Посмотрел лонч PT Dephaze. На что делали акценты:
🔻 Безопасность работы решения для бизнес-процессов компании. За счёт настройки границ, параметров агрессивности и исключения (ручного согласования) техник.
🔻 Атаки и построение цепочек атак. В первую очередь реализуют "низко висящие фрукты": перехват и подделка трафика, извлечение и восстановление учетных данных, перечисление учетных записей, повышение привилегий и боковое перемещение.
🕹 Продукт продемонстрировали на тестовой инфраструктуре на основе GOAD с тремя доменами, в которых есть сервера и десктопы (включая Linux-десктоп в домене). Показали NTLM relay нa SMB, ESC15 (CVE-2024-49019), получение доступа к GitLab и прочее.
📋 Обещают улучшать отчёты, валидацию исправлений, аудит паролей, добавлять новые атаки, хакерские инструменты и поддержку типовых инфраструктур.
💳 Лицензируется по атакуемым активам. Есть мобильным модуль (на ноут) для изолированных сред.
➡️ Запустили пилоты 😉
@avleonovrus #PTDephaze #PositiveTechnologies
🔻 Безопасность работы решения для бизнес-процессов компании. За счёт настройки границ, параметров агрессивности и исключения (ручного согласования) техник.
🔻 Атаки и построение цепочек атак. В первую очередь реализуют "низко висящие фрукты": перехват и подделка трафика, извлечение и восстановление учетных данных, перечисление учетных записей, повышение привилегий и боковое перемещение.
🕹 Продукт продемонстрировали на тестовой инфраструктуре на основе GOAD с тремя доменами, в которых есть сервера и десктопы (включая Linux-десктоп в домене). Показали NTLM relay нa SMB, ESC15 (CVE-2024-49019), получение доступа к GitLab и прочее.
📋 Обещают улучшать отчёты, валидацию исправлений, аудит паролей, добавлять новые атаки, хакерские инструменты и поддержку типовых инфраструктур.
💳 Лицензируется по атакуемым активам. Есть мобильным модуль (на ноут) для изолированных сред.
➡️ Запустили пилоты 😉
@avleonovrus #PTDephaze #PositiveTechnologies
Mozilla Firefox теперь spyware? Firefox - мой основной веб-браузер последние лет 15. Хотя каких-то рациональных причин продолжать им пользоваться давно нет. Гонку Chromium-based браузерам он проиграл. Всё чаще современные веб-приложения пишут "извините, этот браузер не поддерживается". А сама Mozilla Corporation неоднократно демонстрировала уникальное умение угробить любой проект (от мобильной ОС до TTS). Но последний финт с изменением "Firefox Terms of Use" (вот прошлая версия) убеждает меня окончательно снести Firefox и агитировать за выпиливание его из репозиториев Linux-дистрибутивов (как минимум сертифицированных).
"When you upload or input information through Firefox, you hereby grant us a nonexclusive, royalty-free, worldwide license to use that information to help you navigate, experience, and interact with online content as you indicate with your use of Firefox."
Я это читаю как легализацию встроенного кейлогера и перехватчика загружаемых файлов. 🤷♂️
@avleonovrus #Firefox #Mozilla
"When you upload or input information through Firefox, you hereby grant us a nonexclusive, royalty-free, worldwide license to use that information to help you navigate, experience, and interact with online content as you indicate with your use of Firefox."
Я это читаю как легализацию встроенного кейлогера и перехватчика загружаемых файлов. 🤷♂️
@avleonovrus #Firefox #Mozilla
CEO ИБ стартапа, проевшего всё финансирование без каких-либо внятных результатов, приехал на встречу с ключевым клиентом и инвестором. Этому CEO пытаются втолковать, что угрозы, от которых защищает их стартап неактуальны, нужно срочно менять стратегию. Но СЕО не унимается:
- Да, возможно, вы сейчас не чувствуете угрозу. Но вы почувствуете её в будущем. Вот не дай Бог...
