В один прекрасный день наш сертификат подписи кода протух.
Ну протух и протух, случается. У нас же есть новый сертификат! Щас переподпишем, и всё заработает!
А вот и нет. У нового сертификата - новая цепочка доверия, а владельцы системы куда мы ставимся не настроены устанавливать сертификаты от (в принципе весьма известного) CA в своё хранилище доверенных сертификатов.
Но они готовы использовать на своей стороне скрипт на powershell, который будет проверять валидность, а потом устанавливать без проверки подписей. Да и мы хотим быть уверены, что устанавливаться будет именно наш код. А пакуем мы код на машине, на которую powershell ставить не хочется.
Так что призовём на помощь криптографию, и набьём немного шишек.
![](http://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/getpro/habr/hub/135/2db/187/1352db18765addaa6e0b2ac013d386d8.png)
Информационная безопасность *
Защита данных
Новости
ТОП-3 ИБ-событий недели по версии Jet CSIRT
![](https://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/webt/eu/ou/ij/euouijdihvnzpdg5jzlkswbi_ji.png)
Сегодня в подборке новостей Jet CSIRT — устранение уязвимостей в продуктах Azure и HP, а также новый вредонос NetDooka. ТОП-3 собрала Анна Мельникова, специалист центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
Подробнее читайте под катом.
OSINT по спутниковым изображениям
![image](https://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/webt/vz/rw/oe/vzrwoex9qniyjfrmubk6l8bazks.jpeg)
Мы живем в такое время, когда снимок со спутника можно получить в один клик. В оптическом, в инфракрасном и в радиодиапазоне. А еще историю изменений в определенной координате за несколько лет.
Зеленый Кот нашел разбившуюся советскую исследовательскую станцию «Марс-3» по снимкам со спутника, тысячи экологов следят за лесами Амазонки и состоянием береговой линии, школьники делают учебные проекты по слежке за популяцией моржей, репортеры проводят расследования, освобождают рабов, мониторят лагеря беженцев.
Предлагаю вам подборку бесплатных ресурсов и проектов со спутниковыми данными, программами обработки этих данных и полезные статьи.
Топ 5 самых громких событий инфосека за апрель 2022
![](https://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/getpro/habr/upload_files/fb6/8eb/b0a/fb68ebb0a5dacf8573711437d9c2d62a.jpg)
Всем привет! Публикуем традиционный ежемесячный дайджест самых горячих новостей информационной безопасности за апрель. Сегодня в программе приключения Binance в России, рейд на RaidForums от ФБР, неугомонные северокорейцы и другое. Добро пожаловать под кат!
Итоги квеста: комната хакера и победители
![](https://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/webt/47/yy/sw/47yysw28fjzkae6g3ucfcyl-ftg.png)
Пришло время подвести итоги нашего ежегодного CTF-квеста от команды RUVDS.
Расскажем о последнем этапе, откроем лица и наконец-то объявим победителей, которые беспрерывно квестовались 2,5 месяца!
Искра, буря, безумие — 82 дня борьбы и тысячи сообщений в чате. Криптография, реверс-инжиниринг и самая настоящая матрица. Кто же такой John Roe и зачем он столько времени скрывался?..
Security Week 2219: мобильные трояны со встроенной подпиской
![](https://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/webt/zp/xp/0f/zpxp0felyje4hciis69eksmclzm.png)
На скриншоте выше показаны три примера приложений с вредоносной добавкой, которые какое-то время висели в официальном магазине приложений Google Play. Во всех присутствовал троян семейства Jocker. Так как в данном случае стоит задача прорваться сквозь проверки в аппстор, первоначальная версия приложения не содержит вредоносного кода. После установки активируется загрузчик, подгружающий «дополнительную функциональность», но и он срабатывает после простой проверки: опубликовано ли приложение в магазине? Если нет, программа считает, что выполняется в сендбоксе проверяющего и скрывает вредоносную функциональность.
