По итогам недельного отпуска во Владимире. Приятный город. Чуть менее двух часов езды от Москвы на ласточке с закреплёнными местами. Практически вся историческая часть города расположена очень компактно вдоль Большой Московской улицы.
Наибольшая достопримечательность - Дмитровский собор (конец XII века), обильно украшенный резьбовой по камню в средневековой западноевропейской манере: улыбающиеся львы, грифоны, кентавры, птица Сирин, множество святых. Очень занимательно это разглядывать. 😇
Из архитектуры также произвела большое впечатление кирпичная Троицкая церковь старообрядцев Белокриницкого согласия (начало XX века). К сожалению, верующим её пока не передали.
Мы много гуляли, вкусно кушали, ходили на мастер-классы (разведческий, роспись ложек/подставок/пряников, лепка 😅), в музеи и на концерты (ансамбль "Русь" - ТОП 😉).
Буду теперь возвращаться в рабочий режим. 🙂
@avleonovrus #travel #дыбр #offtopic #Владимир
Наибольшая достопримечательность - Дмитровский собор (конец XII века), обильно украшенный резьбовой по камню в средневековой западноевропейской манере: улыбающиеся львы, грифоны, кентавры, птица Сирин, множество святых. Очень занимательно это разглядывать. 😇
Из архитектуры также произвела большое впечатление кирпичная Троицкая церковь старообрядцев Белокриницкого согласия (начало XX века). К сожалению, верующим её пока не передали.
Мы много гуляли, вкусно кушали, ходили на мастер-классы (разведческий, роспись ложек/подставок/пряников, лепка 😅), в музеи и на концерты (ансамбль "Русь" - ТОП 😉).
Буду теперь возвращаться в рабочий режим. 🙂
@avleonovrus #travel #дыбр #offtopic #Владимир
Июньский "В тренде VM": уязвимости в Microsoft Windows, Apache HTTP Server, веб-интерфейсах MDaemon и Zimbra, архиваторе 7-Zip. Традиционная ежемесячная подборка. 🙂
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Всего 7 трендовых уязвимости:
🔻 Elevation of Privilege - Microsoft DWM Core Library (CVE-2025-30400)
🔻 Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-32701, CVE-2025-32706)
🔻 Remote Code Execution & Arbitrary File Reading - Apache HTTP Server (CVE-2024-38475)
🔻 Cross Site Scripting - MDaemon Email Server (CVE-2024-11182)
🔻 Cross Site Scripting - Zimbra Collaboration (CVE-2024-27443)
🔻 Remote Code Execution - 7-Zip (BDU:2025-01793)
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #DWM #CLFS #Apache #HTTPD #DEVCORE #watchTowrLabs #SonicWall #SonicWallSMA #CISAKEV #MDaemon #ESET #Zimbra #7zip #MoTW #SmartScreen
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Всего 7 трендовых уязвимости:
🔻 Elevation of Privilege - Microsoft DWM Core Library (CVE-2025-30400)
🔻 Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-32701, CVE-2025-32706)
🔻 Remote Code Execution & Arbitrary File Reading - Apache HTTP Server (CVE-2024-38475)
🔻 Cross Site Scripting - MDaemon Email Server (CVE-2024-11182)
🔻 Cross Site Scripting - Zimbra Collaboration (CVE-2024-27443)
🔻 Remote Code Execution - 7-Zip (BDU:2025-01793)
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #DWM #CLFS #Apache #HTTPD #DEVCORE #watchTowrLabs #SonicWall #SonicWallSMA #CISAKEV #MDaemon #ESET #Zimbra #7zip #MoTW #SmartScreen
Программно-аппаратные закладки в западных продуктах: вопрос личных убеждений. Размышления о существовании недекларируемых возможностей (НДВ) всегда отдают некоторой паранойей. 🤔
🔹 По-хорошему, НДВ нужно наглядно предъявлять. А делать это технически сложно. И у западного вендора всегда остаётся правдоподобное объяснение: "Это уязвимость, сейчас исправим". 😏
🔹 А если их не предъявлять, остаются лишь голословные обвинения в адрес "респектабельных" западных компаний, которые делают продукты дешевле, эффективнее и удобнее отечественных аналогов. 🥸 А главное - "ПРИВЫЧНЕЕ".
