Сегодня в университете освежил знания по одной интересной информации из мира ИБ: уровни возможностей нарушителей. Чем выше уровень — тем бóльшую опасность они представляют.

Таблица 8.1 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021).

Сколько их и в чем отличия? Вот краткий конспектик.

===============================

🔐 Уровень 1: Базовые возможности нарушителей

Нарушители на этом уровне обладают минимальными навыками и используют известные уязвимости и инструменты, доступные в Интернете. Их действия часто ограничены физическим доступом к оборудованию и направлены на применение общедоступных методов.

👤 Виды нарушителей:
➡️Хакеры с базовыми знаниями
➡️Поставщики и обслуживающий персонал
➡️Авторизованные пользователи
➡️Бывшие сотрудники

===============================

🔐 Уровень 2: Повышенные возможности нарушителей

Нарушители на этом уровне обладают всеми навыками базовых нарушителей, но имеют более глубокое понимание инструментов и технологий. Они могут модифицировать доступные средства для повышения эффективности атак и самостоятельно разрабатывать сценарии угроз. Обычно состоят в группировках, где два лица и более, действующие по единому плану.

🛠 Ключевые характеристики:
➡️Используют фреймворки и наборы инструментов для реализации угроз.
➡️Знают, как работают системы и сети, а также защитные механизмы.
➡️Могут атаковать как известные, так и неизвестные уязвимости.

👥 Виды нарушителей:
➡️Преступные группы
➡️Конкурирующие организации
➡️Поставщики вычислительных услуг
➡️Специалисты по установке и настройке систем
➡️Системные администраторы

===============================

🔐 Уровень 3: Средние возможности нарушителей

Нарушители на этом уровне обладают всеми навыками предыдущих уровней и способны прорабатывать более сложные атаки. Они могут приобретать информацию об уязвимостях и инструменты на специализированных платных ресурсах, а также разрабатывать собственные инструменты для реализации угроз.

🛠 Ключевые характеристики:
➡️Анализ программного обеспечения для выявления уязвимостей.
➡️Глубокие знания о системах и защитных механизмах.
➡️Возможность проводить атаки в группах.

👥 Виды нарушителей:
➡️Террористические и экстремистские группировки.
➡️Разработчики программного обеспечения и средств для атак.

===============================

🔐 Уровень 4: Высокие возможности нарушителей

Нарушители на этом уровне обладают всеми навыками предыдущих уровней и имеют доступ к исходному коду программного обеспечения и аппаратных средств. Они способны внедрять уязвимости и закладки, а также разрабатывать сложные методы атак с привлечением специалистов.

🛠 Ключевые характеристики:
➡️Доступ к уязвимостям "нулевого дня" (0-day — новые уязвимости, против которых еще не разработаны меры защиты).
➡️Внедрение закладок на этапе поставки ПО.
➡️Создание специализированных средств для скрытного проникновения.
➡️Долговременное и незаметное осуществление атак.

👥 Виды нарушителей:
➡️Специальные службы иностранных государств.

#материал

😈 Перечисление пользователей

Да, такая очевидная проблема может оказаться полезным преимуществом для злоумышленников.

Перечислением пользователей злоумышленник сможет убедиться, а точно ли существует такой пользователь. Сервер может выдавать ответ "Такого пользователя нет" или "Введен неверный пароль для данного аккаунта". Далее это может использоваться для brute-force атак (перебор логина и пароля).

Я заметил, что эта проблема часто встречается, в том числе и на проектах. На одном из проектов при переборе номеров телефона в ответе выдавало еще часть email пользователя. Давайте будем честными, в каком случае у злоумышленника будет больше желания атаковать пользователей: когда ему система прямо пишет, что такого юзера нет, либо когда всегда выдается нейтральный ответ по типу "Введен неверный логин или пароль"?

Тут стоит выбирать между удобством для пользователей и безопасностью — часто конфликтующие понятия.

Зачем лишний раз приманивать злоумышленников, когда проще избавиться от такого риска?

