Трохи возився із аналізом поверхні атаки одного проєкту і натрапив на такий прикольний ресурс: тут можна як у шпаргалку або чекліст подивитися, чи не провтикав виконати пошук конкретних даних, в залежності від предмету пошуку: https://www.osintdojo.com/diagrams/main
🔥7👍3❤1👀1
Forwarded from Бінарний XOR
Крч, вирішив зробити міні-івент, орієнтований на те щоб новачки трохи повчились, а задроти понетворкались один з одним
В цю суботу ми будемо розбирати таски на CSRF з portswigger web academy! Розберемось, що це взагалі таке, потикаємо стенди. Поговоримо про кібербезпеку загалом. Активних і скілових учасників, за бажанням, зможу відрекомендувати роботодавцям
Час проведення - субота 01.06, 18:00 за київським часом. Орієнтуємось на пару годин етеру, а там як піде вже
Місце проведення - таємний діскорд сервер. Я вирішив що раз нас буде людей ~15-20, то нам комфортніше буде в діскорді ніж на твічі
Пиши + під цим постом або мені в лс, щоб отримати завтра-післязавтра інвайт на діскорд сервер, і взяти участь в івенті в суботу
До зустрічі!
В цю суботу ми будемо розбирати таски на CSRF з portswigger web academy! Розберемось, що це взагалі таке, потикаємо стенди. Поговоримо про кібербезпеку загалом. Активних і скілових учасників, за бажанням, зможу відрекомендувати роботодавцям
Час проведення - субота 01.06, 18:00 за київським часом. Орієнтуємось на пару годин етеру, а там як піде вже
Місце проведення - таємний діскорд сервер. Я вирішив що раз нас буде людей ~15-20, то нам комфортніше буде в діскорді ніж на твічі
Пиши + під цим постом або мені в лс, щоб отримати завтра-післязавтра інвайт на діскорд сервер, і взяти участь в івенті в суботу
До зустрічі!
❤4💩2🥰1
Розбираємось із вчорашньою новиною про виток із Snowflake, що був у користуванні Ticketmaster і одним з контракторів виступав ЕПАМ. Якщо дуже стисло: фінансово вмотивована група регулярно купує різні витоки для отримання доступу до аккаунтів у Snowflake. Схоже цього разу їм попався акаунт Snowflake, креди від якого колись були у співробітника ЕПАМ. В додаток до цього Mandiant зазначає, що скоріше за все креди були перенесені на неконтрольований компанією пристрій звідки були викрадені стілером. Особисто від себе можу додати, що в мене є обгрунтована підозра, що цей виток кредів стався багато місяців тому і попав до кримінального угрупування тільки зараз. Підкреслюю, креди від аккаунту у Snowflake, який знаходився під управлінням Ticketmaster. Як цього можна було запобігти? Енфорсити ротацію секретів та використовувати мультифакторну автентифікацію. Наче базові штуки, але все ще такі актуальні. https://cloud.google.com/blog/topics/threat-intelligence/unc5537-snowflake-data-theft-extortion
Google Cloud Blog
UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion | Google Cloud Blog
A campaign targeting Snowflake customer database instances with the intent of data theft and extortion.
👍7❤1
І ще момент: моя особиста суб'єктивна думка - вчорашня стаття на Wired занадто всрата, щоб одразу їй повірити. І якісь дивні місця зберігання кредів, і "надійне джерело" в особі анонімного хакера, і слово Ukraine підсвічується так, ніби їх SEO-шник вийшов на літні канікули і має час на експерименти. Якось трохи джинсою пахне, як на мене.
👍6
Для тих, у кого є вільний час і натхнення, залишу тут цікавий документ. Сам ще не добрався до детального вивчення, але дуже хочу. https://datatracker.ietf.org/doc/html/rfc6819
IETF Datatracker
RFC 6819: OAuth 2.0 Threat Model and Security Considerations
This document gives additional security considerations for OAuth, beyond those in the OAuth 2.0 specification, based on a comprehensive threat model for the OAuth 2.0 protocol. This document is not an Internet Standards Track specification; it is published…
👍4👀1
День сьогодні видався цікавий. Тепер в нас +1 кейс у прикладах реалізації ризиків. Краудстрайку скорішого одужання, я в них щиро вірю. А нам всім зробити висновок: любиш на вендорів спиратися, люби і сапплайн чейн ризики рахувати.
