Привіт, завтра у нас войс чат 🙋‍♀️ тема: ринок роботи в сфері кібербезпеки в Україні та світі. Особливості напрямку malware analysis

Наш гість : Олександр Адамов - к.т.н., керівник науково-дослідницької лабораторії NioGuard Security Lab з 15-річним досвідом аналізу кібератак.

https://t.iss.one/cyberpeople?livestream

Початок першої години ночі, дев'яте червня. Щоб трохи легше було очікувати на ракетний обстріл десь через 2-3 години, просто знайте: хтось сьогодні кібер-покурив електронні цигарки біля нацбанку у мордорі, чим перетворив на шматки цегли трохи девайсів Cisco. Ці девайси забезпечували з'єднання центробанку із іншими банками, чим зупинив роботу банківської системи. В цікаві часи живемо. Через 5 років студенти в універах будуть кібербезпеку по цим подіям вчити. І, скоріш за все, в військових універах, як військову дисципліну.

Більше деталей тут: https://t.iss.one/anarchy_squad/819

О пів на першу ночі, і це самий час знайти якісь свої старючі, наче твої погляди на морально-етичні норми поведінки із родичами, нотатки про тули, які слід колись спробувати поюзати в роботі. Я забембався, але таки доскролив до найдрівнішої ( 22.01.2019), і там на нас чекав плагін для Chrome, який робить - цитата - "WordPress Vulnerability Scanning and information gathering!". Погнали розбиратися.

Посилання на Github: https://github.com/Tuhinshubhra/WPintel
Посилання у Веб-сторі Chrome: https://chrome.google.com/webstore/detail/wpintel-wordpress-vulnera/mkhmkjcbidkifopffebieonhhkondlfe?hl=uk
Розробник:Tuhinshubhra
Версі: 1.7
Оновлено: 8 березня 2019 р.
А от у гітхабі останнє оновлення 8 місяців тому (рефакторінг, що особливо прикольно, через 4 роки після написання коду). Автор прямо як я із своїми нотатками

Як працює переважна більшість систем скану безпеки Wordpress:
- перевіряється чи справді сайт на WordPress, чи ні за допомогою переходу по специфічним URI, наприклад "/wp-admin" чи "/wp-content"
- перевіряються встановлені плагіни, бо кожен плагін у цій CMS живе у власній директорії, що доступна за урлом "/wp-content/plugins/plugin-name/". Імена плагінів підставляються спочатку із найпопулярніших, що доступні у WordPress маркетплесі, або ж, якщо є час і нестерпне бажання, то можна брутфорсити ім'я плагіну. Саме брутфорсом можна знайти якісь кастомні плагіни.
- рівно те ж саме виконується із темами (дизайном)
- також можна побрутити через URL імена користувачів, які також відображаються у URI
- ще трохи різних методів, які ви із легкісттю нагуглите.

Плагіни і теми розробляються сторонніми розробниками із гори і є, мабуть, найслабшою ланкою у системі безпеки WordPress, то ж на них максимум уваги.
Щоб встановити версії плагінів та тем достатньо пошукати у знайдених директоріях файли changelog та readme, зазвичай в них все необхідне написано. Знаючи назву та версію плагіну нам залишається лише звернутися до якої-небудь бази даних із відомостями про вразливості.
Поважні компанії, що спеціалізуються на безпеці Wordpress, намагаються вести власні бази. Робота складна, важка та потребує витрат, але від якості бази, яку ви використовуєте, напряму залежить успіх вашого бізнесу із сканів вордпресс. Го перевіремо, чим цей плагін відрізняється від інших, таких як WPScan та ін.