Защита от спама и зловредного ПО в Carbonio
![](https://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/getpro/habr/upload_files/93f/6f8/182/93f6f8182ee2587d783f3dae89d8df5a.png)
Электронная почта, которая является одним из наиболее распространенных форматов корпоративного общения, как правило становится основной целью злоумышленников, которые используют электронные письма как средства доставки зловредного ПО во внутреннюю сеть предприятия. В результате таких атак появляются утечки важной информации или потери корпоративных данных, которые влекут за собой не только финансовые, но и репутационные потери. Надежная защита почтового сервера от кибератак позволяет купировать большую часть киберугроз и именно поэтому защита почтового сервера предприятия становится приоритетом номер один среди системных администраторов и специалистов по кибербезопасности. В Carbonio для защиты от угроз используются такие Open-Source решения, как антивирус ClamAV, антиспам SpamAssassin и интерфейс для их взаимодействия с почтовым сервером new-amavisd. В данной статье мы расскажем о том, как правильно использовать их для обеспечения безопасности почтового сервера Carbonio.
Критическая информационная инфраструктура Индии
![](https://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/getpro/habr/upload_files/c8a/89f/fe6/c8a89ffe630bbd2dc3f88a8528607dd9.jpg)
Автор: Евгений Баклушин, руководитель направления
Нестабильная геополитическая обстановка и непрерывное развитие ИТ-технологий и инструментов способствуют постоянному росту киберпреступлений (вплоть до кибертерроризма) в отношении критических информационных инфраструктур государств (далее – КИИ). Дополнительное влияние оказывает постоянное появление новых тактик и техник реализации угроз нарушителями. В этой связи все более актуальным становится сотрудничество между государствами и международное сотрудничество бизнеса по противодействию киберпреступлениям в отношении КИИ и совершенствованию систем и средств защиты КИИ. Перспективным направлением в данной области может стать обмен опытом по предотвращению, ликвидации и предупреждению последствий компьютерных атак.
С учетом влияния внешних обстоятельств и изменений в геополитической обстановке первостепенным вектором сотрудничества становится Азия. При этом Китай и обе Кореи довольно самостоятельны и закрыты внутри себя, а Япония активно взаимодействует с западным альянсом. Таким образом наиболее перспективным является взаимодействие (союз) с глобальным ИТ-хабом или «новым информационным чудом» – Индией.
В данной статье мы рассмотрим, как обстоит ситуация с защитой КИИ в Индии, а также чем она отличается от обстановки в России.
Смарт-карты: особенности протокола T=0 и на что они влияют
Когда начинаешь изучать смарт карты, то все выглядит достаточно понятно и логично: команды APDU несложны и описаны в ISO 7816-4, интерфейс winscard описан в MSDN. В глубины PCSC погружаться особо и не приходится. Первые программы можно написать довольно быстро. Непонятные особенности вылезают чуть позже, и выясняется, что известные два протокола T=0 и T=1 на самом деле совсем разные протоколы, и они просто похожи друг на друга. Поначалу возникает соблазн работать с ними одинаково, а это может доставить много хлопот вплоть до сбоя коммуникации в самый неожиданный момент.
Фаззинг Linux через WTF
![](https://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/webt/rv/3x/xy/rv3xxyzfohayekhekmnh3b4cvf8.png)
Недавно появился фаззер What The Fuzz, который (кроме названия) интересен тем, что это:
- blackbox фаззер;
- snapshot-based фаззер.
То есть он может исследовать бинарь без исходников на любом интересном участке кода.
Например, сам автор фаззера натравил WTF на Ida Pro и нашел там кучу багов. Благодаря подходу с snapshot'ами, WTF умеет работать с самыми тяжелыми приложениями.
Ключевые особенности WTF, на которые стоит обратить внимание:
- работает только с бинарями под x86;
- запустить фаззинг можно и на Linux, и на Windows;
- исследуемым бинарем может быть только бинарь под Windows.
Получается, нельзя фаззить ELF?
На самом деле, можно. Просто нет инструкции, как сделать snapshot для Linux. Все-таки главная мишень — это программы для Windows.
Эта статья появилась из желания обойти это ограничение.