#кейс

❗️ Новый способ угона Telegram-аккаунтов. Будьте крайне внимательны!

https://pikabu.ru/story/novyiy_vid_ugona_akkauntov_v_telegram_12115688

😂 Забавный мой диалог с поддержкой хостинга:

— Здравствуйте, не получается к другому серверу по telnet подключиться. Кажется, причина не в моем конкретно сервере (ufw 25 allow), а что-то на уровнях выше меня блочит.
— Добрый день. У нас блокируется 25 порт по умолчанию . Что хотите отправлять?
— Проводятся работы по тестированию на проникновение в рамках договора, необходимо выполнить проверки безопасности SMTP сервера.
— Более подробно опишите.
— https://book.hacktricks.xyz/network-services-pentesting/pentesting-smtp Кажется, тут подробнее описано, чем я могу словами кратко
— У нас запрещено сканирование, спам, размещать вирусы: и то что указано тут https://<...> Если будет жалоба на вирусы или проникновение будет блокировка услуги.

Решил ничего не писать в ответ😁

Когда говоришь техподдержке, что у тебя проблемы с сервером, они отвечают: "Это не проблема, это вызов!" 💪

🗣 Всем привет!

Как я и говорил, на данном канале буду разбирать некоторые кейсы с реальных проектов. В основном стараюсь отобрать самые интересные и простые примеры для понимания.

Все посты с разбором кейсов будут отмечены хештегом #кейс в конце, так что теперь вы сможете легко их находить😁

😈 Вчера нашел уязвимость, которую легко пофиксить, но при этом может нанести достаточно вреда.

Она позволяет флудить письмами "Подтверждение адреса электронной почты" на любой электронный почтовый адрес.

В настройках профиля есть раздел "Информация о профиле", куда можно вписать любой email и сохранить. А снизу кликабельный текст: "Нажмите здесь, чтобы переслать повторно письмо подтверждения".

Проблема кроется в том, что меня не ограничивают по количеству нажатий, нет никаких задержек на отправку и т.д.

▎Риски:
➡️Нарушение доступности: если злоумышленник будет этим злоупотреблять, рейтинг у домена упадет, из-за чего все важные письма от компании будут улетать в "спам".
➡️Неограниченное потребление ресурсов: злоумышленник может вызвать отказ в обслуживании сервера. Также отправка письма может тратить деньги компании (если используется облачный провайдер) или даже привести к блокировке аккаунта.
➡️Репутационные риски: у пользователя может остаться негативная ассоциация с компанией, которая прислала ему 100+ сообщений на почту в течение одной минуты.

▎Рекомендации по устранению уязвимости:
✅Реализовать ограничение на количество отправок писем, а также капчу.

#кейс

📕 При попытках перевести мануал OSCP постоянно натыкался на лимит размера файла. PDF документ весит почти 50 мб, а разрешается загружать файлы по 5-15 мб в топ переводчиках (DeepL, Google Translate, Yandex Translate, ...)

Нашел хорошее и удобное решение!

Расширение/сайт Immersive Translate спокойно дает загрузить файл на почти 900 страниц, перевод идет в момент скролла документа. Слева предоставляется оригинал, справа перевод на выбранный язык.

Все абзацы и заголовки в переведенном документе начинаются почти на одной линии с оригиналом. В случае с русским, он объемнее английского, поэтому абзацы могут не влезать в свои рамки: для этого есть возможность пролистывать сам абзац (пример на скриншоте в конце 3.6 пункта, на самом деле там не простой обрез, а присутствует возможность пролистать текст).

Для пользования необходимо установить расширение в браузер. Для мобилок есть и другие варианты.

🔗 Ссылка на сайт
🔗 Ссылка на расширение

Начинаю постепенное погружение в OSCP :)

#OSCP #материал

😈 Бу, испугался?

Недавно на проекте была найдена (жаль, что не мной) критическая уязвимость!

К сайту подключен сервис SMS Aero, который для регистрации отсылает код подтверждения на номер телефона.

Проблема была в том, что сервер в ответе на запрос раскрывал логин и приватный токен на домене проекта с регистрацией личного кабинета😳

▎В результате было получено следующее:
➡️Баланс личного кабинета SMS Aero;
➡️Возможность читать все отправленные смс (коды) – регать новые аккаунты;
➡️Раскрытие прочей информации и номеров телефонов;
➡️Отправлять любое смс на любой номер телефона (скриншот).

▎Рекомендации:
✅Заменить API токен, т.к. он мог быть уже угнан злоумышленником;
✅Исключить раскрытие API токена на стороне клиента;
✅На стороне SMS Aero настроить белый список доступа по IP.

Невнимательность привела к пропуску критической уязвимости. Казалось, что это публичный токен, поэтому не стал ничего пробовать загуглить. Благо Тимлид обратил на это внимание😁
Будет мне уроком.

Enumeration is a key...

