAT: это у нас вполне себе серьезный инструмент аудита безопасности для серьезных безопасников😎. Главная фишка тут — модульная архитектура, что позволяет быстро расширять функционал и адаптировать под любые задачи.

⏺Плюсом, что важно - поддержка кучи разных ОС: Gentoo, Red Hat, Debian и macOS. В общем, не только сканирует файлы и пакеты на наличие скрытых уязвимостей, но и проверяет конфигурацию системы, чтобы всё было по правилам.

ZeroDay | #Инструмент

Работаем с LSAT

👋 Приветствую в мире цифровой безопасности!

Расскажу о настройке и работе с инструментом LSAT.

⏺Установка через исходники:
• Качаем исходники LSAT.
• Выполняем команды:

./configure
make
make install
make clean

⏺Установка для Debian/Ubuntu: Для этих систем проще всего использовать репозиторий:

sudo apt-get install lsat

⏺Запускаем LSAT: Запуск осуществляется через команду:

/lsat [OPTIONS]

Для вывода отчёта в HTML:

/lsat -w

Для подробного вывода:

/lsat -v

⏺Больше команд: Для проверки целостности пакетов (только для RedHat и Mandrake):

/lsat -r

Для сравнения текущего и старого состояния файлов (полезно для отслеживания изменений):

/lsat -d

Для выполнения теста на конкретной операционке (например, если LSAT не может автоматически определить дистрибутив):

/lsat -f redhat

Для исключения определённых модулей из проверки (например, если вы хотите пропустить тестирование некоторых файлов):

/lsat -x /path/to/excluded_file

ZeroDay | #безопасность

MIC: что это?

👋 Приветствую в мире цифровой безопасности!

Расскажу о том, что такое MIC и как он работает.

⏺MIC — это что-то вроде контролёра целостности сообщений, который следит, чтобы сообщение осталось неизменным. Секретный штамп добавляется к зашифрованным данным и проверяется на стороне получателя. Если штамп совпадает, то данные в порядке.

⏺Как он работает: сначала вычисляется MIC-штамп, который затем шифруется вместе с данными. На другой стороне происходит обратный процесс: расшифровка, проверка штампа, сравнение. Любое несоответствие — сигнал тревоги.

ZeroDay | #безопасность

Защищаем веб-сервер: настройка Apache/Nginx

👋 Приветствую в мире цифровой безопасности!

Расскажу, как лучше базово настроить Apache / Nginx.

⏺Ограничьте доступ к важным папкам: Никаких случайных утечек данных нам не нужно. Поэтому используем настройки, чтобы ограничить доступ к важным директориям. Например, в Apache, закройте доступ к конфиденциальным файлам:

<Directory "/var/www/html">
    AllowOverride None
    Require all denied
</Directory>

⏺Включите HTTPS по умолчанию: Чтобы все данные шли по защищенному каналу, настройте сервер на обязательное использование HTTPS. В Nginx это выглядит так:

server {
    listen 443 ssl;
    server_name example.com;
    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;
}

⏺Регулярные обновления - база: Новые уязвимости появляются постоянно, поэтому следим за обновлениями:

sudo apt-get update && sudo apt-get upgrade

ZeroDay | #безопасность

Обмен публичными ключами

🎄 Всех с наступающим друзья

Расскажу на гипотетической ситуации, как работает обмен публичными ключами.

⏺Вот есть Фаина и она хочет отправить сообщение Диме, которое сможет прочитать только он. Для этого ей нужен его открытый ключ.

⏺Проще всего попросить Диму передать ключ напрямую. Но как убедиться, что это не фальшивка? Тут решит проблему система доверия, которую мы используем в криптографии, к примеру, в инфраструктуре открытого ключа (PKI).

⏺Эта система доверия работает так: Дима для начала просит несколько своих знакомых подписать его открытый ключ. Это как рекомендация — если люди, которых Фаина знает, подтверждают, что ключ действительно принадлежит Диме, она может ему доверять.

⏺PKI не просто какая-то теория — такие системы реально используются везде: от защиты электронной почты до безопасных онлайн-платежей. Каждый раз, когда вы видите уведомление о безопасности в мессенджере или почте, это именно она спасает вас! 🤝

В следующем посте разберем обмен закрытыми ключами.

ZeroDay | #криптография #обменключами

Как обнаружить хакера на этапе дампа учетных данных в Windows?

Один из самых опасных шагов хакеров — это извлечение учетных данных, которые позволяют им двигаться уже дальше по сети. Эта техника, известная как OS Credential Dumping (T1003), используется в большинстве кибератак.

⏺В этой статье расскажу, как с помощью встроенных инструментов Windows, аудита системы и умных правил мониторинга можно вовремя заметить тревожные признаки и защитить свою сеть. Рассмотрим лучшие методы, которые используют атакующие, и также пройдем конкретные шаги для настройки детектирования угроз.