Автоматизация скучной жизни инженера по кибербезопасности: как тратить меньше времени на рутинные задачи
![](https://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/getpro/habr/upload_files/a61/9f6/08e/a619f608ee092e3a12b6fe5023cbd6f3.png)
Мой первый профессиональный опыт как специалиста по кибербезопасности состоял в разработке огромного количества документации: отчёты по аудиту, модели угроз, технорабочие проекты на систему защиты, комплекты ОРД и так далее. Тогда на эти задачи у меня уходила уйма времени, но одна из них, как мне казалось, длилась целую вечность. При оформлении работ технического проекта по ГОСТ требовалось делать двойную нумерацию в разделах и сквозную нумерацию страниц всего проекта. После печати документа приходилось шариковой ручкой нумеровать все страницы проекта, а их количество порой превышало несколько сотен.
Именно решение этой проблемы при помощи скрипта в OpenOffice и открыло для меня мир автоматизации работы с текстом. Затем был MS Office, VBA-скрипты и годы практики. Задачи стали решаться быстрее, и я смог больше времени посвящать учебе. Это превратило некогда скучную рутину в творчество. Этим опытом я и хочу поделиться в серии статей об автоматизации различных бумажных задач кибербеза. В этой статье расскажу о базовых идеях автоматизации в Word и Excel на примере классификации и чуть-чуть на примере модели угроз. Советы будут полезны начинающим проектировщикам, аудиторам и аналитикам. Надеюсь, с этими инструментами у вас, как и у меня когда-то, появится время увидеть лес (безопасность) за деревьями (бумагой).
Неубиваемый P2P-интернет
![](https://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/webt/g3/ch/ns/g3chns-qnkqj1s8lvo3ox5rwdge.jpeg)
Из-за трудностей с доступом к некоторым сайтам и сервисам есть смысл оценить инструменты, которые помогают обеспечить подключение. Сейчас это вообще самая бурно развивающаяся отрасль программной разработки. Новые сервисы и приложения выходят почти каждый день, количество скачиваний выросло в десятки раз за последние месяцы. Самые эффективные из этих инструментов устойчивы к DPI и построены по принципу одноранговой пиринговой сети. О них и поговорим, потому что в случае полного отключения они могут помочь.
Например, в апреле 2022 года запустилась пиринговая сеть Lantern. Также недавно разработана децентрализованная платформа Locutus для запуска любых P2P-приложений (от создателя легендарной пиринговой сети Freenet). Это далеко не полный список новых пиринговых проектов, созданных в последнее время для помощи людям, испытывающим затруднения в работе интернета.
ELK Stack
![](https://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/getpro/habr/upload_files/6be/bd4/be6/6bebd4be6084c4c6312ddf19abc8ecc6.jpeg)
Сначала устанавливаем squid для дальнейшего использования в качестве прокси-сервера с помощью следующей команды:
OpenVPN. Инструкция по применению
![](https://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/getpro/habr/upload_files/81e/2f6/6f4/81e2f66f46a9579dc2189f8caf0e198c.jpg)
Виртуальные частные сети (VPN) давно вошли в повседневную жизнь. Множество технологий и реализаций сервиса приватных сетей (как для частного применения, так и для использования внутри периметра организаций), обеспечивающих определённый уровень безопасности, доступны для использования широкому кругу ИТ-специалистов.
Не смотря на обилие технологий, предлагаю остановиться на старом добром OpenVPN (в связке с EASY-RSA). Решение от Джеймса Йонана отличается гибкостью, функциональностью, надёжностью и непрерывностью разработки на протяжении приличного временного периода. Так сказать, мастодонт от мира VPN-решений.
Спойлер — ссылка на довольно функциональное решение (ничего особенного, чистый бэкэнд), написанное на bash некоторое время назад, ждёт вас в конце публикации (в виде github-репозитория под именем «openvpn_helper»), а здесь же уделю внимание общей структуре и некоторым аспектам использования набора скриптов и OpenVPN.
***
Список необходимых компонентов (используемая ОС — AlmaLinux 8):
1) OpenVPN 2.4.12;
2) EASY-RSA 3.0.8.
Профилируем события Sysmon при внедрении в инфраструктуру
![](https://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/getpro/habr/upload_files/af7/9b2/ca0/af79b2ca0d3089e092ab8dccf3375bca.jpeg)
Если Вы опытный инженер SOC и настраивали уже несколько раз мониторинг инфраструктуры с нуля, то врядли найдете для себя что-то новенькое. Всех остальных приветствую в своей первой статье).
