Информационная безопасность *

Привет, Хабр! Меня зовут Игорь Сак-Саковский, и я уже семь лет занимаюсь безопасностью веб-приложений в команде PT SWARM в компании Positive Technologies. В этой статье расскажу о моем недавнем исследовании, которое вошло в топ-10 методов веб-хакинга 2021 года по версии PortSwigger.

При общении в сети мы постоянно используем смайлики и выделяем текст в сообщениях. В Телеграме, Википедии, на GitHub и форумах это реализовано при помощи BBCode, MediaWiki и других языков разметки, использующих парсеры. Парсеры находят в сообщениях специальный код, тег или символ и преобразуют его в красивый текст с помощью HTML. А как известно, везде, где есть HTML, могут быть и XSS-атаки.

Я поделюсь методикой поиска проблем очистки передаваемых пользователями данных, которые могут привести к XSS-уязвимостям, покажу, как фаззить и находить проблемы при генерации HTML в сообщениях, а также проблемы парсеров, возникающие при их накладывании. Этот метод позволяет обнаруживать в популярных продуктах множество уязвимостей, которых раньше никто не замечал.

В статье вас ждет:

· вводная теория о том, что такое XSS и чем он опасен;

· советы, как искать XSS при отправке красивых сообщений;

· способы тестирования сообщений: перечислю уже известные техники, а еще поделюсь свежей идеей;

· список уязвимостей, которые я обнаружил в продуктах известных вендоров в процессе исследований, и чем они грозили;

· способы защиты приложений при разработке и как, по моему мнению, следует правильно защищаться: объясню наглядно, почему способ, которым пользуется большинство, — неверный.

Привет, Хабр! Меня зовут Александр, я ведущий специалист аналитического отдела компании «ИнфоТеКС». Сегодня речь пойдет о процедуре оценки влияния среды функционирования.

Статья будет интересна разработчикам ПО, которым необходимо обеспечить защиту информации в своем продукте с использованием средств криптографической защиты информации (СКЗИ).

Статья поможет разобраться, что такое оценка влияния, как понять, что она вам нужна, каковы примерные сроки проведения такой процедуры и можно ли использовать в своем продукте несертифицированное СКЗИ.

В очередном выпуске нашего Compliance-дайджеста подборка новостей законодательства в области ИБ. Какие изменения в порядке размещения биометрических персональных данных в ЕБС? Как ГИС будут переходить на «ГосТех»? Какие новые понятия планируется ввести в законе о гостайне? Какие требования к обеспечению защиты информации при переводах денег планирует ввести ЦБ РФ? Об этом и других изменениях читайте в этом посте.

Приветствую, читатели. Время идет, и все больше и больше новых вирусов и потенциально опасных приложений появляется в сети. Казалось бы, мир уже давным-давно познал целые интернет-эпидемии и не является таким беззащитным, как во времена первых сетевых червей. Code Red тому в пример. Но так уж пошло, что чем сложнее защита или система, тем больше в ней может находиться уязвимых мест. Парадокс, не правда ли? 

Каждый день специалисты из разных компаний обнаруживают десятки критических уязвимостей. Стоит отметить, что эти обнаружения зачастую связаны с вирусной активностью, тот или иной зловред начинает использовать до сих пор неизвестную прореху, а только потом аналитики обнаруживают, в чем же здесь дело. Но бывает и наоборот.

Что ж, в этой статье пойдет речь как раз таки о вирусе, который в своей кампании использует критические уязвимости нулевого дня и сейчас нацелился на пользователей сети Европы и стран СНГ — Magniber.

Данная статья является перепечаткой из профильного журнала "Безопасность информационных технологий", который позволяет донести проблематику до узко заточенных специалистов. Но с целью расширения круга и более широкоформатного обсуждения, я на правах автора, решил опубликовать ее и на Хабре.

Термин «доверенная электронная компонентная база (радиоэлектронная аппаратура)» (доверенная ЭКБ(РЭА)) стал всё чаще определять повестку дня предприятий и руководителей электронной отрасли. Но пока этот термин не имеет нормативного и даже консолидированного определения. И дело, скорее всего, не в сложности задачи, а в том, что корень слова «доверенная» содержит понятие «вера» – признание чего-либо истинным, независимо от фактического или логического обоснования, преимущественно в силу характера отношения к предмету веры, убежденности и уверенности – то есть, свойств настолько далеких от физических сущностей, что любой технократичный подход к познанию предмета изначально обречен на неудачу.