Поперше - воно запускається і працює. Схоже оновлення в коді було не спроста, ще подивимось. Плагін швидко розуміє, чт на вордпрессі зроблено сайт, про що сповіщає користувача на панелі зеленою іконкою та готовністтю до скану. Нормально детектить перелік плагінів (скоріш за все прочитав у коді сторінок) та тем,показує перелік користувачів та ще пару речей. То ж йдемо до найоголовнішого - підтягуємо версії та вразливості. І ось тут юай нам показує анімованого павучка і на цьому завершується наша прекрасна подорож. То ж куди він ходить за даними про вразливості? Відповідь знаходиться у рядку 247 у файлі /js/scans.js:

async function check_vuln(version){
/*
  TODO: change the domain from dev to pub
  FIXED: instead of wpvulndb use my own custom database
*/
  
    show_scanning('../images/crawl_vuln.svg', 'Checking for Version Vulnerabilities...', '4');
    // var vuln_ver = version.split(".").join("");
    // var vuln_url = 'https://wpvulndb.com/api/v2/wordpresses/' + vuln_ver;
    var vuln_url = `https://wpvulns.com/version/${version}.json`;
  wpintel_debug('wpvuln url: ' + vuln_url);
    var f = await fetch(vuln_url);

    if (f.status == 200){
        wpintel_debug('got version info from wpvulndb successfully');
        var source = f.text();
        show_version(version, source);
        return;
    }
    show_version(version, false);

Автор переключив роботу плагіну на свій власний домен та свою власну базу, про що, доречі писав у своєму твітері r3dhax0r. Автор живий і досі пише у твітер, навідміну від його БД вразливостей. Тобто, ключовий елемент його бізнес моделі не працює, або виглядає, як непрацюючий, що унеможливлює роботу плагіну.
До речі, у плагіна велика кількість інсталяцій, перехопити цей домен, коли автор завтикає його проплатити вчасно - непогана тема для якоїсь скам-схеми.

Висновки:
1. Тепер ви знаєте дуже поверхнево про базу сканування безпеки вордпресу
2. Також знаєте один неробочий плагін для цього (просто візьміть WPScan)
3. Я викинув один пункт із багаторічного ТуДу-преліку і вбив трохи часу увечері :)

Поговоримо про такі питання:

⁃ які є елементи кібербезпеки в ІТ-системах
⁃ які завдання бізнес-аналізу включають елементи кібербезпеки
⁃ що бізнес-аналітики можуть робити кожного дня для захисту наших ІТ-систем
⁃ де навчатись та як шукати роботу
Долучитись до ефіру можна буде за посиланням https://t.iss.one/cyberpeople?livestream

Дуже нефіговий бандл книжок та тестів для підготовки до поважних сертифікацій, буде доступний ще 19 днів. Опції: 1, 18 та 25 баксів, тобто є час накопичити) . https://www.humblebundle.com/books/sybex-certification-prep-wiley-books

​​CERT-UA завдяки співпраці з Recorded Future виявив шпигунську кампанію групи APT28 (BlueDelta) проти українських організацій

❗️Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, повідомляє про виявлену кіберзагрозу з боку хакерського угрупування APT28 (також відоме як Pawn Storm, Fancy Bear, BlueDelta).

Встановлено, що шпигунську кампанію намагалися здійснити із застосуванням експлойтів для Roundcube (програмне забезпечення для вебпошти) та за допомогою розсилання електронних листів із актуальними новинами щодо ситуації в Україні.

Зокрема, один із електронних листів з темою «Новини України» був отриманий з адреси «[email protected]» та містив контент-приманку, замаскований під статтю видання «NV» (nv.ua).

Подібні листи були надіслані на адреси більше ніж 40 українських організацій.

Фахівці CERT-UA наголошують, що реалізації загрози сприяло використання застарілої версії Roundcube (1.4.1).

🤝Спроби реалізації кіберзагрози допоміг виявити оперативний обмін інформацією з фахівцями компанії Recorded Future.

💬«Цей кейс – чудовий зразок спільної роботи CERT-UA та міжнародної компанії Recorded Future, що дозволила ідентифікувати інфраструктуру, з якої угруповання АРТ28 здійснювало атаки на українські організації», – зазначив заступник голови Держспецзв’язку Віктор Жора.