В таких условиях вопрос НДВ сводится во многом к личной убеждённости (и "экспертным оценкам"). 🤷♂️
Я абсолютно убеждён, что зловредная функциональность в западных продуктах есть, и в час X она обязательно будет активирована. И чем больше западных продуктов мы успеем выкорчевать и заменить отечественными или хотя бы продуктами из дружественных стран, тем менее катастрофичными будут последствия.
@avleonovrus #НДВ #Dewesternization
🔹 По-хорошему, НДВ нужно наглядно предъявлять. А делать это технически сложно. И у западного вендора всегда остаётся правдоподобное объяснение: "Это уязвимость, сейчас исправим". 😏
🔹 А если их не предъявлять, остаются лишь голословные обвинения в адрес "респектабельных" западных компаний, которые делают продукты дешевле, эффективнее и удобнее отечественных аналогов. 🥸 А главное - "ПРИВЫЧНЕЕ".
В таких условиях вопрос НДВ сводится во многом к личной убеждённости (и "экспертным оценкам"). 🤷♂️
Я абсолютно убеждён, что зловредная функциональность в западных продуктах есть, и в час X она обязательно будет активирована. И чем больше западных продуктов мы успеем выкорчевать и заменить отечественными или хотя бы продуктами из дружественных стран, тем менее катастрофичными будут последствия.
@avleonovrus #НДВ #Dewesternization
Программно-аппаратные закладки в западных продуктах: смотрите, с кем имеете дело. Понятно, что личные убеждения, не особо впечатляют скептиков. 🙂 Они будут возмущаться импортозамещением и препятствовать ему до самого часа X. Хотя сейчас даже новости из реального, физического мира, намекают, что такого рода действия вполне в духе западных джентльменов. Возьмём, из последнего ирано-израильского:
🔹 Наносят удар 13 июня, за 2 дня до переговоров.
🔹 Физически устраняют учёных-ядерщиков. А ИБшников когда?
🔹 Заявляют о двухнедельном тайм-ауте для заключения соглашения и тут же начинают бомбардировки.
Про хлопающие пейджеры тоже вспомним. Да и про дроны, вылетающие из фур.
Грязные и бесчестные методы? А с точки зрения Запада это военная хитрость, изобретательность, хуцпа. 🤷♂️
На этом фоне активация программно-аппаратных закладок выглядит как что-то вполне невинное: "вот дурачки-то, поверили, закупили, внедрили, а мы им через это РАЗ - коллапс и ущерб на миллиарды $". 😏
@avleonovrus #НДВ #Dewesternization
🔹 Наносят удар 13 июня, за 2 дня до переговоров.
🔹 Физически устраняют учёных-ядерщиков. А ИБшников когда?
🔹 Заявляют о двухнедельном тайм-ауте для заключения соглашения и тут же начинают бомбардировки.
Про хлопающие пейджеры тоже вспомним. Да и про дроны, вылетающие из фур.
Грязные и бесчестные методы? А с точки зрения Запада это военная хитрость, изобретательность, хуцпа. 🤷♂️
На этом фоне активация программно-аппаратных закладок выглядит как что-то вполне невинное: "вот дурачки-то, поверили, закупили, внедрили, а мы им через это РАЗ - коллапс и ущерб на миллиарды $". 😏
@avleonovrus #НДВ #Dewesternization
Ровно 84 года назад началась самая страшная война в отечественной истории. Оценки первого года этой войны практически единогласные: "трагедия 1941 года", "катастрофа 1941 года". О причинах исследователи спорят до сих пор. Но то, что страна оказалась не готова к войне с нацистской Европой - факт.