- Расскажи нам ещё чего мы в будущем почувствуем! Мы тут проблему решить пытаемся. И не тебе указывать, что мы будем чувствовать! Мы будем чувствовать себя превосходно, сильнее чем когда-либо. А твои дела дрянь. Ты оказался в очень плохой ситуации по своей вине. Тебе нечем крыть. И то, что ты сейчас делаешь, — это неуважение к нашей компании. Нет-нет, ты помолчи, и так уже много наговорил. Ваша контора в заднице, вы не вывозите. У тебя пока ещё есть чертовски хороший шанс выйти сухим из воды — и только благодаря нам. Тебе следует быть благодарным! Без нас у тебя вообще никаких козырей не останется!
...
@avleonovrus #fiction #навеяло
- Да, возможно, вы сейчас не чувствуете угрозу. Но вы почувствуете её в будущем. Вот не дай Бог...
- Расскажи нам ещё чего мы в будущем почувствуем! Мы тут проблему решить пытаемся. И не тебе указывать, что мы будем чувствовать! Мы будем чувствовать себя превосходно, сильнее чем когда-либо. А твои дела дрянь. Ты оказался в очень плохой ситуации по своей вине. Тебе нечем крыть. И то, что ты сейчас делаешь, — это неуважение к нашей компании. Нет-нет, ты помолчи, и так уже много наговорил. Ваша контора в заднице, вы не вывозите. У тебя пока ещё есть чертовски хороший шанс выйти сухим из воды — и только благодаря нам. Тебе следует быть благодарным! Без нас у тебя вообще никаких козырей не останется!
...
@avleonovrus #fiction #навеяло
Обновление хостов с прикладом: альтернативное мнение. Пришёл комментарий от подписчика к VM-ной задачке про 2 подразделения и обновление хостов с развёрнутыми приложениями. С любезного разрешения выкладываю текст полностью. 🙂
"Имея опыт работы с обоих сторон ("общей инфры" и админа приклада — как раз того самого Postgres), хотел бы заметить следующее. Всё же обновлением ОС должна заниматься команда, которая заведует ОС и обще-инфраструктурными сервисами, крутящимися на хостах. А админы прикладного ПО — должны следить за своим ПО.
Но все вместе они — должны согласовывать свои действия.
На хосте, помимо условного постгреса, может крутиться много всякого другого. О чём "прикладные админы" могут знать, но не факт, что могут этим грамотно управлять и правильно оценить последствия обновления пакетов. Пример навскидку — на хосте наверняка будут установлены агенты систем мониторинга — как ИТ-шного, так и ИБ-шного. И передать на админов условного постгреса ответственность за обновление хоста со всем этим набором... А "прикладники" точно должны этим заниматься? 😊 Тогда как мимо линуксовых админов установка, настройка и эксплуатация всех этих дополнительных сервисов на хостах с прикладом точно не пройдёт.
По опыту банка, в котором я работал — хосты обновляли линуксовые админы, а "прикладные" — только тот приклад, который в их зоне ответственности. Пакеты, относящиеся к прикладу, ставились на hold сразу при установке приклада, и их обновление было невозможно при обновлении хоста.
Ну и само собой, обновления сначала выполнялись на тестовых средах, чтобы понять, не приедут ли какие-то обновы зависимостей, которые могут сломать приклад. Если не приедут — хост смело обновлялся отдельно, а приклад — отдельно. Если зависимости ломали приклад — либо пакеты зависимостей дополнительно замораживались, либо, если это ломало остальное обновление — обновление откладывалось до ̶л̶у̶ч̶ш̶и̶х̶ ̶в̶р̶е̶м̶ё̶н̶ тех пор, пока приклад не сможет это поддержать. В тестировании, само собой, участвовали обе команды — и "хостовая" и "прикладная". Но на проде, при использовании этой схемы, их работы по обновлению, по большей части происходили независимо."