Если провести лингвистический и статистический анализ выступлений и публикаций, связанных с данной темой, то в них самым популярным словом будет «безопасность». То есть, использование «не доверенной ЭКБ (РЭА)» повышает уровень опасности, и, наоборот, безопасность обеспечивается использованием «доверенной ЭКБ (РЭА)».

Термин «безопасность» более привычен для технических отраслей. Созданы методики количественной и качественной оценки уровня безопасности. Таким образом, считаю, что свойство доверенности ЭКБ (РЭА) следует характеризовать и оценивать в рамках повышения или снижения уровня безопасности.

Сегодня ни для кого не секрет, что централизованные сервисы постоянно собирают о нас как можно больше информации. Любое наше действие, передвижение, сообщение считывается как на аппаратном, так и на программном уровнях, словно мы находимся в антиутопичном мире киберпанка, где за всей нашей жизнью следит тысяча механизированных глаз. Результат такого исхода событий свидетельствует лишь о том факте, что он становится экономически выгоден, рационален, оправдан компаниями, производящими массовую слежку и добычу конфиденциальной информации.

Вопрос всего этого спектакля лежит лишь в плоскости того как именно происходит сбор информации, как эта информация перераспределяется, между кем она распределяется, как она приносит выгоду, и то как она находит свою конечную цель — клиента системы. В итоге всего вышеперечисленного, целью нашей работы будет являться выявление жизненного цикла конфиденциальной информации пользователей в кругу централизованных сервисов.

Эта статья описывает, как добавить модель безопасности RBAC (ACR, ACL) в Laravel 10,
используя пакет "laravel-access-rules". В ней можно увидеть пошаговое руководство по созданию: ролей, разрешений, назначению их пользователям.

Получить готовый визуальный интерфейс для управления и легкой интеграции в готовое приложение. И как защитить свое приложение с помощью продвинутого контроля доступа.

И это заключительная часть цикла статей про SQL-инъекции. В ней мы с вами узнаем, как можно собирать информацию о БД путем применения инъекций и затронем тему слепых SQL-инъекций.

Скорее всего не для кого уже не новость, что ChatGPT от OpenAI способен не только генерировать статьи, идеи, писать код вместо разработчика, но также писать всякого рода вирусы и прочие вредоносные программы. Специалисты кибербезопасности из компании Hyas решили продемонстрировать, на что способно вредоносное программное обеспечении на основе ChatGPT.

По итогу получился интеллектуальный вирус, способный сам принимать решения и генерировать концы своего исходного кода, который не обнаруживают антивирусные решения.

Я решил сам убедиться, возможно ли такое, и вот что вышло.

На практике часто необходимо при заданных условиях и ограниченных ресурсах для построения сети выбирать из потенциально возможных структур лучшую в некотором смысле, например, устойчивую к неисправностям (отказам) связей между узлами (каналов) транспортной сети, сети связи, сетей нефте- и газопроводных и многих других. Предлагается рассматривать ряд задач поиска оптимального решения в рамках числовых примеров. Актуальность проблемы несомненна, даже наше городское жилье охвачено большим числом обеспечивающих удобства и комфорт сетями различного назначения: электрическими, снабжения холодной и горячей водой, газопроводной, теплоснабжения, телевизионной, радиотрансляционной, интернетом, канализацией, мусоропроводом, охранного видеонаблюдения и др.

Кредитно-финансовые учреждения постоянно подвергаются кибератакам. Согласно отчету ЦБ РФ, в 2022 году мощность и количество кибератак на отрасль выросло в десятки раз. Несмотря на то, что финансы традиционно считаются самой защищенной сферой, в 2022 году в большинстве задетектированных атак злоумышленники пытались вывести из строя информационные системы банков, а также получить доступ к инфраструктуре для хищения денежных средств и данных клиентов. Как защититься от кибератак?

Гид по конференциям и митапам, которые пройдут с 15 по 30 апреля в Москве, Ереване, Екатеринбурге, Алматы и других городах.

Новая цифровая реальность последних лет, в большинстве технологических решений которой ядром выступает искусственный интеллект (ИИ), существенно исказила восприятие человеком разницы между реальностью и вымыслом. Один из главных «стирателей» такой грани — дипфейк‑технологии, которые можно охарактеризовать как методику автоматизированного, т. е. машинного синтезирования аудиовизуального цифрового контента (изображений, аудио, видео и даже текста) с целью создания видоизмененного и при этом максимально реалистичного контента.