ZeroDay | #Статья

testssl.sh: защита на уровне шифров

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: testssl.sh — ваш личный сканер TLS/SSL. Он проверяет, какие шифры и протоколы поддерживает сервер, и сразу укажет на слабые места. Подходит не только для HTTPS, но и для любого порта.

⏺Зачем это нужно: устаревшие шифры, дырявые протоколы, уязвимости типа POODLE или Heartbleed — testssl.sh выявляет всё. Запустили скан, получили отчёт, сделали сервер крепче 💪

ZeroDay | #Инструмент

Как правильно настроить seccomp?

👋 Приветствую в мире цифровой безопасности!

Обсудим инструмент, который помогает ограничить действия процессов.

⏺Что делает Seccomp: Seccomp работает как фильтр между процессом и ядром Linux. Если вызов безопасен — заходим. Если нет — приходит отказ. Это помогает сократить поверхность атаки и защититься от эксплуатации уязвимостей.

⏺Режимы Seccomp

1️⃣Строгий режим — минимум свободы. Процесс может выполнять только базовые вызовы.
2️⃣Фильтрация — задаем правила для конкретных вызовов. Хотите заблокировать что-то специфическое? Легко.

⏺Что на практике: Вот как с помощью профиля можно заблокировать вызов clock_nanosleep:

{  
  "defaultAction": "SCMP_ACT_ALLOW",  
  "syscalls": [  
    {  
      "names": ["clock_nanosleep"],  
      "action": "SCMP_ACT_ERRNO"  
    }  
  ]  
}  

Применение профиля:

sudo seccomp-bpf -t /path/to/seccomp-profile.json /bin/bash  

ZeroDay | #безопасность

Червь Морриса: как это было?

👋 Приветствую в мире цифровой безопасности!

Расскажу о том, как появился и как стал большой проблемой червь Моррис.

⏺Что такое червь Морриса: В 1988 году Роберт Моррис, студент MIT, хотел исследовать уязвимости в интернет-системах. Он создал программу, которая должна была автоматически распространяться через сети Unix. Но вместо того, чтобы помочь, программа затопила сеть и вызвала буквально хаос.

⏺Как это произошло: Червь Морриса был написан с идеей тестирования безопасности, но из-за ошибки в алгоритме его действия стали разрушительными. Червь начал бесконтрольно копировать себя и создавать нагрузку на компьютеры, приводя к их зависанию и сбоям в работе.

⏺Каковы последствия: Через несколько часов червь заразил 10% всех подключенных к интернету машин, включая важнейшие серверы. Это создало невероятную нагрузку, и сеть практически остановилась.

⏺Что нам это дало: Этот инцидент стал первым реальным уроком для всей индустрии: даже малейшая ошибка в коде может вызвать прям глобальные последствия. И кстати, этот случай подтолкнул к развитию систем киберзащиты и создания первых антивирусов.

ZeroDay | #разное

DMZ: буфер против киберугроз

👋 Приветствую в мире цифровой безопасности!

Расскажу о том, что такое MIC и как он работает.

⏺Что такое DMZ: DMZ (Demilitarized Zone) — это буферная зона между внутренней сетью компании и внешним миром. Представьте, что это что-то вроде нейтральной территории: здесь могут находиться публичные ресурсы, типо веб-сайтов и почтовых серверов, но доступ к внутренним данным строго под запретом ⛔️

⏺И зачем она нужна: Чтобы изолировать внутреннюю сеть от угроз, сохраняя при этом доступность внешних сервисов. DMZ усиливает безопасность, добавляя еще один дополнительный барьер между вашей сетью и потенциальными угрозами.

⏺Это и усложняет взлом, и снимает нагрузку с внутренней сети, повышая её производительность. А использование прокси-сервера в DMZ, к тому же, позволяет фильтровать трафик и мониторить активность.

ZeroDay | #DMZ

3 способа обхода DMZ

👋 Приветствую в мире цифровой безопасности!

Обсудим, какие лазейки и возможности обхода DMZ существуют.

1️⃣Эксплойты нулевого дня: Когда хакеры находят уязвимость в программном обеспечении, которую никто ещё не заметил, они могут воспользоваться этим и получить доступ через DMZ.

2️⃣Социальная инженерия: Это когда мошенники обманывают сотрудников, чтобы те по ошибке открыли доступ к внутренним системам или раскрыли важную инфу.

3️⃣Неправильная конфигурация: Если что-то настроено неправильно (например, брандмауэр), злоумышленники могут найти "дыры" и проникнуть в сеть.

ZeroDay | #DMZ

Как легко узнать, где вы были, и почему это опасно?