Одним прекрасным утром прилетела задача внедрить Sysmon вчера срочно. Естественно, первым, что я сделал зашел на github и нашел сборник конфигурационных файлов для sysmon. Выбрал тот, который понравился (имел больше отзывов и звезд).
После внедрения найденного конфига (естественно без предварительного анализа) обнаружил, что есть, то чего не должно быть и нет того, что ожидал увидеть.
Переход к безопасной разработке. Зачем это нужно? Какие преимущества даст DevSecOps?
![](https://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/getpro/habr/upload_files/864/c00/b0a/864c00b0a498b7393da34ea5ee96f1de.jpg)
Сегодня организации сталкиваются с угрозами кибербезопасности, которые становятся все более разнообразными, сложными и изощренными. В тоже время, не каждая компания обладает отделом специалистов по кибербезопасности. Но любая современная IT-компания должна задумываться над безопасностью своих продуктов. Решением могут стать инструменты для автоматизации процессов обеспечения безопасности, чтобы развертывать решения безопасности быстрее и не держать большой отдел по кибербезопасности.
На практике основными причинами появления нарушений безопасности являются недостатки реализации механизмов защиты, уязвимости в коде приложения, недостатки конфигурации. Очень часто контроль со стороны службы информационной безопасности проводится на последних этапах жизненного цикла приложения. Такой сценарий несовместим с современными методиками DevOps и Agile, которые сокращают сроки циклов поставки ПО до нескольких недель.
Безопасность Web Apps в Telegram ботах
![](https://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/getpro/habr/upload_files/280/686/d4f/280686d4fe202a9036548eee3624f8ad.png)
16 апреля 2022 Telegram презентовал новую фичу - Web apps, с помощью которой можно открывать веб страницы в боте без перехода в браузер. Подробнее можно почитать в источнике https://core.telegram.org/bots/webapps.
Однозначно это удобная функция для пользователей и для разработчиков. Но, так как это веб приложение, можно просмотреть что под капотом. Telegram привел в качестве примера бота @DurgerKingBot, его и разберем.
Всемирный день пароля: как цифровая информация обзавелась защитой?
![](https://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/webt/ct/rx/vu/ctrxvucfolhmukdxkbuvtnyp0y8.jpeg)
Каждый первый четверг мая в IT-мире отмечается World Password Day: всемирный день паролей. Его предложил ввести в 2005 году Марк Бернетт как напоминание о важности паролей — и выразил пожелание, чтобы хотя бы в этот день пользователи вспоминали о необходимости их периодически обновлять. По предложению Intel Security, с 2013 года он получил своё место в календаре: в 2022 году он пришёлся на четверг 5-го мая.
О безопасности Kubernetes. Часть 2. Ищем уязвимости и защищаемся
![](https://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/getpro/habr/upload_files/ecc/4c7/2b2/ecc4c72b2c7b093b26f63e5e42b0da31.png)
В предыдущей статье мы рассмотрели архитектуру Kubernetes, и обсудили те виды уязвимостей, которые можно встретить в его программных компонентах и их настройках. Теперь перейдем к практическим аспектам защиты и поговорим о том, как обнаружить уязвимости и как грамотно от них защититься.
ТОП-3 ИБ-событий недели по версии Jet CSIRT
![](https://webcf.waybackmachine.org/web/20220515135916im_/https://habrastorage.org/webt/pl/uc/eh/plucehzw5jhwdiij74x0n5nfwcc.png)
Сегодня в подборке новостей от Jet CSIRT — уязвимости в Avast и AVG Antivirus, новая техника для заражения бесфайловым ВПО и ошибка DNS, которая затрагивает IoT-устройства. Новости собирала Мария Волгина, младший аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
Подробнее читайте под катом.
Вклад авторов
-
alizar 21135.3 -
marks 9200.7 -
ptsecurity 8539.6 -
LukaSafonov 6161.6 -
ValdikSS 5478.6 -
GlobalSign_admin 4436.9 -
Kaspersky_Lab 3969.9 -
esetnod32 3275.0 -
zhovner 2947.0 -
Jeditobe 2709.8