Как бы то ни было, технические подделки, которые, как казалось, делают глубокие изменения внешности в тех же самых фильмах, со временем еще больше развивались и совершенствовались. А ведь несколько лет назад артикуляционная экспрессия и другие элементы синтезированного видео задавались программно‑ по большей части это была «ручная» задача, причем в режиме реального времени.

Привет, Хабр!

Напомню тем, кто успел подзабыть — меня зовут Светлана Газизова, я руководитель направления аудита и консалтинга в области безопасной разработки Swordfish Security. В прошлый раз мы с вами взвешивали плюсы и минусы BSIMM. Недостатки этой и других зарубежных моделей подтолкнули нашу команду к созданию собственного фреймворка безопасной разработки. Мы собрали в нем best practices общеизвестных методологий и лучшие отраслевые технологии, а главное — соотнесли всё это с требованиями российских регуляторов. В статье я расскажу, из чего состоит фреймворк Swordfish Security, в чем его плюсы и как мы планируем улучшить нашу модель. 

Предыдущие статьи серии:

Современные технологии обхода блокировок: V2Ray, XRay, XTLS, Hysteria и все-все-все
Программы-клиенты для протоколов недетектируемого обхода блокировок сайтов: V2Ray/XRay, Clash, Sing-Box, и другие

С протоколами разобрались, с клиентами разобрались, теперь наконец-то настало время рассказать о том, как же настроить свой личный прокси-сервер с современными протоколами для обхода блокировок. Мы будем настраивать сервер на базе XRay (который является форком известного V2Ray, и еще я немного упомяну Sing-Box) с протоколами Shadowsocks-2022 и VLESS с транспортом XTLS-Vision и фейковым веб-сайтом для защиты от выявления. И в качестве запасного варианта на том же сервере мы настроим fallback на VLESS+Websockets, чтобы была возможность работать через CDN типа Cloudflare, если вдруг IP-адрес вашего сервера попадет под блокировку. В конце я приведу настройки десктопных и мобильных клиентов для подключения ко всему этому.

Kubernetes — ценный ресурс и ведущая система управления контейнерами в конвейерах разработки по всему миру, но это не освобождает её от вредоносных атак. Использование Kubernetes требует глубокого понимания среды, включая разные уязвимости, с которыми можно столкнуться при создании, развертывании или запуске приложений в ваших кластерах.

Поскольку кластер Kubernetes один из самых ценных облачных ресурсов, он нуждается в защите. Его безопасность обеспечивает безопасность облака, кластеров приложений, контейнеров, приложений и кода. Хотя Kubernetes обеспечивает преимущества в области безопасности, укрепление способов защиты имеет решающее значение для обороны вашей системы от хакеров и других кибер-угроз.

В этом обзоре рассматриваются семь основных способов, которые могут подвергнуть кластер атаке, с соответствующими мерами противодействия к каждому.

Современные симметричные шифры, которыми мы пользуемся неявно, но повсеместно, появились в ходе своей многовековой эволюции, в ходе продолжительных и постоянных этапов собственного совершенствования. Каждый новый шаг улучшения приводил одновременно к разрушению старых уязвимых шифров и к порождению новых, более качественных и безопасных. Тем не менее, само разрушение старых алгоритмов всегда двояко свидетельствовало как об их недостатках, которые необходимо было искоренять, так и об их достоинствах, которые нужно было наследовать. В следствие этого, каждый новый, более качественный шифр, представлял собой количественный синтез старых, менее качественных алгоритмов шифрования.

Разбор громких инцидентов с Road Show SearchInform на Хабре имеет шансы стать традицией. В прошлом году я представил реконструкцию инцидента, связанного с выносом базы данных за пределы одной финансовой компании. Его главным и единственным организатором был ловкий и умелый инсайдер «Иван Денисович».

В этот раз источником вдохновения послужило не менее любопытное дело. Оно также связано с утечкой информации, но уже с другими героями в главных ролях. Решил реконструировать инцидент. Как и в прошлый раз: «все выдумано, а совпадения случайны».

Участники: Карл - инсайдер, Клара - жертва, Кораллы - данные почтового ящика Клары.

Под катом рассказываю, как Карлу удалось украсть «кораллы» и нанести компании ущерб в 100+ млн рублей, каким образом его вычислили и как он оправдывал себя в суде. И самое главное – показываю, какими инструментами компания могла бы упростить себе поиски виновного и предотвратить инцидент.