Информационная безопасность *

Kasm Workspaces – это DaaS (Desktop as a Service) использующий контейнеры Docker вместо виртуальных машин.

https://kasmweb.com

Этот перспективный проект уже получил популярность в кругах исследователей безопасности и разработчиков.

В этой статье я расскажу вам об основных возможностях этого инструмента.

Сегодня обсудим «извечный вопрос»: как обнаружить точное местоположение пользователя методами OSINT? Первым делом вспомним, что OSINT – это совокупность методов и приемов работы с открытыми источниками информации. И в этом контексте самые очевидные способы обнаружения геолокаций заключаются в анализе той публичной информации, которую пользователи оставляют о себе в глобальной паутине. Это геометки и чекины в социальных сетях, анализ публичных записей, координаты в метаданных загружаемых фотографий, исследование фото и видео контента для выявления местоположения оператора и тому подобные.

Это все здорово, но здесь я хотел бы поговорить о более продвинутых возможностях технического наблюдения за умными устройствами. За подробностями добро пожаловать под кат!

Решил я недавно разобраться в подробностях работы SSH. Использовал его для удалённого запуска команд давно, но, будучи не слишком опытным в системном администрировании, очень размыто представлял, зачем админы просят им отправить какой-то ключ, что с этим ключом происходит при подключении, и прочее. Поэтому предлагаю здесь обзорную экскурсию по используемым алгоритмам и ключам.

Статья рассчитана на тех, кто поверхностно знаком с SSH, возможно, использовали на практике, но не осознали его сакральных смыслов и глубоких тайн. Попытаюсь описать основные аспекты безопасности протокола: какие ключи и алгоритмы используются, в какой момент и зачем. Также будут замечания, как некоторые части протокола реализованы в OpenSSH.

Как известно, в 2007 году кроме того, что деревья были выше, а трава зеленей, еще и в Интернете не было особых ограничений - можно было открыть почти любой сайт и наслаждаться им. До ковровых блокировок Telegram оставалось ещё 10 лет... К сожалению, в наше время такой возможности уже нет. Причины тут всем известны, в частности, некоторые компании уже не предоставляют своих услуг в России.

Хорошо, что существует возможность в рамках домашней сети восстановить свободный Интернет таким, каким он был в 2007-м. Именно этим мы и займемся. Стоит отметить, что в 2007 году довольно часто можно было встретить подключения на скорости 64-128 Кб/с, а то и вовсе dial-up; Wi-Fi был редкостью, а мобильная связь - довольно дорогим удовольствием. Однако, эти особенности того времени мы постараемся не воспроизводить.

Представляю вашему вниманию Freeroute - простой маршрутизатор, который позволяет направлять трафик на разные шлюзы в зависимости от домена назначения. Free в названии, как водится, означает свободный, а не бесплатный.

В современном мире мы не можем представить жизнь без мобильной связи. Мы постоянно на связи, получаем OTP коды от различных веб-сервисов и банковских приложений. Есть мнение, что сеть мобильных операторов связи закрыта и защищена от атак злоумышленников, но на самом деле нет. Пограничное оборудование "торчит" в интернете, провайдеры между собой используют древний стек протоколов связи SS7, который беззащитен против современных угроз.

Анализ некоторых уязвимых команд данного стека протоколов в статье, приятного чтения!

Всем привет! По следам ушедшего месяца подводим итоги дайджестом новостей. Он выдался довольно горячим: в первый же день июня прогремела «Операция Триангуляция» со спайварью под айфоны, выявленной Касперским на пару с ФСБ. А следом Atomic Wallet подвергся до сих пор не объяснённому компанией взлому, который грозит отправить кошелёк на дно, где умирают все стартапы. Помимо этого, в MicrosoftTeams обнаружили элементарную уязвимость, позволяющую внешним пользователям отправлять файлы в организации, открывая широкий простор для фишинга. А на репозитории NPM всплыл масштабный конфуз с манифестами, способными скрывать за собой малварь и прочее вредоносное. Об этом и других интересных новостях первого летнего месяца читайте под катом!