Ось нам всім почитати на вихідних: https://csrc.nist.gov/pubs/sp/800/161/r1/final
Ось нам всім почитати на вихідних: https://csrc.nist.gov/pubs/sp/800/161/r1/final
CSRC | NIST
NIST Special Publication (SP) 800-161 Rev. 1 (Withdrawn), Cybersecurity Supply Chain Risk Management Practices for Systems and…
Organizations are concerned about the risks associated with products and services that may potentially contain malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the supply chain. These risks…
👍5❤2
Сьогодні МОУ релізнуло застосунок Армія+.
Перший реліз - це MVP. З наявного: рапорти в електронному вигляді. В нормальному, а не відсканований папірець.
Що це дасть: командир більше не зможе порвати рапорт на очах у солдата, не зможе його загубити чи тягнути з погодженням. Це можна розглядати як захист прав військовослужбовців. Командир, звісно, має право не погодити, але зобовʼязаний зазначити причину, яку неможна потім прибрати.
Шо по безпеці: Цю інформацію ми скоро дізнаємось з офіційної комунікації, але можу сказати, що, як на мене, стало значно краще, ніж у інших відомих кейсах.
Шо по бюджетам: розробляли військові, які не були військовими до 22 року. Тобто лише їх тилова ЗП. Це перший яскравий приклад реалізованої ініціативи, що айтішники можуть в армії працювати за фахом. Не останній. Інфа 100. У війська багато задач для них.
Можна відноситись по різному: хейтити, ігнорувати, пишатись, заздрити. Кожен обере собі сам. Я обираю пишатись.
Мінуси: патч “я їбу де твій рапорт” більше не актуальний.
Перший реліз - це MVP. З наявного: рапорти в електронному вигляді. В нормальному, а не відсканований папірець.
Що це дасть: командир більше не зможе порвати рапорт на очах у солдата, не зможе його загубити чи тягнути з погодженням. Це можна розглядати як захист прав військовослужбовців. Командир, звісно, має право не погодити, але зобовʼязаний зазначити причину, яку неможна потім прибрати.
Шо по безпеці: Цю інформацію ми скоро дізнаємось з офіційної комунікації, але можу сказати, що, як на мене, стало значно краще, ніж у інших відомих кейсах.
Шо по бюджетам: розробляли військові, які не були військовими до 22 року. Тобто лише їх тилова ЗП. Це перший яскравий приклад реалізованої ініціативи, що айтішники можуть в армії працювати за фахом. Не останній. Інфа 100. У війська багато задач для них.
Можна відноситись по різному: хейтити, ігнорувати, пишатись, заздрити. Кожен обере собі сам. Я обираю пишатись.
Мінуси: патч “я їбу де твій рапорт” більше не актуальний.
👍6🔥3❤1
Книга від засновника однойменної організації. Саме з цієї книги я і дізнався, що їх голова - не Христо Грозєв :). Автор описує свій шлях, як він прийшов до пошуку інформації по відкритих джерелах, свою мотивацію, як формувалися принципи збору доказів, як різні люди винаходили різні методи.
Еліот Ґіґінз почав цим займатись через бажання розібратися у протестних подіях в Каїрі. Саме тоді технології почали дозволяти вивалювати багато інформації в інтернет. Памʼятаю ще з новин того часу, що влада Єгипту забороняла доступ до твіттеру, бо протестуючи через нього здійснювали координацію. Описуються спроби визначення точного часу зйомки та геолокації за кутом тіні від обʼєктів та іншими не технологічними факторами.
Окрім Єгипту багато уваги приділено війні в Сирії, Україні, збиттям пасажирських рейсів над Україною, Іраном, та гучним політичним спробам вбивств: Скрипалі, Навальний, Хангошвілі. Цінність полягає в гарній детективній подачі, але при цьому зовсім не художній, процесів збору та аналізу інформації: які проблеми зустрічали дослідники, як їх вирішували, які етичні принципи не дозволяли собі порушувати, а які все ж дозволили і чому. В цілому цікаво.
Професійним ОСІНТерам буде просто приємно почитати, особливо в частині алгоритмів аналізу фейкових паспортів кацапської ударної агентури. Людям, не дотичним до ОСІНТу в житті, сподобаються якісно подані реальні історії приховування шпигунів в інфополі, та їх виявлення.
