Сотрудники Калифорнийского университета провели исследование "Security and Privacy Failures in Popular 2FA Apps", в рамках которого проверили на сколько безопасны механизмы резервного копирования в TOTP-приложениях (на Android).
Было проанализировано 22 TOTP-приложения из Google Play, у каждого из которых не менее 100 тысяч загрузок (в т.ч. и отечественный Яндекс.Ключ).
В результате изучения возможностей резервного копирования и механизмов шифрования были выявлены недостатки в их безопасности и сформулированы рекомендации по их возможному устранению.
Из интересного:
❗️Многие приложения позволяют экспортировать резервные копии в открытом виде (без какого-либо шифрования). Какие-то разработчики идут сознательно (для удобства пользователей) на такой шаг, предварительно предупреждая о рисках экспорта в таком виде, но большинство никак не сигнализирует об этом.
Использование QR-кода (в качестве резервной копии) является неплохим компромиссом между безопасностью и удобством для пользователей👌
❗️В механизмах шифрования резервных копий нескольких приложений имеются недостатки, связанные как со слабыми требованиями к пользовательскому паролю (например, не введено ограничение на минимальную длину пароля), так и более "архитектурные" изъяны - "захардкоженная соль" и использование слабых алгоритмов шифрования🤨
❗️В нескольких приложениях зашифрованная резервная копия и пароль от нее отправляются на серверы разработчиков, что может говорит о том, что они потенциально могут получить доступ к данным пользователя😐
ℹ️ Подробнее: по ссылке в начале поста и в репозитории Github.
#2fa #apps #research #otp #totp
Было проанализировано 22 TOTP-приложения из Google Play, у каждого из которых не менее 100 тысяч загрузок (в т.ч. и отечественный Яндекс.Ключ).
В результате изучения возможностей резервного копирования и механизмов шифрования были выявлены недостатки в их безопасности и сформулированы рекомендации по их возможному устранению.
Из интересного:
❗️Многие приложения позволяют экспортировать резервные копии в открытом виде (без какого-либо шифрования). Какие-то разработчики идут сознательно (для удобства пользователей) на такой шаг, предварительно предупреждая о рисках экспорта в таком виде, но большинство никак не сигнализирует об этом.
Использование QR-кода (в качестве резервной копии) является неплохим компромиссом между безопасностью и удобством для пользователей
❗️В механизмах шифрования резервных копий нескольких приложений имеются недостатки, связанные как со слабыми требованиями к пользовательскому паролю (например, не введено ограничение на минимальную длину пароля), так и более "архитектурные" изъяны - "захардкоженная соль" и использование слабых алгоритмов шифрования
❗️В нескольких приложениях зашифрованная резервная копия и пароль от нее отправляются на серверы разработчиков, что может говорит о том, что они потенциально могут получить доступ к данным пользователя
#2fa #apps #research #otp #totp
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥2
Специалисты Google поделились первыми результатами использования искусственного интеллекта для устранения уязвимостей программного кода.
Использование ИИ заключается во встраивании моделей LLM (large language model) в конвейер разработки для автоматического создания фиксов, выявленных ранее уязвимостей.
Несмотря на текущие ограничения как в исправляемых типах уязвимостей, так и используемых языках программирования, специалисты считают результаты многообещающими и продолжают работы по развитию продукта.
#cve #ai #devsecops #google #llm
Использование ИИ заключается во встраивании моделей LLM (large language model) в конвейер разработки для автоматического создания фиксов, выявленных ранее уязвимостей.
Несмотря на текущие ограничения как в исправляемых типах уязвимостей, так и используемых языках программирования, специалисты считают результаты многообещающими и продолжают работы по развитию продукта.
#cve #ai #devsecops #google #llm
👍12
AlexRedSec
Последнее время почти не читал отчеты про ransomware, однако, на работу "2023 Spotlight Report: Ransomware Through the Lens of Threat and Vulnerability Management" обратил внимание, т.к. в этом исследовании есть занимательная информация об уязвимостях, используемых…
"Patterns and Targets for Ransomware Exploitation of Vulnerabilities: 2017–2023" – очередное исследование о ransomware от Recorded Future за соответствующий период👀
Отчетами о шифровальщиках уже сложно кого-то удивить, но данный документ интересен описанием некоторых "ярких" паттернов поведения известных ransomware-группировок, их "любимых" целей, а также перечнем уязвимостей, используемых шифровальщиками – насчитали 87 штук😮
#cve #ransomware #vulnerability #cvss
Отчетами о шифровальщиках уже сложно кого-то удивить, но данный документ интересен описанием некоторых "ярких" паттернов поведения известных ransomware-группировок, их "любимых" целей, а также перечнем уязвимостей, используемых шифровальщиками – насчитали 87 штук
#cve #ransomware #vulnerability #cvss
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍1
По следам завершающейся недели😂
👑 Ivanti не собирается отдавать пальму первенства и продолжает "штамповать" уязвимости.
👑 Fortinet не отстаёт и сразу выдает уязвимость с признаками эксплуатации вживую.
🤴 Trend Micro пока в режиме ожидания, замыкая топ вендоров средств защиты в каталоге CISA KEV.
🐴 Можно еще отметить "темную" лошадку Cisco, которая заслуживает место в топе (по совокупности "достижений"). Вот уже появился PoC для свежей уязвимости в ClamAV — да, продукт не родной для Cisco, но и дырявый Connect Secure от Ivanti является продуктом купленной компании Pulse Secure👀
#news #meme #humor
#news #meme #humor
Please open Telegram to view this post
VIEW IN TELEGRAM
😱6
Британское ведомство NCSC выпустило руководство по эффективному управлению уязвимостями👍
В целом, сложно выделить какие-то новые полезные советы – собраны уже очевидные на текущий момент рекомендации:
➡️ Автоматизация установки обновлений
➡️ Немедленная установка обновлений в случае массовой эксплуатации уязвимости
➡️ Внедрение процедуры принятия рисков в случае отказа/невозможности обновления актива
➡️ Не использовать "в одиночку" такой критерий приоритезации как оценка CVSS
➡️ Мониторинг информационных источников с целью выявления признаков эксплуатации уязвимости.
