І ще момент: моя особиста суб'єктивна думка - вчорашня стаття на Wired занадто всрата, щоб одразу їй повірити. І якісь дивні місця зберігання кредів, і "надійне джерело" в особі анонімного хакера, і слово Ukraine підсвічується так, ніби їх SEO-шник вийшов на літні канікули і має час на експерименти. Якось трохи джинсою пахне, як на мене.
👍6
Для тих, у кого є вільний час і натхнення, залишу тут цікавий документ. Сам ще не добрався до детального вивчення, але дуже хочу. https://datatracker.ietf.org/doc/html/rfc6819
IETF Datatracker
RFC 6819: OAuth 2.0 Threat Model and Security Considerations
This document gives additional security considerations for OAuth, beyond those in the OAuth 2.0 specification, based on a comprehensive threat model for the OAuth 2.0 protocol. This document is not an Internet Standards Track specification; it is published…
👍4👀1
День сьогодні видався цікавий. Тепер в нас +1 кейс у прикладах реалізації ризиків. Краудстрайку скорішого одужання, я в них щиро вірю. А нам всім зробити висновок: любиш на вендорів спиратися, люби і сапплайн чейн ризики рахувати.
Ось нам всім почитати на вихідних: https://csrc.nist.gov/pubs/sp/800/161/r1/final
Ось нам всім почитати на вихідних: https://csrc.nist.gov/pubs/sp/800/161/r1/final
CSRC | NIST
NIST Special Publication (SP) 800-161 Rev. 1 (Withdrawn), Cybersecurity Supply Chain Risk Management Practices for Systems and…
Organizations are concerned about the risks associated with products and services that may potentially contain malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the supply chain. These risks…
👍5❤2
Сьогодні МОУ релізнуло застосунок Армія+.
Перший реліз - це MVP. З наявного: рапорти в електронному вигляді. В нормальному, а не відсканований папірець.
Що це дасть: командир більше не зможе порвати рапорт на очах у солдата, не зможе його загубити чи тягнути з погодженням. Це можна розглядати як захист прав військовослужбовців. Командир, звісно, має право не погодити, але зобовʼязаний зазначити причину, яку неможна потім прибрати.
Шо по безпеці: Цю інформацію ми скоро дізнаємось з офіційної комунікації, але можу сказати, що, як на мене, стало значно краще, ніж у інших відомих кейсах.
Шо по бюджетам: розробляли військові, які не були військовими до 22 року. Тобто лише їх тилова ЗП. Це перший яскравий приклад реалізованої ініціативи, що айтішники можуть в армії працювати за фахом. Не останній. Інфа 100. У війська багато задач для них.
Можна відноситись по різному: хейтити, ігнорувати, пишатись, заздрити. Кожен обере собі сам. Я обираю пишатись.
Мінуси: патч “я їбу де твій рапорт” більше не актуальний.
Перший реліз - це MVP. З наявного: рапорти в електронному вигляді. В нормальному, а не відсканований папірець.
Що це дасть: командир більше не зможе порвати рапорт на очах у солдата, не зможе його загубити чи тягнути з погодженням. Це можна розглядати як захист прав військовослужбовців. Командир, звісно, має право не погодити, але зобовʼязаний зазначити причину, яку неможна потім прибрати.
Шо по безпеці: Цю інформацію ми скоро дізнаємось з офіційної комунікації, але можу сказати, що, як на мене, стало значно краще, ніж у інших відомих кейсах.
Шо по бюджетам: розробляли військові, які не були військовими до 22 року. Тобто лише їх тилова ЗП. Це перший яскравий приклад реалізованої ініціативи, що айтішники можуть в армії працювати за фахом. Не останній. Інфа 100. У війська багато задач для них.
Можна відноситись по різному: хейтити, ігнорувати, пишатись, заздрити. Кожен обере собі сам. Я обираю пишатись.
Мінуси: патч “я їбу де твій рапорт” більше не актуальний.
👍6🔥3❤1
Книга від засновника однойменної організації. Саме з цієї книги я і дізнався, що їх голова - не Христо Грозєв :). Автор описує свій шлях, як він прийшов до пошуку інформації по відкритих джерелах, свою мотивацію, як формувалися принципи збору доказів, як різні люди винаходили різні методи.
Еліот Ґіґінз почав цим займатись через бажання розібратися у протестних подіях в Каїрі. Саме тоді технології почали дозволяти вивалювати багато інформації в інтернет. Памʼятаю ще з новин того часу, що влада Єгипту забороняла доступ до твіттеру, бо протестуючи через нього здійснювали координацію. Описуються спроби визначення точного часу зйомки та геолокації за кутом тіні від обʼєктів та іншими не технологічними факторами.