А готова ли она сейчас? В части защиты КИИ, похоже, что нет. Во всяком случае, если верить тому, что написал Владимир Иванов (CEO ScanFactory) в комментарии на мой предыдущий пост:
"Когда российское ИТ полностью откажется от использования зарубежного софта, тогда и российское ИБ может отказываться от зарубежных решений. Переводя с политического на русский — никогда".
Если так, то КИИ нам на определённом этапе отключат. 🤷♂️ Возможно, в ходе операции под чужим флагом.
"Статус ядерной державы" этому не помешает. Как не мешает он объединённому Западу уже третий год участвовать в полномасштабном прокси-конфликте с Россией. И даже наносить удары по компонентам ядерной триады.
@avleonovrus #НДВ #june22 #nukes
А готова ли она сейчас? В части защиты КИИ, похоже, что нет. Во всяком случае, если верить тому, что написал Владимир Иванов (CEO ScanFactory) в комментарии на мой предыдущий пост:
"Когда российское ИТ полностью откажется от использования зарубежного софта, тогда и российское ИБ может отказываться от зарубежных решений. Переводя с политического на русский — никогда".
Если так, то КИИ нам на определённом этапе отключат. 🤷♂️ Возможно, в ходе операции под чужим флагом.
"Статус ядерной державы" этому не помешает. Как не мешает он объединённому Западу уже третий год участвовать в полномасштабном прокси-конфликте с Россией. И даже наносить удары по компонентам ядерной триады.
@avleonovrus #НДВ #june22 #nukes
Публичная база уязвимостей Эшелон Сканер-ВС. На днях коллеги из Эшелон запустили портал, отображающий уязвимости из базы знаний Сканер-ВС 7. 🔥
На данный момент в базе 427498 уязвимостей. Многовато, учитывая, что в NVD сейчас 283593, да? 😏 На самом деле там не только CVE идентификаторы, но и идентификаторы бюллетеней безопасности, такие как ROS-20240731-03 или oval:redos:def:6132. Причём это только для RedOS так, уязвимости других дистрибов группируются на страницы CVE-шек. 🤷♂️ Отдельно вынесены и уязвимости БДУ (даже при наличии ссылки на СVE), например BDU:2022-06708.
Доступны правила детектирования! Например, для CVE-2021-40438 в Apache HTTP Server видим детекты по версиям пакетов из бюллетеней безопасности (включая признаки "unfixed" и "unaffected" для версий дистрибов), и NVD CPE Configurations для баннерных детектов без аутентификации.
Также есть ссылки на эксплоиты (не из NVD!) 🔥
В общем, круто получилось! Молодцы, Эшелон! 👍
@avleonovrus #Echelon #ScanerVS #detection #description
На данный момент в базе 427498 уязвимостей. Многовато, учитывая, что в NVD сейчас 283593, да? 😏 На самом деле там не только CVE идентификаторы, но и идентификаторы бюллетеней безопасности, такие как ROS-20240731-03 или oval:redos:def:6132. Причём это только для RedOS так, уязвимости других дистрибов группируются на страницы CVE-шек. 🤷♂️ Отдельно вынесены и уязвимости БДУ (даже при наличии ссылки на СVE), например BDU:2022-06708.
Доступны правила детектирования! Например, для CVE-2021-40438 в Apache HTTP Server видим детекты по версиям пакетов из бюллетеней безопасности (включая признаки "unfixed" и "unaffected" для версий дистрибов), и NVD CPE Configurations для баннерных детектов без аутентификации.
Также есть ссылки на эксплоиты (не из NVD!) 🔥
В общем, круто получилось! Молодцы, Эшелон! 👍
@avleonovrus #Echelon #ScanerVS #detection #description
Сканер уязвимостей с "поиском по версиям в базе" может найти все уязвимости из этой базы? То, что для качественного детектирования нужен "не совсем поиск и не совсем по версиям", я уже расписал ранее. Теперь посмотрим по контенту.