Деталі – на сайті Урядової команди реагування на комп’ютерні надзвичайні події України – за посиланням https://cert.gov.ua/article/4905829.

Нагадаємо, кіберзловмисники з угрупування APT28 у квітні намагалися атакувати держоргани України фейковими «оновленнями операційної системи».

Microsoft Teams із дефолтними конфігураціями дозволяє гостьовому (зовнішньому) користувачу прикинутись внутрішнім користувачем організації шляхом підміни ID у POST запиті. Таким чином можна передати користувачеві файл із малварь'ю, значно підвищивши шанси на її запуск жертвою. Оновлення із фіксом поки що немає. Шлях вирішення: відключити взаємодію із сторонніми організаціями, або вайтлістити іх домени (сподіваючись, що їх юзерів не скомпрометують) https://www.bleepingcomputer.com/news/security/microsoft-teams-bug-allows-malware-delivery-from-external-accounts/?utm_source=dlvr.it&utm_medium=linkedin

Продовжуємо рубрику OWASP SAMM
Governance | Strategy & Metrics | Measure and Improve | L1

Метрики та вимірювання. Тема, що особисто мене цікавить найбільше. Го розбиратися з рекомендаціями від SAMM.

Рівень перший - це рівень оперування базовими відомостями про ефективність та результативність вашої АппСєк програми. Це вже більше, ніж у 90% ваших колег :D

Активності.
Визначити та задокументувати метрики оцінювання результативності та ефективності програми. Це піздєц як важливо і це велика помилка багатьох. Не можеш виміряти, знач не контролюєш. А вмів би вимірювати, то вмів би доводити до керівництва, під що конкретно тобі потрібні гроші та підтримка.
Пам'ятаємо, що девелопмент є дуже динамічним середовищем, тому метрики мають складатися із вимірювань наступних категорій:
1. Зусилля (Effort) - метрики, що дозволяють вимірювати зусилля, вкладені в безпеку. Наприклад, години тренінгів, години рев`ю коду, кількість аплікух, просканованих на вразливості, тощо.
2. Результат - метрики вимірювання результатів зусиль. Приклади включають кількість ненакатаних патчів (тобто відомих дефектів безпеки) та кількість інцидентів безпеки, пов'язаних із уразливістю аппликейшна.
3. Середовище (Environment) - метрики вимірювання середовища, де мають місце зусилля безпеки. Наприклад кількість додатків або строк коду як міра складності.

Кожна метрика само по собі несе інформацію, але кореляція метрик може надавати розуміння якихось різких змін показників. Так наприклад, різке зростання загального числа вразливостей може бути спричинене впровадженням кількох нових софтин, що раніше не піддавалися реалізованим контролям безпеки.

Для того, щоб ваші метрики були якісними, рекомендується дотримуватись наступних критеріїв:
• Послідовне вимірювання
• Недорогі в збиранні
• Виражається кардинальним числом чи відсотком
• Виражається одиницею вимірювання

Усі ваші показники мають бути задокументовані, включаючи їх опис та метод збору. Також опишіть рекомендовані методи для об'єднання окремих показників у значущі показники. Наприклад, кількість програм і загальна кількість дефектів у всіх програмах можуть бути не корисними самі по собі, але в поєднанні як кількість дефектів с високим северіті на аплікейшн, може мати сенс.

Питання, що треба задати собі: "Чи я використовую набір метрик та вимірювань ефективності та результативності АппСєк програми чи ні?"

Критерії якості відповіді:
1. Ви задокументували кожну метрику, включаючи описання джерел, покриття вимірювання, та інструкцію, як її використовувати для пояснення аппсєк трендів.
2. Метрики включають вимірювання зусиль, результатів та середовища, як вимірювальних категорій.
3. Більшість метрик вимірюються часто, прості чи недорогі у збиранні, виражаються числом або процентами.
4. АппСєк команда та девелопери публікують ці метрики.


Складно, але важливо.