В мене ж ця книжка відправляється на полку, щоб по свободі пройтися ще за переліком посилань, бо багато цікавого. Наприклад, на доказах Bellingcat та поверхневому аналізі історії за допомогою ChatGPT мені вдалося виокремити паттерн поведінки пропагандистів рф: аргументи стосовно військових злочинів із використанням риторики, що жертви фейкові і на місце подій їх привезли вже мертвими. Це використовувалось у кейсі атак хімічною зброєю в Сирії, збиття рейсу MH17 над Україною, та в Бучі. Трішечки щось схоже ще використовувалось пропагандистами у другій Чеченській кампанії. До 2000 року подібні риторичні тактики помічені не були. Висновки, гадаю, очевидні.
Загальна оцінка: мені сподобалось, можу рекомендувати.
#книжки
Еліот Ґіґінз почав цим займатись через бажання розібратися у протестних подіях в Каїрі. Саме тоді технології почали дозволяти вивалювати багато інформації в інтернет. Памʼятаю ще з новин того часу, що влада Єгипту забороняла доступ до твіттеру, бо протестуючи через нього здійснювали координацію. Описуються спроби визначення точного часу зйомки та геолокації за кутом тіні від обʼєктів та іншими не технологічними факторами.
Окрім Єгипту багато уваги приділено війні в Сирії, Україні, збиттям пасажирських рейсів над Україною, Іраном, та гучним політичним спробам вбивств: Скрипалі, Навальний, Хангошвілі. Цінність полягає в гарній детективній подачі, але при цьому зовсім не художній, процесів збору та аналізу інформації: які проблеми зустрічали дослідники, як їх вирішували, які етичні принципи не дозволяли собі порушувати, а які все ж дозволили і чому. В цілому цікаво.
Професійним ОСІНТерам буде просто приємно почитати, особливо в частині алгоритмів аналізу фейкових паспортів кацапської ударної агентури. Людям, не дотичним до ОСІНТу в житті, сподобаються якісно подані реальні історії приховування шпигунів в інфополі, та їх виявлення.
В мене ж ця книжка відправляється на полку, щоб по свободі пройтися ще за переліком посилань, бо багато цікавого. Наприклад, на доказах Bellingcat та поверхневому аналізі історії за допомогою ChatGPT мені вдалося виокремити паттерн поведінки пропагандистів рф: аргументи стосовно військових злочинів із використанням риторики, що жертви фейкові і на місце подій їх привезли вже мертвими. Це використовувалось у кейсі атак хімічною зброєю в Сирії, збиття рейсу MH17 над Україною, та в Бучі. Трішечки щось схоже ще використовувалось пропагандистами у другій Чеченській кампанії. До 2000 року подібні риторичні тактики помічені не були. Висновки, гадаю, очевидні.
Загальна оцінка: мені сподобалось, можу рекомендувати.
#книжки
👍11
Implementation | Secure Build | Build Process | L3
Третій рівень зрілості безпеки вашого білд процесу за SAMM настає коли ви впровадили обовʼязкові перевірки якості реалізації безпеки в артефакті та ви повністю впевнені, що скіпнути їх неможливо, або хоча б дуже важко (і ви можете довести це математично). Тобто вам знадобиться якийсь бейслайн, невиконання якого буде валити білд. А от якщо білд зелений - значить і артефакт гарантовано задовольняє мінімальним вимогам безпеки.
Бенефіт
Підвищення впевненості, що вам не треба бігати перед релізом і думати, що треба зробити щоб "секʼюріті", чи пентестерів звати, чи хз. Ваш менеджмент буде розуміти, що якщо артефакт є, то значить він комплаєнт до якогось комплаєнсу, який описаний у вас на вікі. Буде менше стресу (правда лише у тих, хто не реалізовував самі перевірки, але це і є мета).
Активності
По-перше, нам знадобиться сам бейслайн, тобто мінімальний набір вимог з боку безпеки до конкретного артефакта. Штука дуже індивідуальна, то ж доведеться сидіти і формувати його. А для цього нам знадобиться розуміння профілю безпеки даного модуля (див. Design -> Threat assessment -> App Risk Profile). А для визначення профілю нам знадобиться інвентаризація та класифікація даних, що будуть процеситись модулем. То ж, не нехтуємо нудною роботою, вона важлива, хоч і нудна.
По-друге, нам доведеться якось написати автоматизовані перевірки, спираючись на створений бейслайн, а значить нам знадобиться скілл автоматизації.
По-третє, всі зауваження, що видали ваші кастомні тести на бейслайн, мають якось менеджитись:
👉 зрозумілі алерти про невідповідність вимогам,
👉 зберігання результатів по кожній перевірці з метаданим білда,
👉 можливість піддати результат аудиту та залишити коментарі і рішення по ним,
👉 мати можливість робити виключення, залишаючи коментарі-поснення кожного виключення.