В 2022 году Россия заняла второе место по использованию VPN в мире после Индии. Рост по количествам скачиваний VPN-сервисов составил 167%: если в 2021 году было скачано 12,59 млн. VPN-приложений, то в 2022 году уже 33,54 млн. О точном количестве пользователей VPN это не говорит, потому что устанавливать приложения на несколько гаджетов или скачивать несколько разных VPN в течение года. Тем не менее, эксперты предполагают, что VPN сейчас пользуется каждый четвёртый россиянин. Большинство используемых россиянами VPN — бесплатные.

Популярность бесплатных VPN обусловлена ценовой политикой большинства VPN-сервисов. Средняя цена VPN-серверов на долгосрочных планах, которые обеспечивают их основной доход — $3-4. Проблема в том, что такую цену за месяц можно получить, только оплатив 2-3 года сервиса разом — а это повышает разовый платёж до $80-120, при этом помесячная оплата намеренно завышена — $10 и выше. Высокие цены крупнейших VPN-провайдеров толкают людей в сторону бесплатных VPN, что делает ситуацию с ростом установок VPN довольно неоднозначной.

С одной стороны, VPN — это хорошо: он позволяет обходить цензуру, географические ограничения и скрывать свой трафик от интернет-провайдера. С другой, высокая доля бесплатных VPN несёт потенциальную угрозу прямо противоположного эффекта: многие пользователи не знают или недооценивают риски, идущие с установкой бесплатных VPN, ожидая, как обещает реклама, большей безопасности и приватности, а на деле — рискуя и тем, и другим. 

В конце мая вскрылась масштабная утечка данных пользователей ChatGPT, которые потенциально могут скомпрометировать конфиденциальную и чувствительную информацию, которую пользователи доверяют этому продвинутому чат-боту. На биржах украденных данных в даркнете появились логи, содержащие более 100 000 учетных записей ChatGPT. Как сообщает The Hacker News и сингапурская компания Group-IB, занимающаяся кибербезопасностью, в публичный доступ попали учётные данные пользователей, заходивших в ChatGPT с момента его запуска в июне 2022 года по май 2023 года, когда появилась информация об утечке — а это значит, что она вполне может продолжаться. Наибольшее количество локаций утекших учеток — США, Франция, Марокко, Индонезия, Пакистан и Бразилия.

«Количество доступных журналов, содержащих скомпрометированные учетные записи ChatGPT, достигло пика в 26 802 в мае 2023 года», — Group-IB. «За последний год в Азиатско-Тихоокеанском регионе наблюдалась самая высокая концентрация учетных данных ChatGPT, выставленных на продажу».

Привет, Хабр! Меня зовут Игорь, я занимаюсь разработкой серверной части в команде RuBackup.

В процессе своей работы мы с коллегами уделяем большое внимание вопросам безопасности наших приложений. SQL-инъекция — одна из самых серьезных угроз этой безопасности. Она заняла третье место в списке 25 самых опасных проблем в программном обеспечении за последние два года. Именно поэтому я решил собрать весь свой накопленный опыт и рассказать о митигации SQL-инъекций.

Наверняка многие из вас знают, что валидирование пользовательского ввода — краеугольный камень процесса безопасной разработки. С одной стороны, нам как разработчикам не хочется ограничивать пользователей в наборе таких входных данных, как символы и выражения, которые они могут использовать в работе, например, в паролях. С другой стороны, нельзя допустить выполнения в СУБД вредоносного кода, который приводит к SQL-инъекциям. А такие случаи время от времени происходят и становятся достоянием гласности. PostgreSQL дает разработчику возможность решить эту проблему экранированием потенциально опасных символов, превращая их в безопасные. Таким образом, для PostgreSQL будет вполне безвредно, если пользователь в качестве пароля использует строку "password' OR 1=1".