У такой схемы, безусловно, есть свои преимущества. И она весьма удобна админам, т.к. они занимаются профильными задачками, а непонятной им фигнёй не заморачиваются. Но вот VM-щику такая совместная работа и размытие ответственности невыгодны, т.к. ему придётся частенько "тыкать палочкой" две (а возможно и более) команды, которые будут показывать друг на друга. 😑 Критичные уязвимости не будут устраняться с формулировкой "обновление отложено". А кто будет нести ответственность в случае, если уязвимость будет проэксплуатирована в течение этого "отложенного" периода непонятно. Видимо предполагается, что нести ответственность будет сам VM-щик. 😏 Так что VM-щикам топить за такую схему я бы не советовал.
Но если в организации такая схема устоялась и успешно работает, то рушить её, естественно, тоже не следует. Следует аккуратненько описывать регламенты решения спорных вопросов, чтобы всегда был однозначный крайний, на которого будет направлен пушинг. Ну и кары в случае инцидента.
В любом случае, главное, чтобы обновления ставились и уязвимости устранялись (желательно с соблюдением SLA). А как именно это происходит и чьими силами не так уж важно. 😉
@avleonovrus #VMprocess #PostgreSQL #Linux #нампишут
"Имея опыт работы с обоих сторон ("общей инфры" и админа приклада — как раз того самого Postgres), хотел бы заметить следующее. Всё же обновлением ОС должна заниматься команда, которая заведует ОС и обще-инфраструктурными сервисами, крутящимися на хостах. А админы прикладного ПО — должны следить за своим ПО.
Но все вместе они — должны согласовывать свои действия.
На хосте, помимо условного постгреса, может крутиться много всякого другого. О чём "прикладные админы" могут знать, но не факт, что могут этим грамотно управлять и правильно оценить последствия обновления пакетов. Пример навскидку — на хосте наверняка будут установлены агенты систем мониторинга — как ИТ-шного, так и ИБ-шного. И передать на админов условного постгреса ответственность за обновление хоста со всем этим набором... А "прикладники" точно должны этим заниматься? 😊 Тогда как мимо линуксовых админов установка, настройка и эксплуатация всех этих дополнительных сервисов на хостах с прикладом точно не пройдёт.
По опыту банка, в котором я работал — хосты обновляли линуксовые админы, а "прикладные" — только тот приклад, который в их зоне ответственности. Пакеты, относящиеся к прикладу, ставились на hold сразу при установке приклада, и их обновление было невозможно при обновлении хоста.
Ну и само собой, обновления сначала выполнялись на тестовых средах, чтобы понять, не приедут ли какие-то обновы зависимостей, которые могут сломать приклад. Если не приедут — хост смело обновлялся отдельно, а приклад — отдельно. Если зависимости ломали приклад — либо пакеты зависимостей дополнительно замораживались, либо, если это ломало остальное обновление — обновление откладывалось до ̶л̶у̶ч̶ш̶и̶х̶ ̶в̶р̶е̶м̶ё̶н̶ тех пор, пока приклад не сможет это поддержать. В тестировании, само собой, участвовали обе команды — и "хостовая" и "прикладная". Но на проде, при использовании этой схемы, их работы по обновлению, по большей части происходили независимо."
У такой схемы, безусловно, есть свои преимущества. И она весьма удобна админам, т.к. они занимаются профильными задачками, а непонятной им фигнёй не заморачиваются. Но вот VM-щику такая совместная работа и размытие ответственности невыгодны, т.к. ему придётся частенько "тыкать палочкой" две (а возможно и более) команды, которые будут показывать друг на друга. 😑 Критичные уязвимости не будут устраняться с формулировкой "обновление отложено". А кто будет нести ответственность в случае, если уязвимость будет проэксплуатирована в течение этого "отложенного" периода непонятно. Видимо предполагается, что нести ответственность будет сам VM-щик. 😏 Так что VM-щикам топить за такую схему я бы не советовал.
Но если в организации такая схема устоялась и успешно работает, то рушить её, естественно, тоже не следует. Следует аккуратненько описывать регламенты решения спорных вопросов, чтобы всегда был однозначный крайний, на которого будет направлен пушинг. Ну и кары в случае инцидента.