👉 Бажано, щоб всі ці дії виконувались людьми, яких можна легко ідентифікувати, а не юзером admin.
Власне, все це зазвичай реалізовано в комерційних рішеннях типу SAST/DAST/SCA, і іноді навіть відносно нормально в опенсорсних. DependencyTrack, наприклад, але там є питання стосовно включення його в автоматизований пайплайн.
Якщо вам треба щось перевіряти таке, що неможливо автоматизувати, то доведеться перевірку робити організаційними заходами.
В ідеалі, все це можна перекласти на AQA та QA, але вам доведеться дуже добре з ними потоварищувати. І про це є окремий пункт у розділі Verification.
По-четверте, виконуйте підписання коду на іншому, централізованому сервері, який не передає сертифікат туди, де виконується білд.
Допоміжне питання до самого себе
А ти точно заенфорсив автоматизовані перевірки у білд процесі?
Критерії якості відповіді:
1 Білд падає, якщо аплікуха не відповідає описаним у бейслані вимогам
2 У вас узгоджено максимальну прийнятну северіті для виявлених вразливостей
3 Ви автоматично журналюєте всі ворнінги (алерти) та фейли у централізованій системі
4 Ви переглядаєте тули та конфігурації для оцінки аплікухи на відповідність вимогам безпеки до неї хоча б раз на рік (якщо це має сенс, звісно)
Implementation | Secure Build | Build Process | L1
Implementation | Secure Build | Build Process | L2
#SAMM
Третій рівень зрілості безпеки вашого білд процесу за SAMM настає коли ви впровадили обовʼязкові перевірки якості реалізації безпеки в артефакті та ви повністю впевнені, що скіпнути їх неможливо, або хоча б дуже важко (і ви можете довести це математично). Тобто вам знадобиться якийсь бейслайн, невиконання якого буде валити білд. А от якщо білд зелений - значить і артефакт гарантовано задовольняє мінімальним вимогам безпеки.
Бенефіт
Підвищення впевненості, що вам не треба бігати перед релізом і думати, що треба зробити щоб "секʼюріті", чи пентестерів звати, чи хз. Ваш менеджмент буде розуміти, що якщо артефакт є, то значить він комплаєнт до якогось комплаєнсу, який описаний у вас на вікі. Буде менше стресу (правда лише у тих, хто не реалізовував самі перевірки, але це і є мета).
Активності
По-перше, нам знадобиться сам бейслайн, тобто мінімальний набір вимог з боку безпеки до конкретного артефакта. Штука дуже індивідуальна, то ж доведеться сидіти і формувати його. А для цього нам знадобиться розуміння профілю безпеки даного модуля (див. Design -> Threat assessment -> App Risk Profile). А для визначення профілю нам знадобиться інвентаризація та класифікація даних, що будуть процеситись модулем. То ж, не нехтуємо нудною роботою, вона важлива, хоч і нудна.
По-друге, нам доведеться якось написати автоматизовані перевірки, спираючись на створений бейслайн, а значить нам знадобиться скілл автоматизації.
По-третє, всі зауваження, що видали ваші кастомні тести на бейслайн, мають якось менеджитись:
👉 зрозумілі алерти про невідповідність вимогам,
👉 зберігання результатів по кожній перевірці з метаданим білда,
👉 можливість піддати результат аудиту та залишити коментарі і рішення по ним,
👉 мати можливість робити виключення, залишаючи коментарі-поснення кожного виключення.
👉 Бажано, щоб всі ці дії виконувались людьми, яких можна легко ідентифікувати, а не юзером admin.
Власне, все це зазвичай реалізовано в комерційних рішеннях типу SAST/DAST/SCA, і іноді навіть відносно нормально в опенсорсних. DependencyTrack, наприклад, але там є питання стосовно включення його в автоматизований пайплайн.
Якщо вам треба щось перевіряти таке, що неможливо автоматизувати, то доведеться перевірку робити організаційними заходами.
В ідеалі, все це можна перекласти на AQA та QA, але вам доведеться дуже добре з ними потоварищувати. І про це є окремий пункт у розділі Verification.
По-четверте, виконуйте підписання коду на іншому, централізованому сервері, який не передає сертифікат туди, де виконується білд.