Из интересного и нового только рекомендуемые плановые сроки установки обновлений:
⚡️ 5 дней – для доступного из сети Интернет
⚡️ 7 дней – для ОС и приложений
⚡️ 14 дней – для внутренних и автономных сервисов и ПО
#cve #cvss #vulnerability #prioritization
В целом, сложно выделить какие-то новые полезные советы – собраны уже очевидные на текущий момент рекомендации:
Из интересного и нового только рекомендуемые плановые сроки установки обновлений:
#cve #cvss #vulnerability #prioritization
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11
ncsc_vm_2024.jpg
502.4 KB
Плакат с основными положениями из руководства по управлению уязвимостями NCSC без сжатия.
p.s. Утащил у VulnCheck😇
p.s. Утащил у VulnCheck
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14
Большое сравнение SAST- и DAST-инструментов по функционалу — субъективное, но полезное для первоначального ознакомления👀
Сравнивали следующие решения:
🟢 CheckMarx One Platform
🟢 Veracode
🟢 Rapid7 AppSpider (InsightAppSec Edition)
🟢 Wiz.IO
🟢 Fortify Static Code Analyzer
🟢 Acunetix
🟢 Invicti/NetSparker
🟢 CloudDefense.AI
🟢 Rapid7 Insight
🟢 Fortify WebInspect
🟢 SonarQube
https://github.com/bcdannyboy/EnterpriseSASTDASTProductLandscape
#sast #dast #appsec #devsecops
Сравнивали следующие решения:
https://github.com/bcdannyboy/EnterpriseSASTDASTProductLandscape
#sast #dast #appsec #devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - bcdannyboy/EnterpriseSASTDASTProductLandscape: Analysis of the Enterprise SAST/DAST product landscape
Analysis of the Enterprise SAST/DAST product landscape - bcdannyboy/EnterpriseSASTDASTProductLandscape
👍11👏2👎1
В свежевышедшем исследовании "The Future of Application Security 2024" компании Checkmarx поднимался интересный вопрос о том, почему ИБ допускает публикацию в прод уязвимых приложений🤔
Респонденты, среди которых были как аппсеки, так и разработчики, отвечали довольно предсказуемо:
🖕 Сроки горят, бизнес давит
🦥 Уязвимость некритична/будет исправлена в следующей версии.
На этом фоне среди ответов директоров по ИБ выделяются пропитанные страхом и надеждой:
🙏 Надеялся, что уязвимость не проэксплуатируют
😎 Уязвимость не эксплуатабельна.
Это я к чему... Нет предела совершенству, а также приоритезации устранения уязвимостей и процедуре принятия рисков — лишь бы CISO спал спокойно😁
#cve #vulnerability #prioritization #appsec
Респонденты, среди которых были как аппсеки, так и разработчики, отвечали довольно предсказуемо:
На этом фоне среди ответов директоров по ИБ выделяются пропитанные страхом и надеждой:
Это я к чему... Нет предела совершенству, а также приоритезации устранения уязвимостей и процедуре принятия рисков — лишь бы CISO спал спокойно
#cve #vulnerability #prioritization #appsec
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2
До чего дошел прогресс! Для CISO и всех кто выгорает в ИБ записали целых 13 медитативных трека, чтобы можно было отдохнуть от бесконечных алертов, паники, вызванный взломом в 2 часа ночи, и классического "скорее всего, ничего" переходящего в "нам надо срочно созвониться"😂
Ребята из компании Wiz, конечно, знатно поработали и выдали интересный контент👍
Я до последнего верил, что они и приложение сделали мобильное, но увы — пока только потроллили😏
А ещё мне их набор карточек "CISOasis Meditation Cards" для медитации понравился — хорошая идея для подарка директору по кибербезопасности🙂
#ciso #meditation
Ребята из компании Wiz, конечно, знатно поработали и выдали интересный контент
Я до последнего верил, что они и приложение сделали мобильное, но увы — пока только потроллили
А ещё мне их набор карточек "CISOasis Meditation Cards" для медитации понравился — хорошая идея для подарка директору по кибербезопасности
#ciso #meditation
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14
Ребята из OWASP наглядно демонстрируют к чему может привести реализация "A05:2021 – Security Misconfiguration" из OWASP Top 10:2021😁
p.s. А может ещё и "A06:2021 – Vulnerable and Outdated Components"😏
#owasp #breach
p.s. А может ещё и "A06:2021 – Vulnerable and Outdated Components"
#owasp #breach
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7👏3
Помимо вышеуказанного, информация о CWE будет доступна по API и транслироваться на портал CVE.org и в базу NVD.
#cve #cvss #cwe #microsoft
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍1
Интересная презентация про то, как не построить буллшитный SOC/команду SecOps, от Марка Симоса (архитектор КБ из Microsoft, соавтор Microsoft Security Adoption Framework).
В презентации описываются типичные ошибки в подходах при выстраивании работы SOC/SecOps, рекомендации как этого избежать, как измерить эффективность, про использование ИИ, а также наше любимое – как избегать выгорания сотрудников🔥
#soc #secops #architecture
В презентации описываются типичные ошибки в подходах при выстраивании работы SOC/SecOps, рекомендации как этого избежать, как измерить эффективность, про использование ИИ, а также наше любимое – как избегать выгорания сотрудников
#soc #secops #architecture
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥2