🖼️ Кто такие специалисты по безопасной разработке и где на них учиться

Привет, Хабр! В этой статье мы разберемся, кто такой специалист по безопасной разработке, какие требования к нему предъявляют работодатели, сколько специалисты этой профессии сегодня зарабатывают и куда можно пойти учиться на AppSec-специалиста.

🖼️ Кто же такие «аппсеки»? Обычно под «аппсеком» (в широком понимании) подразумевают любого специалиста по безопасной разработке. Участвуешь в безопасности CI/CD? Тестируешь приложения на проникновения? Проходишь оценку уровня доверия? Пишешь безопасный код? Ух, да ты «аппсек»…

➡️ Читать далее

🌚 @poxek

💻 Танец Крабиков

Rust из года в год становится популярнее, как у разработчиков, так и в нашей ИБ сфере. На нём можно писать, как безопасные проекты, так и инструменты, которую эту безопасность проверяют. Его выбирают за высокую производительность, удобную экосистему, компилируемость и т.д.

Поэтому рекомендую вам репозиторий, где демонстрируются 44 техники + код, которые будут полезны при RedTeam или R&D.

⚡️ Есть различные атаки начиная от вытаскивания паролей от WIFI до анти-анализа, анти-дебага, WebAssembly Shellcode и т.д.

💻 Репозиторий RustRedOps

🌚 @poxek

☯️ Standoff 2 или Standoff 365

Недавно проскакивала вакансия на разработчика анти-чита Standoff2. Я посмотрел требования, в принципе неплохо. Вспомнил, что писать читы довольно сложно, чтобы они не детектились. На данный момент лучшим анти-читом считается защита у Valorant. Вполне себе игра, которая в комьюнити считается хорошим аналогом CS 2, с точки зрения киберспортивной дисциплины. Но в CS2 читеров много и читы штампуются каждый день.

Но как же связаны мы, безопасники с создателями продвинутых читов?
Тем что, мы делаем постоянно ресерчи, чтобы научиться обходить антивирусные/античит системы. Ведь некоторые механизмы у них общие, к примеру проверка памяти или инициализация до старта системы. Это я всё подводил к такой интересной теме, как программирование kernel драйверов для любых Windows систем.

➡️ Рекомендую вам посмотреть ролик YOUR FIRST KERNEL DRIVER (FULL GUIDE)

🌚 @poxek

Перечислить всех. Красота русских фамилий как фактор уязвимости в пентестах Active Directory
#windows #AD

Во время очередного пентест-проекта на внешнем периметре Заказчика была обнаружена широко известная в узких кругах пентестеров инфраструктурная служба Outlook Web Access (OWA). OWA примечательна тем, что это WEB-интерфейс почтового сервера Microsoft Exchange. Скорее всего, вы слышали, как минимум о нескольких громких уязвимостях OWA. С 2020 года существует подробный ресерч от коллег из PT SWARM на тему безопасности MS Exchange WEB-интерфейсов, а новые атаки появляются с завидной частотой. В одном из подкастов я слышал, что в OWA имеется огромный архитектурный баг, который является драйвером целого семейства подобных уязвимостей.

Атак достаточно, но есть еще и очень приятная “фича” в OWA – перечисление существующих пользователей в зависимости от времени ответов сервера. После формирования списка однозначно существующих учетных записей можно провести атаку типа Password Spray (англ. Распыление паролей) и с небольшим шансом подобрать пароль типа «P@ssw0rd!» среди пары сотен пользователей.

Многим пентестерам это известно, но мне удалось найти ультимативный способ проведения этой атаки за счет избыточности русских фамилий (sic!). Сперва рассмотрим проблематику.

❤️ Спасибо @CuriV за подробный ресерч!

➡️ Читать далее

🌚 @poxek

Все мы ловили тот самый момент, вовремя просмотра фильмов про хакеров или айтишников
«Their only crime was curiosity»

Отчасти это сформировала некоторое виденье об ИБэ и романтизировало нашу сферу. Олды вспомнят Хакеры 1995 года или Пароль «Рыба-Меч» 2001 года, кто помоложе вспомнит про Mr.Robot 2015 года и так далее.