Для защиты от SQL-инъекций в прикладных библиотеках PostgreSQL libpq и libpqxx применяется техника «эскейпинг» или экранирование строки. Она заключается в том, чтобы убрать лишние символы разрыва строк в строках, содержащих специальные символы. С помощью этой функций символы удваиваются и более не считаются окончанием строки, а интерпретируются как обычные символы. Я буду рассматривать только библиотеку libpqxx, так как она, по сути, является С++ оберткой над более низкоуровневой С библиотекой libpq, где и реализованы все функции, о которых далее пойдет речь.

Продолжаем цикл статей «Учим старого пса новым трюкам», посвященных расширению возможностей BloodHound. Это популярный инструмент, который используется для сбора и анализа данных во время проведения пентеста внутренней инфраструктуры на базе Active Directory. BloodHound позволяет визуализировать некорректные настройки объектов Active Directory и строить цепочки атак. Его основная особенность – использование теории графов при анализе данных. В сегодняшнем посте рассмотрим способ представления GPO Client Side Extension в читаемом виде и добавление этой информации в базу BloodHound.

В этой статье мы продолжим рассматривать интересную тему эксплуатации уязвимостей кода. В первой части мы выявили наличие самой уязвимости и узнали, какой именно объем байт мы можем передать нашей уязвимой программе для эксплуатации уязвимости. Сейчас мы на время оставим нашу уязвимую программу и поговорим о написании shell-кода.

1. Требования по подготовке специалистов

Подготовка специалистов по информационной, а позднее кибербезопасности во все времена и во всех юрисдикциях была дорогим и хлопотным делом. Причин тому несколько. Одна из них — это естественное выбытие младшего персонала. Полные амбиций молодые специалисты после 1–2 лет успешной работы принимают решение о смене работы, руководствуясь желанием расширить круг обязанностей в обмен на большую зарплату в другой компании. Другая причина — это кардинальная смена компьютерных технологий обработки ценной информации. Так было при переходе от мейнфреймов к персональным компьютерам, потом к локальным сетям, затем к глобальным сетям с централизованной обработкой данных в базах данных, с повсеместным распространением Интернет и веб‑технологии. И каждый раз для обучения разрабатывались новые методические материалы, в учебных заведениях формировались стенды, обучались преподаватели. Поэтому во всем мире и, например, в США, озаботились оптимизацией затрат на переподготовку ИТ специалистов, для чего в 2000-х годах разработали методологию непрерывного переобучения инженеров‑программистов, системных и сетевых администраторов, менеджеров‑архитекторов и управленцев среднего и высокого уровня в сотрудников кибербезопасности.

Так, показательным является обучение младшего и среднего командного состава армии США разным аспектам обеспечения информационной и кибербезопасности (далее ИКБ) в рамках исполнения директивы Министерства Обороны США 8140.01 (ранее 8570.01-M). В соответствии с этой директивой, в зависимости от выполняемых функций, как гражданские, так и военные служащие обязаны регулярно подтверждать свою квалификацию в области ИКБ своевременным получением и поддержкой международно‑признаваемых профессиональных сертификаций от ведущих американских ассоциаций, таких как CompTIA, ISACA и ISC2 (рис. 1).

Всем привет! Меня зовут Владимир Исабеков, в Swordfish Security я занимаюсь динамическим анализом приложений (DAST, Dynamic Application Security Testing). В этой статье мы поговорим о ключевых недостатках DAST-тестирования и рассмотрим один из способов их устранения.

В этом хабропосте рассказываем, что скрывается за аббревиатурой TI, зачем он нужен, какие данные о киберугрозах собирает Positive Technologies и какую пользу они приносят компаниям в предупреждении киберугроз. На примере четырех сценариев покажем, как компании могут использовать PT Threat Intelligence Feeds для обнаружения вредоносной активности и предотвращения атак.