В любом случае, главное, чтобы обновления ставились и уязвимости устранялись (желательно с соблюдением SLA). А как именно это происходит и чьими силами не так уж важно. 😉
@avleonovrus #VMprocess #PostgreSQL #Linux #нампишут
Расширенный поиск по web-уязвимостям в Vulners.
🔻 Vulners теперь размечает значимые параметры в описании CVE уязвимостей и эксплоитов. 🤖 Например, по описанию "Code injection vulnerability in config/config_invt1.php due to improper handling of the PASSOx parameter" он автоматически определяет, что это веб-уязвимость и выделяет parameter запроса "PASSOx", url "config/config_invt1.php", position "request body" и cwe "CWE-94" (Code Injection). Эти параметры видны на странице описания уязвимости и в JSON (блок webApplicability).
🔻 По этим параметрам можно искать уязвимости в поисковом интерфейсе Vulners (бесплатно 🆓) и через API. Например, все вебные уязвимости или уязвимости с "php" в урле.
А зачем это может понадобиться?
🔹 Если у вас есть список урлов (путей), найденных краулером, можно поискать по ним потенциальные уязвимости.
И наоборот
🔹 Для размеченных уязвимостей Vulners можно проверить не доступны ли их пути в сервисах на вашем периметре.
В общем, прикольная фича. 😉👍🔥
@avleonovrus #Vulners #AI
🔻 Vulners теперь размечает значимые параметры в описании CVE уязвимостей и эксплоитов. 🤖 Например, по описанию "Code injection vulnerability in config/config_invt1.php due to improper handling of the PASSOx parameter" он автоматически определяет, что это веб-уязвимость и выделяет parameter запроса "PASSOx", url "config/config_invt1.php", position "request body" и cwe "CWE-94" (Code Injection). Эти параметры видны на странице описания уязвимости и в JSON (блок webApplicability).
🔻 По этим параметрам можно искать уязвимости в поисковом интерфейсе Vulners (бесплатно 🆓) и через API. Например, все вебные уязвимости или уязвимости с "php" в урле.
А зачем это может понадобиться?
🔹 Если у вас есть список урлов (путей), найденных краулером, можно поискать по ним потенциальные уязвимости.
И наоборот
🔹 Для размеченных уязвимостей Vulners можно проверить не доступны ли их пути в сервисах на вашем периметре.
В общем, прикольная фича. 😉👍🔥
@avleonovrus #Vulners #AI
Про уязвимость Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418). Уязвимость из февральского Microsoft Patch Tuesday. AFD.sys - это системный драйвер Windows, критически важный для процессов сетевого взаимодействия. Он предоставляет низкоуровневую функциональность для WinSock API, позволяя приложениям взаимодействовать с сетевыми сокетами.
Для эксплуатации уязвимости аутентифицированному атакующему необходимо запустить специально созданную программу, которая в конечном итоге выполняет код с привилегиями SYSTEM. Для уязвимости сразу были признаки эксплуатации вживую, но насколько масштабными были зафиксированные атаки всё ещё неизвестно.
По описанию эта уязвимость очень похожа на прошлогоднюю уязвимость CVE-2024-38193, которая активно эксплуатировалась злоумышленниками из группировки Lazarus.
@avleonovrus #Windows #Microsoft #PatchTuesday #AFDsys
Для эксплуатации уязвимости аутентифицированному атакующему необходимо запустить специально созданную программу, которая в конечном итоге выполняет код с привилегиями SYSTEM. Для уязвимости сразу были признаки эксплуатации вживую, но насколько масштабными были зафиксированные атаки всё ещё неизвестно.
По описанию эта уязвимость очень похожа на прошлогоднюю уязвимость CVE-2024-38193, которая активно эксплуатировалась злоумышленниками из группировки Lazarus.
@avleonovrus #Windows #Microsoft #PatchTuesday #AFDsys
Про уязвимость Elevation of Privilege - Windows Storage (CVE-2025-21391). Уязвимость из февральского Microsoft Patch Tuesday. Windows Storage - это стандартный компонент, отвечающий за хранение данных на компьютере. В случае успешной эксплуатации, злоумышленник получает возможность удалять произвольные файлы. И, согласно исследованию ZDI, злоумышленник может использовать эту возможность для повышения своих прав в системе.