Многие эти фильмы объединяет некая история вокруг человека или группы лиц, которая впутана в незаконный взлом какой-то информационной системы или человеческого мышления. «Подключись. Взломай. Проникни всюду. Укради всё»

Но как говориться «Каждый видит то, что хочет видеть», но в отличии от обывателей мы частенько замечаем косяки в фильмах, именно в технических моментах. Поэтому для нас коллеги из StarX написали статью, где разобрали некоторые фильмы на факты и оценили их правдоподобность. На мой вкус вышла неплохо и это заслуживает вашего внимания)

➡️ Статеечка тут

p.s. для самых быстрых, кто напишет название фильма (строго под сплойлером) и расскажет любой интересный момент из этих фильмов. Подарю Telegram Premium на полгода! Если уже есть, то обсудим отдельно в ЛС. Выполнили задание!!

🌚 I'm crazy. This is crazy. I'm crazy

😎 Конкурс закончен!

Победителей было двое, поэтому подарил 2 премиум подписки!
@shybert
@wr3dmast3r

🌚 Спасибо всем, кто принял участие!!

🎁 Dev(Sec)Ops RoadMap как найти работу
#карьера #devsecops

В чате канала вчера спрашивали про roadmap для DevSecOps. Что нужно учить?

Пункт 1. Я считаю правильным ответом на данный вопрос всегда являлся и будет являться ответ: зайди на сайт с вакансиями, найди выбранную должность и прочитай 20-30 вакансий, выпиши повторяющиеся термины и изучи что это. Это применимо к любой стране и к любой должности, если вы конечно не выбираете учить то, чего ещё нет на рынке. В таком случае откуда вы об этом узнали, оттуда начинайте поиск информации о необходимых навыках.

Но мы же люди ленивые? Лично я, да. Все всегда хочется искать что-то самостоятельно, а найти готовый roadmap или mindmap, где за вас умные люди составили график, что вам нужно учить. В таком случае нашёл для Вас несколько интересных материалов:

А Вы точно уверены, что перед тем как стать DevSecOps, вы изучили инструменты DevOps и научились применять эти практики?

▶️ Если нет, то возвращаемся к пункту 1, за красной таблеткой. Если же вы выбурили синюю таблетку, то вот мой ответ на вопрос: "Что нужно знать DevOps инженеру?"
Управления версиями: Gitlab
Инструменты CI/CD: Jenkins, Gitlab, (набирает популярность Agro CD)
Оркестрация контейнеров: kubernetes, docker-compose (более редко необходим Docker Swarm, OpenShift)
Автоматизация развертывания: Ansible, Terraform
Языки программирования: Python, Bash, Go
Хранение секретов: Vault
Мониторинг: Prometheus, Grafana [ Zabbix много где используется, но с контейнеризацией работает хуже, чем его аналоги, поэтому некоторые компании полностью или частично переезжают с него ]
Логгирование: ELK

Если слова выше для вас не показались чем-то незнакомым или как говорит мой друг, "на эльфийском языке", то поздравляю, Вы DevOps инженер :)

▶️ Возвращаясь к теме поста, что нужно учить DevSecOps? Всё то, что знает DevOps и:
Поиск секретов: GitGuardian, Gitleaks, truffleHog, DeepSecrets (последнее от моего знакомого Николая из Yandex, у его инструмента не стандартный подход к поиску секретов)
SCA: Snyk, Syft, Cdxgen, Trivy, Dependency Track
SAST: Semgrep (много фолзит, использовать только вкупе с чем-то), Bearer, CodeQL, Spotbug, Terrascan
DAST: OWASP ZAP, nuclei, Dastardly
Container Security: Grype, Open Policy Agent, kube-hunter (активно не поддерживается), kube-bench , Falco, Tracee, Anchore (активно не поддерживается), Clair

⭐️ Как-то так. На самом деле список тулз у DevSecOps постоянно пополняются. И тем более приходится писать что-то под свои задачи. Надеюсь было полезно. Но DevSecOps

Также отдельное спасибо @belka_e

Отмечу, что сейчас сам занимаюсь разработкой и по сути у меня нет коммерческого опыта ни в разработке, ни в DevSecOps. Так что узнаю всё по ходу выкладывания постов. Но большое спасибо коллегам, кто готов помогать мне!

Выводы:
1. У нас очень мало DAST'ов опенсоурсных, да и коммерческих качественных рабочих решений тоже мало.
2. Простор для разработки коммерческих решений огромен, как и потенциал этой области.
3. DevOps не очень сложно обучиться, а вот DevSecOps уже даёт прикурить знатно, проверено на себе.
4. Методологии и инструменты DevSecOps мало где применяются, так что рынок ждёт новых решений и подходов.
5. Когда я слышал про заоблачные ЗП devsecops инженеров, думал что ситуация как с MLщиками и Data Science в своё время, но нет. Тут реально огромный пул знаний, который включает в себя ещё по меньшей мере appsec и даже пентест.

❤️ @poxek