Окрім Єгипту багато уваги приділено війні в Сирії, Україні, збиттям пасажирських рейсів над Україною, Іраном, та гучним політичним спробам вбивств: Скрипалі, Навальний, Хангошвілі. Цінність полягає в гарній детективній подачі, але при цьому зовсім не художній, процесів збору та аналізу інформації: які проблеми зустрічали дослідники, як їх вирішували, які етичні принципи не дозволяли собі порушувати, а які все ж дозволили і чому. В цілому цікаво.
Професійним ОСІНТерам буде просто приємно почитати, особливо в частині алгоритмів аналізу фейкових паспортів кацапської ударної агентури. Людям, не дотичним до ОСІНТу в житті, сподобаються якісно подані реальні історії приховування шпигунів в інфополі, та їх виявлення.
В мене ж ця книжка відправляється на полку, щоб по свободі пройтися ще за переліком посилань, бо багато цікавого. Наприклад, на доказах Bellingcat та поверхневому аналізі історії за допомогою ChatGPT мені вдалося виокремити паттерн поведінки пропагандистів рф: аргументи стосовно військових злочинів із використанням риторики, що жертви фейкові і на місце подій їх привезли вже мертвими. Це використовувалось у кейсі атак хімічною зброєю в Сирії, збиття рейсу MH17 над Україною, та в Бучі. Трішечки щось схоже ще використовувалось пропагандистами у другій Чеченській кампанії. До 2000 року подібні риторичні тактики помічені не були. Висновки, гадаю, очевидні.
Загальна оцінка: мені сподобалось, можу рекомендувати.
#книжки
Еліот Ґіґінз почав цим займатись через бажання розібратися у протестних подіях в Каїрі. Саме тоді технології почали дозволяти вивалювати багато інформації в інтернет. Памʼятаю ще з новин того часу, що влада Єгипту забороняла доступ до твіттеру, бо протестуючи через нього здійснювали координацію. Описуються спроби визначення точного часу зйомки та геолокації за кутом тіні від обʼєктів та іншими не технологічними факторами.
Окрім Єгипту багато уваги приділено війні в Сирії, Україні, збиттям пасажирських рейсів над Україною, Іраном, та гучним політичним спробам вбивств: Скрипалі, Навальний, Хангошвілі. Цінність полягає в гарній детективній подачі, але при цьому зовсім не художній, процесів збору та аналізу інформації: які проблеми зустрічали дослідники, як їх вирішували, які етичні принципи не дозволяли собі порушувати, а які все ж дозволили і чому. В цілому цікаво.
Професійним ОСІНТерам буде просто приємно почитати, особливо в частині алгоритмів аналізу фейкових паспортів кацапської ударної агентури. Людям, не дотичним до ОСІНТу в житті, сподобаються якісно подані реальні історії приховування шпигунів в інфополі, та їх виявлення.
В мене ж ця книжка відправляється на полку, щоб по свободі пройтися ще за переліком посилань, бо багато цікавого. Наприклад, на доказах Bellingcat та поверхневому аналізі історії за допомогою ChatGPT мені вдалося виокремити паттерн поведінки пропагандистів рф: аргументи стосовно військових злочинів із використанням риторики, що жертви фейкові і на місце подій їх привезли вже мертвими. Це використовувалось у кейсі атак хімічною зброєю в Сирії, збиття рейсу MH17 над Україною, та в Бучі. Трішечки щось схоже ще використовувалось пропагандистами у другій Чеченській кампанії. До 2000 року подібні риторичні тактики помічені не були. Висновки, гадаю, очевидні.
Загальна оцінка: мені сподобалось, можу рекомендувати.
#книжки
👍11
Implementation | Secure Build | Build Process | L3
Третій рівень зрілості безпеки вашого білд процесу за SAMM настає коли ви впровадили обовʼязкові перевірки якості реалізації безпеки в артефакті та ви повністю впевнені, що скіпнути їх неможливо, або хоча б дуже важко (і ви можете довести це математично). Тобто вам знадобиться якийсь бейслайн, невиконання якого буде валити білд. А от якщо білд зелений - значить і артефакт гарантовано задовольняє мінімальним вимогам безпеки.