Для уязвимости сразу были признаки эксплуатации вживую, но насколько масштабными были зафиксированные атаки всё ещё неизвестно.
@avleonovrus #Windows #Microsoft #PatchTuesday #WindowsStorage
Для уязвимости сразу были признаки эксплуатации вживую, но насколько масштабными были зафиксированные атаки всё ещё неизвестно.
@avleonovrus #Windows #Microsoft #PatchTuesday #WindowsStorage
27-30 марта в Пятигорске пройдёт выездной "КОД ИБ ПРОФИ | КАВКАЗ". По формату там будет:
🔹 2-х дневная деловая программа. Фокус на выявлении угроз в инфраструктуре и коде приложений, улучшении эффективности работы ИБ-команд, технологиях и трендах. По нашей теме будет мастер-класс по управлению уязвимостями от Артёма Куличкина из СОГАЗ. Также пройдут штабные киберучения.
🔹 2-х дневная дополнительная программа. Джип-тур с осмотром перевала Гумбаши, Сырных пещер, Шаонинского и Сентийского храма. Подъём на гору Машук на фуникулёре, прогулка по теренкурам.
🎞 Вот видео как это было в прошлом году.
В общем, интересный формат для обучения, тесного ИБ-шного нетворкинга и отдыха. 😉 Канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. 🙂
@avleonovrus #CodeIB #CodeIBkavkaz2025
🔹 2-х дневная деловая программа. Фокус на выявлении угроз в инфраструктуре и коде приложений, улучшении эффективности работы ИБ-команд, технологиях и трендах. По нашей теме будет мастер-класс по управлению уязвимостями от Артёма Куличкина из СОГАЗ. Также пройдут штабные киберучения.
🔹 2-х дневная дополнительная программа. Джип-тур с осмотром перевала Гумбаши, Сырных пещер, Шаонинского и Сентийского храма. Подъём на гору Машук на фуникулёре, прогулка по теренкурам.
🎞 Вот видео как это было в прошлом году.
В общем, интересный формат для обучения, тесного ИБ-шного нетворкинга и отдыха. 😉 Канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. 🙂
@avleonovrus #CodeIB #CodeIBkavkaz2025
Positive Technologies проверит защищенность MaxPatrol VM и еще 8 продуктов на Standoff Bug Bounty. Выплаты до 2 миллионов рублей. Зарепортить можно полные или частичные сценарии реализации недопустимых событий. Уровень опасности (и вознаграждения) определяется по табличке возможных сценариев атаки ("Диверсия", "Взлом", "Утечка", "Злоупотребление"), класса атакующего и полноты реализации сценария. Для MaxPatrol VM выделяют следующие классы атакующих:
🔹 Класс 0. Права администратора на сканируемом узле.
🔹 Класс 1. [для VM не выделяют]
🔹 Класс 2. Полный доступ к узлу, на котором запущен компонент MP 10 Collector, и права администратора ОС. на этом узле. Предполагается, что в инсталляции работает несколько таких компонентов.
🔹 Класс 3. Сетевой доступ к компоненту MP10 Core по портам 443 (UI), 3334 (PT MC).
🔹 Класс 4. Класс 3 + учетная запись с правами в MP10, соответствующими роли сотрудника SOC 1-ой линии.
@avleonovrus #PositiveTechnologies #MaxPatrolVM #BugBounty #StandoffBugBounty
🔹 Класс 0. Права администратора на сканируемом узле.
🔹 Класс 1. [для VM не выделяют]
🔹 Класс 2. Полный доступ к узлу, на котором запущен компонент MP 10 Collector, и права администратора ОС. на этом узле. Предполагается, что в инсталляции работает несколько таких компонентов.
🔹 Класс 3. Сетевой доступ к компоненту MP10 Core по портам 443 (UI), 3334 (PT MC).