#SAMM

На россии лег спутниковый провайдер с боевитым названием ДоZор-Телепорт, который подключает клиентов через спутники "Экспресс" и "Ямал". Как и в случае с атакой на Viasat в день вторжения, хакеры возможно повредили клиентское оборудование и ядро сети. Найти прошивку к спутниковым модемам и коммутаторам, когда ты плывешь на газпромовском танкере посреди льдов будет нелегко. Клиенты спутникового интернета (включая МО, ФСБ, Росатом, Газпром, Россети) обычно находятся в такой жопе мира, что там можно разве что медведя позвать в качестве консультанта. Полагаю, что для того чтобы восстановить ядро сети уйдет от нескольких дней до нескольких недель, а на восстановление терминалов уйдут месяцы. Даже жаль, что такой прекрасный провайдер достался пригожинским бандитам. С другой стороны, спутниковые провайдеры не закончатся никогда, да и смотреть как россияне бомбят Воронеж можно вечно 🙂

Коли в мене знову будуть просити "дай чек-ліст для девелоперів, як код написати, щоб точно безпечно було, а не оце все незрозуміле" буду надавати це посилання. Правда потім будуть питання "Так і шо, де вразливості? Ти покажи як зламати, а не посилання давай" але то вже зовсім інша історія.

Mitre випустили оновлений Топ-25 слабких місць программного забезпечення.

🔺 Через подібні слабкі місця потім і виникають вразливості в ПЗ.

@secdigestua

Страх і ненависть у національній термінологіі КБ. І вишенька на торті: ОС - Обчислювальна система.

Там масла дохуя шодан по 5 баксів роздають https://twitter.com/shodanhq/status/1680723526494609409

💥Цей день настав!

Distributed Lab спільно з Prometheus запускають безплатний курс «Solidity Smart Contracts» від найдосвідченіших фахівців сфери.

Про що цей курс?
🔥 дослідження можливостей Ethereum, відмінностей між Bitcoin і Ethereum;

🔥 розуміння технології смарт-контрактів, їхнього життєвого циклу;

🔥 знання різних аспектів мови Solidity як мови високого рівня, орієнтованої на контракти;

🔥 здатність проєктувати та розробляти смарт-контракти на Solidity;

🔥 вміння розуміти та використовувати типи даних, функції, події тощо в Solidity;

🔥 здатність взаємодіяти зі смарт-контрактами та розуміти, як обробляються виклики EVM;

🔥 розуміння внутрішніх та зовнішніх бібліотек, їхнього призначення та використання;

🔥 розуміння специфіки роботи з токенами ERC20, ERC721, ERC1155.

Реєстрація за посиланням:
https://prometheus.org.ua/course/course-v1:Prometheus+SSC101+2023_T2

Адміністрація Сполучених Штатів анонсувала Artificial Intelligence Cyber Challenge - дворічні змагання із напилювання найкрутішого рішення на базі ШІ, що допомагатиме виправляти вразливості безпеки у системах забезпечення роботи Інтернету взагалі та систем на об'єктах критичної інфраструктури.
Ми ж розуміємо, що це лише відправна точка і після ОКІ воно все понесеться у цивільний сектор.
Так що, друзі аппсєк інженери, що бачать скоуп своєї роботи лише в аналізі репортів САСТів/ДАСТів та пентинкання веб сервісів за OWASP top 10: у вас ще є два роки на викручування рейзів зарплатні та оволодіння професією бариста (ти ж давно хотів вийти із АйТі, правда ж? :) ). До речі ось тут є непоганий безкоштовний курс із вирощування ганджубасу канабісу: Doane University Cannabis Cultivation and Processing
Загальний призовий фонд змагань $20 000 000.
Хотів би сказати, що саме час опановувати ШІ у своїй повсякденній роботі, але таки ні. Це треба було робити хоча б рік тому. А тепер лише доганяємо останні вагони.

Лінка на сайт змагань: aicyberchallenge.com

#AI #appsec #cybersecurity #cannabis