#кейс

😈 Подгон атакующему от разработчиков

Недавно на проекте столкнулся с необходимостью найти все конечные точки (endpoints) API у домена для исследования внешнего периметра.

Конечные точки — это URL-адреса, через которые приложения взаимодействуют друг с другом (клиент <-> база данных/веб-сервис).

Во время перебора директорий и конечных точек я наткнулся на файл openapi.json, в котором был расписан весь список конечных точек API, а также их полное описание со структурой запросов на сервер и возможными ответами от него. Структура этого JSON-файла оказалась совместимой со Swagger.

Swagger — это инструмент для создания, документирования и проверки API.

Подробное описание функционала API помогло мне быстрее понять назначение всех конечных точек и выявить их недостатки безопасности. Этим же самым мог воспользоваться реальный злоумышленник. Подробная документация API упрощает процесс разработки инфраструктуры, но её не стоило оставлять в доступе во внешней сети.

#кейс

👍 Не могу нарадоваться

Потратил более часа чтобы настроить работу Кали в VMware на двух мониторах😁

Сталкивался с ошибками и некоторыми трудностями в процессе, но результат того стоит!

Теперь не так часто придется прыгать по окнам.

👨‍💻 Пополнение на моем рабочем столе!

Поставил новый монитор слева, т.к. привык туда больше смотреть, а прошлый справа😁

На левом и основном мониторах будет Кали, правый моник оставлю для быстрого доступа к винде (обсидиану и яндекс музыке).

Вне рабочего времени, думаю, правый монитор будет всегда выключен, т.к. достаточно и двух, но ещё посмотрим.

🤨 Галя, отмена!

Совсем недавно я даже не задумывался о том, в каких случаях Brute force атака действительно является таковой. Я считал, что перебор паролей с использованием радужных таблиц (то есть больших текстовых файлов с подготовленными паролями) — это и есть Brute force атака. Оказалось, что это не так.

Выяснилось, что я путал Brute force с понятием Dictionary attack!

Дело в том, что перебор по списку (как в случае, когда мы подбираем пароль к логину из радужной таблицы) — это именно атака по словарю, то есть Dictionary attack.

Brute force же в случае, когда нет заранее подготовленного списка, и мы перебираем случайные символы в надежде найти нужную комбинацию.

Путание этих понятий может привести к ошибке на теоретическом экзамене CEH (сертификация "Certified Ethical Hacker").

Так что давайте их не путать😁

🤠 Безопасности Вашим данным!

🥵 Прогрев

Выкатил новую полезную нагрузку XSS уязвимости — XSS Freezer, которая моментально нагружает процессор до 100% и не даёт браузеру пошевелиться. Закрыть вкладку не получится, помогает только полное закрытие браузера через крестик или диспетчер задач.

XSS (Cross-Site Scripting) — это уязвимость, когда злоумышленник может внедрить вредоносный код на сайт, который выполнятся в браузере других пользователей.

Нагрузка на процессор достигается за счёт WebGL 2.0 (API для отображения 3D-графики в браузере) с экстремальными настройками, сложными шейдерами, массовым рендерингом частиц, интерактивностью и негативной оптимизацией кода (т.е. не в пользу, а во вред пользователю).

▎Скрипт будет работать, если на странице отсутствуют:
➡️SOP (Same-Origin Policy);
➡️CSP (Content Security Policy);
➡️Валидация ввода (на сервере в том числе);
➡️И другие технологии, предотвращающие XSS.

Для работы скрипта также необходима поддержка WebGL 2.0 браузером.

Данный скрипт есть в GitHub репозитории.

🖥 Ссылка на GitHub репозиторий

⚠️ Предупреждение: Использование вне тестовых стендов — нарушение закона. Автор не несёт ответственности за злоупотребление полезной нагрузки.

#github

🗞 Думаю, многие уже слышали о взломе нового ИИ от китайцев DeepSeek, в результате которого были слиты секретные ключи, логи чатов и прочие внутренние материалы из-за ClickHouse-базы без пароля и логина.

Мне удалось выкачать БД со слитыми вопросами для ИИ от пользователей! Предоставляю скрин слитой БД.
// шутка

Но DeepSeek реально скомпрометировали, в данный момент уязвимость устранена, а команда безопасности уже занялась расследованием инцидента.

Пост ради шутки и предупреждения, что нельзя оставлять СУБД без настроек авторизации или использовать данные по умолчанию (например, admin/admin). Звучит банально, но может привести к непоправимым последствиям.