🔹 Класс 4. Класс 3 + учетная запись с правами в MP10, соответствующими роли сотрудника SOC 1-ой линии.
@avleonovrus #PositiveTechnologies #MaxPatrolVM #BugBounty #StandoffBugBounty
Разбор VM-ной вакансии: Старший инженер по управлению уязвимостями в Авито. Буду периодически комментировать VM-ные вакансии, чтобы отслеживать, что сейчас востребовано, и помогать их закрывать. 😉
🔹 VM-ная часть вакансии выглядит стандартно: развивать и автоматизировать VM-процесс, взаимодействовать с владельцами сервисов, составлять базовые требования ИБ, использовать сканеры, понимать CVSS/CVE.
🔹 Linux-овая часть интригует. Нужно знать Puppet и придётся "администрировать ИТ-инфраструктуру на базе Linux". В сочетании с "развивать инструменты для поиска, анализа и устранения уязвимостей ИТ-инфраструктуры" можно предположить, что у них есть самописные детектилки уязвимостей с инвентаризацией на основе Puppet и то, что VM-щики непосредственно занимаются патчингом и харденигом.
🔹 По поводу "внедрять и администрировать системы защиты информации" могут быть вопросики. Советовал бы уточнять список СЗИ на собесе, чтобы не пришлось заниматься чем-то непрофильным. 😉
@avleonovrus #Avito #vacancy #Puppet #Linux
🔹 VM-ная часть вакансии выглядит стандартно: развивать и автоматизировать VM-процесс, взаимодействовать с владельцами сервисов, составлять базовые требования ИБ, использовать сканеры, понимать CVSS/CVE.
🔹 Linux-овая часть интригует. Нужно знать Puppet и придётся "администрировать ИТ-инфраструктуру на базе Linux". В сочетании с "развивать инструменты для поиска, анализа и устранения уязвимостей ИТ-инфраструктуры" можно предположить, что у них есть самописные детектилки уязвимостей с инвентаризацией на основе Puppet и то, что VM-щики непосредственно занимаются патчингом и харденигом.
🔹 По поводу "внедрять и администрировать системы защиты информации" могут быть вопросики. Советовал бы уточнять список СЗИ на собесе, чтобы не пришлось заниматься чем-то непрофильным. 😉
@avleonovrus #Avito #vacancy #Puppet #Linux
Почему ИИ-боты могут вести себя нетипично и непрогнозируемо, словно сошедший с ума человек? Об этом расскажет Алексей Попов из Академии Информационных Систем на вебинаре 14 марта. Небольшой спойлер: всё дело в исходных данных.
Что будет обсуждаться:
🔹 ИИ-шизофреник - проект DISCERN
🔹 ИИ-психопат - проект Norman
🔹 Психическое здоровье чат-ботов
🔹 Другие примеры ИИ, сошедшего с ума
Учитывая, что ИИ-боты всё чаще применяются в ИБ-решениях и в повседневной работе ИБ-специалистов (включая, разумеется, и VM-щиков 😇), будет совсем не лишним узнать больше о причинах их неадекватного поведения и о том, как можно минимизировать возможный вред от него.
Канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. 😉 Собираюсь посмотреть и поделиться впечатлениями.
➡️ Регистрация на сайте АИС
⏰ 14 марта в 11:00
@avleonovrus #АИС #AI
Что будет обсуждаться:
🔹 ИИ-шизофреник - проект DISCERN
🔹 ИИ-психопат - проект Norman
🔹 Психическое здоровье чат-ботов
🔹 Другие примеры ИИ, сошедшего с ума
Учитывая, что ИИ-боты всё чаще применяются в ИБ-решениях и в повседневной работе ИБ-специалистов (включая, разумеется, и VM-щиков 😇), будет совсем не лишним узнать больше о причинах их неадекватного поведения и о том, как можно минимизировать возможный вред от него.
Канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. 😉 Собираюсь посмотреть и поделиться впечатлениями.
➡️ Регистрация на сайте АИС
⏰ 14 марта в 11:00
@avleonovrus #АИС #AI