Легальные инструменты позволяют следить за всеми нами, таргетировать их звонками и даже проникать в частную жизнь. Это все лишь результат покупки данных о посещенных вами сайтах и совершенных звонках, и с этим можно сделать много очень даже проблемных вещей.

⏺В статье автор объясняет, как такие данные используются для целенаправленных атак и что с этим можно сделать. Узнаете, как легко стать жертвой и что предпринять, чтобы защитить свои данные.

ZeroDay | #Статья

BunkerWeb: защита на уровне сервера

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺BunkerWeb — не какой-то обычный веб-сервер, а целый защитный комплекс сети. Встроенный WAF ModeSecurity, автоматическое обновление HTTPS с Let’s Encrypt, блокировка подозрительных IP и ботов, ограничения соединений — всё на месте. А еще удобный Web UI, что тоже приятно!

⏺Зачем это нужно: Если ваш сайт под атакой или вам просто нужен максимальный уровень безопасности — BunkerWeb спасёт. Помимо защищы от странных запросов и ботов, он автоматом банит подозрительные IP.

ZeroDay | #Инструмент

Напоминаем о смене пароля

👋 Приветствую в мире цифровой безопасности!

Расскажу, как автоматизировать напоминания о смене пароля.

⏺Команда chage: быстро задаем срок действия пароля с помощью:

$ chage -M 30 username  

Теперь пароль будет актуален 30 дней. Хотим больше настроек? Просто запустите chage без параметров и задайте всё вручную:

$ chage username  

⏺Настройка через /etc/login.defs: один раз и для всех. Чтобы правила обновления паролей применялись ко всем пользователям, измените параметры в файле /etc/login.defs:

PASS_MAX_DAYS 15  
PASS_MIN_DAYS 1  
PASS_WARN_AGE 5  

Система не забудет и заранее напомнит о необходимости смены пароля.

⏺Сложные пароли с pam_cracklib: Уходим от слабых паролей и подключаем pam_cracklib, плюсом настраиваем требования в /etc/pam.d/system-auth:

password required pam_cracklib.so minlen=14 lcredit=-1 ucredit=-1 dcredit=-2 ocredit=-1  

ZeroDay | #безопасность

Kerberoasting: атака на сервисные учетные записи

👋 Приветствую в мире цифровой безопасности!

Расскажу об атаке kerberoasting.

⏺Как это работает: А начинается все с того, что хакер находит сервис с учётной записью, защищённой системой Kerberos. Аутентификация через Kerberos довольно широко используется для доступа к разным сервисам в корпоративных сетях.

⏺И вот тут появляется первый момент уязвимости: сервисные учётные записи часто имеют прям слабые пароли, а их хэши можно извлечь, если знать, как это сделать.

⏺Теперь по этапам:

1️⃣Ищем слабые учётные записи: хакер ищет сервис с учётной записью, привязанной к SPN (Service Principal Name) — уникальному идентификатору, который помогает системе найти нужный сервис.

2️⃣Запрос билета: Зная SPN, хакер запрашивает билет на доступ к сервису через TGS (Ticket Granting Service). Это как билет на концерт, только в мире сетевой безопасности.

3️⃣Взлом пароля: Теперь начинается самое интересное — злоумышленник использует методы перебора паролей, чтобы расшифровать пароль из билета. Он пробует разные комбинации, пока не попадёт в цель.

4️⃣Получение доступа: После того как пароль расшифрован, хакер получает доступ к сервису, и это открывает двери для дальнейших атак на всю сеть.

ZeroDay | #атака

Защитим сеть с TCP/IP Hardening

👋 Приветствую в мире цифровой безопасности!

Расскажу, как защищать сеть с TCP/IP Hardening.

⏺Включаем защиту от SYN Flood атак (SYN Cookies): Когда на сервер направляется огромное количество ложных подключений, он может перегреться. Чтобы минимизировать риски при таких атаках, включим SYN Cookies

echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf

⏺Фильтрация IP-адресов (защита от спуфинга): Что если кто-то попытается маскироваться под доверенный IP-адрес? Для этого у нас есть методы защиты от IP-спуфинга. Включим фильтрацию, чтобы точно понимать, что только нужные нам пакеты могут попасть в сеть

echo "net.ipv4.conf.all.rp_filter = 1" >> /etc/sysctl.conf
echo "net.ipv4.conf.default.rp_filter = 1" >> /etc/sysctl.conf

⏺Ограничиваем количество одновременно открытых соединений: Чтобы избежать перегрузки вашего сервера в случае атак или высоких нагрузок, можно настроить максимальное количество одновременно установленных соединений. Это не только предотвратит "зависания", но и защитит от DoS-атак

echo "net.ipv4.tcp_max_syn_backlog = 2048" >> /etc/sysctl.conf
echo "net.ipv4.tcp_fin_timeout = 15" >> /etc/sysctl.conf

ZeroDay | #безопасность