Бенефіт
Підвищення впевненості, що вам не треба бігати перед релізом і думати, що треба зробити щоб "секʼюріті", чи пентестерів звати, чи хз. Ваш менеджмент буде розуміти, що якщо артефакт є, то значить він комплаєнт до якогось комплаєнсу, який описаний у вас на вікі. Буде менше стресу (правда лише у тих, хто не реалізовував самі перевірки, але це і є мета).
Активності
По-перше, нам знадобиться сам бейслайн, тобто мінімальний набір вимог з боку безпеки до конкретного артефакта. Штука дуже індивідуальна, то ж доведеться сидіти і формувати його. А для цього нам знадобиться розуміння профілю безпеки даного модуля (див. Design -> Threat assessment -> App Risk Profile). А для визначення профілю нам знадобиться інвентаризація та класифікація даних, що будуть процеситись модулем. То ж, не нехтуємо нудною роботою, вона важлива, хоч і нудна.
По-друге, нам доведеться якось написати автоматизовані перевірки, спираючись на створений бейслайн, а значить нам знадобиться скілл автоматизації.
По-третє, всі зауваження, що видали ваші кастомні тести на бейслайн, мають якось менеджитись:
👉 зрозумілі алерти про невідповідність вимогам,
👉 зберігання результатів по кожній перевірці з метаданим білда,
👉 можливість піддати результат аудиту та залишити коментарі і рішення по ним,
👉 мати можливість робити виключення, залишаючи коментарі-поснення кожного виключення.
👉 Бажано, щоб всі ці дії виконувались людьми, яких можна легко ідентифікувати, а не юзером admin.
Власне, все це зазвичай реалізовано в комерційних рішеннях типу SAST/DAST/SCA, і іноді навіть відносно нормально в опенсорсних. DependencyTrack, наприклад, але там є питання стосовно включення його в автоматизований пайплайн.
Якщо вам треба щось перевіряти таке, що неможливо автоматизувати, то доведеться перевірку робити організаційними заходами.
В ідеалі, все це можна перекласти на AQA та QA, але вам доведеться дуже добре з ними потоварищувати. І про це є окремий пункт у розділі Verification.
По-четверте, виконуйте підписання коду на іншому, централізованому сервері, який не передає сертифікат туди, де виконується білд.
Допоміжне питання до самого себе
А ти точно заенфорсив автоматизовані перевірки у білд процесі?
Критерії якості відповіді:
1 Білд падає, якщо аплікуха не відповідає описаним у бейслані вимогам
2 У вас узгоджено максимальну прийнятну северіті для виявлених вразливостей
3 Ви автоматично журналюєте всі ворнінги (алерти) та фейли у централізованій системі
4 Ви переглядаєте тули та конфігурації для оцінки аплікухи на відповідність вимогам безпеки до неї хоча б раз на рік (якщо це має сенс, звісно)
Implementation | Secure Build | Build Process | L1
Implementation | Secure Build | Build Process | L2
#SAMM
Третій рівень зрілості безпеки вашого білд процесу за SAMM настає коли ви впровадили обовʼязкові перевірки якості реалізації безпеки в артефакті та ви повністю впевнені, що скіпнути їх неможливо, або хоча б дуже важко (і ви можете довести це математично). Тобто вам знадобиться якийсь бейслайн, невиконання якого буде валити білд. А от якщо білд зелений - значить і артефакт гарантовано задовольняє мінімальним вимогам безпеки.
Бенефіт
Підвищення впевненості, що вам не треба бігати перед релізом і думати, що треба зробити щоб "секʼюріті", чи пентестерів звати, чи хз. Ваш менеджмент буде розуміти, що якщо артефакт є, то значить він комплаєнт до якогось комплаєнсу, який описаний у вас на вікі. Буде менше стресу (правда лише у тих, хто не реалізовував самі перевірки, але це і є мета).
Активності
По-перше, нам знадобиться сам бейслайн, тобто мінімальний набір вимог з боку безпеки до конкретного артефакта. Штука дуже індивідуальна, то ж доведеться сидіти і формувати його. А для цього нам знадобиться розуміння профілю безпеки даного модуля (див. Design -> Threat assessment -> App Risk Profile). А для визначення профілю нам знадобиться інвентаризація та класифікація даних, що будуть процеситись модулем. То ж, не нехтуємо нудною роботою, вона важлива, хоч і нудна.
По-друге, нам доведеться якось написати автоматизовані перевірки, спираючись на створений бейслайн, а значить нам знадобиться скілл автоматизації.