Допоміжне питання до самого себе
А ти точно заенфорсив автоматизовані перевірки у білд процесі?
Критерії якості відповіді:
1 Білд падає, якщо аплікуха не відповідає описаним у бейслані вимогам
2 У вас узгоджено максимальну прийнятну северіті для виявлених вразливостей
3 Ви автоматично журналюєте всі ворнінги (алерти) та фейли у централізованій системі
4 Ви переглядаєте тули та конфігурації для оцінки аплікухи на відповідність вимогам безпеки до неї хоча б раз на рік (якщо це має сенс, звісно)
Implementation | Secure Build | Build Process | L1
Implementation | Secure Build | Build Process | L2
#SAMM
❤8👍1🔥1
Весь третій рівень дуже схожий на те, про що зазвичай мріють менеджери, архітектори, та ще не вигорівші девопси, фантазуючи про кволіті гейти за допомогою САСТів/ДАСТів. Тепер ми знаємо, що це третій рівень зрілості. А як багато ви бачили тих, хто хочаб другий виконав нормально? Отож десь там, зазвичай, ті фантазії і залишаються. Десь на шляху до беклогу.
😢1
ProtonVPN вже роздає 50% знижки на честь Чорної пʼятниці. https://protonvpn.com/ru/blackfriday
👍7🖕2
Років 5 тому побачив рекомендацію в твітері купити Grammarly на чорну пʼятницю. З тих пір не можу злізти з платної підписки, навіть коли провтикав знижки. https://www.grammarly.com/black-friday Одна з найкращих покупок у житті. А що ви купуєте на чорну пʼятницю (Сталкер 2 не рахується)?
Grammarly
Grammarly: Free AI Writing Assistance
Grammarly makes AI writing convenient. Work smarter with personalized AI guidance and text generation on any app or website.
🔥4❤1
Книга, яку не соромно порекомендувати.
В першу чергу буде цікава тим, хто небайдужий до алгоритмів роботи спецслужб, бо вся книга - це добірка операцій Моссада. Автори доволі детально описують процес планування операцій: головна мета, можливі сценарії виконання, ризики, таємний звʼязок, план комунікацій, план відходу, план припинення, подальша робота із наслідками або невдачами. Я вважаю корисно для всіх, кому доводиться планувати якісь проєкти або акції.
Історії розказані трохи “однобоко”, але приклади провалених операцій також наведені, що дуже важливо.
Також, я вважаю, книга може бути корисна всім, хто забезпечує безпеку підприємства або фіз. охорону осіб: деякі приклади прям дуже добре показують, що якісне моделювання загроз, планування заходів та їх виконання можуть значно подовжити роки життя обʼєктові захисту.
Більшість історій - це історії ліквідацій осіб на чужій території, або історії організацій витоків даних. За однією такою історією Netflix зняв серіал (хто б сумнівався) The Spy. Трохи додали там драми, але все одно непоганий. І на роль арабів підібрали арабів, що також вражає 🙂
Із мінусів: трохи завелика, аде доволі зручно читати по одній главі, бо вони є незалежними історіями.
Залюбки почитав би щось схоже про ГУР та операції інших Українських спецслужб.
#книжки
В першу чергу буде цікава тим, хто небайдужий до алгоритмів роботи спецслужб, бо вся книга - це добірка операцій Моссада. Автори доволі детально описують процес планування операцій: головна мета, можливі сценарії виконання, ризики, таємний звʼязок, план комунікацій, план відходу, план припинення, подальша робота із наслідками або невдачами. Я вважаю корисно для всіх, кому доводиться планувати якісь проєкти або акції.
Історії розказані трохи “однобоко”, але приклади провалених операцій також наведені, що дуже важливо.
Також, я вважаю, книга може бути корисна всім, хто забезпечує безпеку підприємства або фіз. охорону осіб: деякі приклади прям дуже добре показують, що якісне моделювання загроз, планування заходів та їх виконання можуть значно подовжити роки життя обʼєктові захисту.
Більшість історій - це історії ліквідацій осіб на чужій території, або історії організацій витоків даних. За однією такою історією Netflix зняв серіал (хто б сумнівався) The Spy. Трохи додали там драми, але все одно непоганий. І на роль арабів підібрали арабів, що також вражає 🙂
Із мінусів: трохи завелика, аде доволі зручно читати по одній главі, бо вони є незалежними історіями.
Залюбки почитав би щось схоже про ГУР та операції інших Українських спецслужб.
#книжки
👍10🤡2🔥1