Если в базе сканера 427498 уязвимостей, значит ли это, что сканер может находить их все? Не совсем. 🙂
🔷 Для уязвимости должны быть правила детектирования. Если правила детектирования строятся на основе NVD CPE Configurations, а для какой-то уязвимости в NVD их нет, значит и в сканере их не будет, и сканер уязвимость не обнаружит.
🔷 Должна быть логика определения продукта и его версии. Вот уязвимость CVE-2023-32311 в некотором китайском проекте CloudExplorer Lite, для неё есть логика детектирования: версии <= 1.1.0 уязвимы. Но сможет ли сканер узнать инсталляцию с этим CloudExplorer Lite и определить его версию? Не факт. 😉
Поэтому для таких сканеров "наличие уязвимости в базе" != "возможность продетектировать её в инфраструктуре".
@avleonovrus #VMprocess #detection #Echelon
Если в базе сканера 427498 уязвимостей, значит ли это, что сканер может находить их все? Не совсем. 🙂
🔷 Для уязвимости должны быть правила детектирования. Если правила детектирования строятся на основе NVD CPE Configurations, а для какой-то уязвимости в NVD их нет, значит и в сканере их не будет, и сканер уязвимость не обнаружит.
🔷 Должна быть логика определения продукта и его версии. Вот уязвимость CVE-2023-32311 в некотором китайском проекте CloudExplorer Lite, для неё есть логика детектирования: версии <= 1.1.0 уязвимы. Но сможет ли сканер узнать инсталляцию с этим CloudExplorer Lite и определить его версию? Не факт. 😉
Поэтому для таких сканеров "наличие уязвимости в базе" != "возможность продетектировать её в инфраструктуре".
@avleonovrus #VMprocess #detection #Echelon
Главные преимущества MaxPatrol VM на российском рынке. Меня попросили накидать пункты для внутреннего использования, но пусть в паблике тоже будет. 🙂
🔹 Качество детектирования. Если считать с первого XSpider, команда PT уже 27 лет занимается детектированием уязвимостей. Здесь своя школа подготовки именно экспертов-сканеристов. Когда в одном вендоре десятки человек на full-time занимаются улучшением методов детектирования, а в другом "полтора землекопа" пилят исключительно CPE-детекты, разница в качестве детектирования будет очевидна при сколько-нибудь внимательном рассмотрении.
🔹 Настоящие трендовые уязвимости. Это не просто зеркало CISA KEV. За этим стоит процесс непрерывного отслеживания состояния огромного количества уязвимостей. Плюс экспертиза лучшей на рынке пентестерской команды.
🔹 PDQL. Собственный язык запросов позволяет работать с уязвимостями и активами максимально гибко. На мировом рынке похожее есть у Qualys, на отечественном только у PT.
@avleonovrus #PositiveTechnologies #MaxPatrolVM
🔹 Качество детектирования. Если считать с первого XSpider, команда PT уже 27 лет занимается детектированием уязвимостей. Здесь своя школа подготовки именно экспертов-сканеристов. Когда в одном вендоре десятки человек на full-time занимаются улучшением методов детектирования, а в другом "полтора землекопа" пилят исключительно CPE-детекты, разница в качестве детектирования будет очевидна при сколько-нибудь внимательном рассмотрении.
🔹 Настоящие трендовые уязвимости. Это не просто зеркало CISA KEV. За этим стоит процесс непрерывного отслеживания состояния огромного количества уязвимостей. Плюс экспертиза лучшей на рынке пентестерской команды.
🔹 PDQL. Собственный язык запросов позволяет работать с уязвимостями и активами максимально гибко. На мировом рынке похожее есть у Qualys, на отечественном только у PT.
@avleonovrus #PositiveTechnologies #MaxPatrolVM