По-третє, всі зауваження, що видали ваші кастомні тести на бейслайн, мають якось менеджитись:
👉 зрозумілі алерти про невідповідність вимогам,
👉 зберігання результатів по кожній перевірці з метаданим білда,
👉 можливість піддати результат аудиту та залишити коментарі і рішення по ним,
👉 мати можливість робити виключення, залишаючи коментарі-поснення кожного виключення.
👉 Бажано, щоб всі ці дії виконувались людьми, яких можна легко ідентифікувати, а не юзером admin.
Власне, все це зазвичай реалізовано в комерційних рішеннях типу SAST/DAST/SCA, і іноді навіть відносно нормально в опенсорсних. DependencyTrack, наприклад, але там є питання стосовно включення його в автоматизований пайплайн.
Якщо вам треба щось перевіряти таке, що неможливо автоматизувати, то доведеться перевірку робити організаційними заходами.
В ідеалі, все це можна перекласти на AQA та QA, але вам доведеться дуже добре з ними потоварищувати. І про це є окремий пункт у розділі Verification.
По-четверте, виконуйте підписання коду на іншому, централізованому сервері, який не передає сертифікат туди, де виконується білд.
Допоміжне питання до самого себе
А ти точно заенфорсив автоматизовані перевірки у білд процесі?
Критерії якості відповіді:
1 Білд падає, якщо аплікуха не відповідає описаним у бейслані вимогам
2 У вас узгоджено максимальну прийнятну северіті для виявлених вразливостей
3 Ви автоматично журналюєте всі ворнінги (алерти) та фейли у централізованій системі
4 Ви переглядаєте тули та конфігурації для оцінки аплікухи на відповідність вимогам безпеки до неї хоча б раз на рік (якщо це має сенс, звісно)
Implementation | Secure Build | Build Process | L1
Implementation | Secure Build | Build Process | L2
#SAMM
❤8👍1🔥1
Весь третій рівень дуже схожий на те, про що зазвичай мріють менеджери, архітектори, та ще не вигорівші девопси, фантазуючи про кволіті гейти за допомогою САСТів/ДАСТів. Тепер ми знаємо, що це третій рівень зрілості. А як багато ви бачили тих, хто хочаб другий виконав нормально? Отож десь там, зазвичай, ті фантазії і залишаються. Десь на шляху до беклогу.
😢1
ProtonVPN вже роздає 50% знижки на честь Чорної пʼятниці. https://protonvpn.com/ru/blackfriday
👍7🖕2
Років 5 тому побачив рекомендацію в твітері купити Grammarly на чорну пʼятницю. З тих пір не можу злізти з платної підписки, навіть коли провтикав знижки. https://www.grammarly.com/black-friday Одна з найкращих покупок у житті. А що ви купуєте на чорну пʼятницю (Сталкер 2 не рахується)?
Grammarly
Grammarly: Free AI Writing Assistance
Grammarly makes AI writing convenient. Work smarter with personalized AI guidance and text generation on any app or website.
🔥4❤1
Книга, яку не соромно порекомендувати.
В першу чергу буде цікава тим, хто небайдужий до алгоритмів роботи спецслужб, бо вся книга - це добірка операцій Моссада. Автори доволі детально описують процес планування операцій: головна мета, можливі сценарії виконання, ризики, таємний звʼязок, план комунікацій, план відходу, план припинення, подальша робота із наслідками або невдачами. Я вважаю корисно для всіх, кому доводиться планувати якісь проєкти або акції.
Історії розказані трохи “однобоко”, але приклади провалених операцій також наведені, що дуже важливо.
Також, я вважаю, книга може бути корисна всім, хто забезпечує безпеку підприємства або фіз. охорону осіб: деякі приклади прям дуже добре показують, що якісне моделювання загроз, планування заходів та їх виконання можуть значно подовжити роки життя обʼєктові захисту.
Більшість історій - це історії ліквідацій осіб на чужій території, або історії організацій витоків даних. За однією такою історією Netflix зняв серіал (хто б сумнівався) The Spy. Трохи додали там драми, але все одно непоганий. І на роль арабів підібрали арабів, що також вражає 🙂
Із мінусів: трохи завелика, аде доволі зручно читати по одній главі, бо вони є незалежними історіями.
Залюбки почитав би щось схоже про ГУР та операції інших Українських спецслужб.
#книжки
В першу чергу буде цікава тим, хто небайдужий до алгоритмів роботи спецслужб, бо вся книга - це добірка операцій Моссада. Автори доволі детально описують процес планування операцій: головна мета, можливі сценарії виконання, ризики, таємний звʼязок, план комунікацій, план відходу, план припинення, подальша робота із наслідками або невдачами. Я вважаю корисно для всіх, кому доводиться планувати якісь проєкти або акції.
Історії розказані трохи “однобоко”, але приклади провалених операцій також наведені, що дуже важливо.
Також, я вважаю, книга може бути корисна всім, хто забезпечує безпеку підприємства або фіз. охорону осіб: деякі приклади прям дуже добре показують, що якісне моделювання загроз, планування заходів та їх виконання можуть значно подовжити роки життя обʼєктові захисту.
Більшість історій - це історії ліквідацій осіб на чужій території, або історії організацій витоків даних. За однією такою історією Netflix зняв серіал (хто б сумнівався) The Spy. Трохи додали там драми, але все одно непоганий. І на роль арабів підібрали арабів, що також вражає 🙂
Із мінусів: трохи завелика, аде доволі зручно читати по одній главі, бо вони є незалежними історіями.
Залюбки почитав би щось схоже про ГУР та операції інших Українських спецслужб.
#книжки
👍10🤡2🔥1
Британський оператор стільникового звʼязку викатив ШІ власного виробництва, як контрміру проти телефоних скамерів (колл-центри по нашому). Нажаль статистику ефективності знайти поки не вдалося, але в цілому стратегія справді крута: правильно підготовлена улюблена приманка, та атака у найболючіше - у витрачений час. https://youtu.be/RV_SdCfZ-0s?si=f1RCktHpHCI3R694
YouTube
AI Scambaiters: O2 creates AI Granny to waste scammers’ time
O2 has created human-like Daisy, an AI ‘Granny’ to answer calls in real time from fraudsters, keeping them on the phone and away from customers for as long as possible.
With Daisy revealing how you’re not always speaking to the person you think you are…
With Daisy revealing how you’re not always speaking to the person you think you are…
👍7❤1
🔴 УВАГА! Попередження про фішинг (Армія+)
Шановні колеги,
Центр реагування на кіберінциденти Міністерства Оборони України повідомляє про підготовку фішингових атак, спрямованих на користувачів сервісу Армія+.
Будь ласка, зверніть увагу на наступні важливі моменти:
👉 Армія+ не має Desktop додатку. Якщо ви отримали пропозицію завантажити такий додаток, це шахрайство.
👉 Використовуйте тільки офіційні сайти для завантаження додатків. Переконайтеся, що ви завантажуєте додатки лише з офіційних джерел.
👉 Остерігайтеся підозрілих файлів. Не завантажуйте файли з невідомих джерел. Вони можуть містити шкідливе програмне забезпечення, яке встановлює доступ до вашого комп'ютера і відправляє ваші дані ворогу.
👉 Звертайте увагу на referer headers з вмістом workers[.]dev, які можуть бути:
hXXPs://beta-0-110[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-111[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1110[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1111[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1112[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1113[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1114[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1115[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1116[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1117[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1118[.]armyplus-desktop[.]workers[.]dev
Якщо у вас є підозри щодо безпеки, негайно зверніться до чергового Центру реагування на кіберінциденти МОУ (+380967737370 Signal).
Шановні колеги,
Центр реагування на кіберінциденти Міністерства Оборони України повідомляє про підготовку фішингових атак, спрямованих на користувачів сервісу Армія+.
Будь ласка, зверніть увагу на наступні важливі моменти:
👉 Армія+ не має Desktop додатку. Якщо ви отримали пропозицію завантажити такий додаток, це шахрайство.
👉 Використовуйте тільки офіційні сайти для завантаження додатків. Переконайтеся, що ви завантажуєте додатки лише з офіційних джерел.
👉 Остерігайтеся підозрілих файлів. Не завантажуйте файли з невідомих джерел. Вони можуть містити шкідливе програмне забезпечення, яке встановлює доступ до вашого комп'ютера і відправляє ваші дані ворогу.
👉 Звертайте увагу на referer headers з вмістом workers[.]dev, які можуть бути:
hXXPs://beta-0-110[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-111[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1110[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1111[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1112[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1113[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1114[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1115[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1116[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1117[.]armyplus-desktop[.]workers[.]dev
hXXPs://beta-0-1118[.]armyplus-desktop[.]workers[.]dev
Якщо у вас є підозри щодо безпеки, негайно зверніться до чергового Центру реагування на кіберінциденти МОУ (+380967737370 Signal).
👍10🔥1