Cybershit
7.39K subscribers
95 photos
12 videos
35 files
605 links
Полезный канал про технологии и информационную безопасность. Нам не поИБ на ИБ. А вам?

О канале: http://telegra.ph/Cybershit-08-14
Связь: @cybrsht_bot
Download Telegram
Forwarded from CyberSecurity in Russian | Channel (Sergey Belov)
1. Брутфорс аккаунта
- прямой (безлимит)
- горизонтальный
- cred stuffing
2. Брут пинкодов
- брут в “лоб”
- брут с ротацией IP
- запрашиваем от 1+кк аккаунтов код и пробуем один и тот же код
3. восстановление акков
- подмена хоста на восстановлении
- смена пароля или емейла без CSRF
- раскрытие токена при восстановлении акка
4. oauth
- привязка без CSRF (state)
5. мобилки
- одинаковая схема
6. session confusion
7. cache deception
8. логические баги (слушайте эфир)
9. доп скопы в oauth
10. юз одного токена к чужому акку
На прошлой неделе у PortSwigger вышел неплохой материал для любителей поковыряться в OAuth2 и OIDC. Рассмотрены три новые уязвимости для демонстрации которых используются опенсорсные реализации OAuth и OpenID Connect — ForgeRock OpenAM и MITREid Connect.

> https://portswigger.net/research/hidden-oauth-attack-vectors

Для большего погружения в тему работы OAuth/OIDC, их реализации, известных атак и безопасности:

https://portswigger.net/web-security/oauth
https://portswigger.net/web-security/oauth/openid
https://www.polarsparc.com/xhtml/OAuth2-OIDC.html
https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1
https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html
Делать Infrastructure-as-code (IaC) сейчас модно, главное предварительно ознакомиться с лучшими практиками и не забыть подумать о безопасности. Для последнего существует несколько бесплатных утилит, как для конкретного решения, так и комплексных (например checkov).

Компания Checkmarx, многим известная своим SAST решением для анализа исходного кода, тоже решила сделать вклад в комьюнити и выпустила собственное opensource решение для статического анализа конфигураций — Keeping Infrastructure as Code Secure (KICS).

Поддерживает: Terraform, Kubernetes, Docker, Ansible, Helm и AWS CloudFormation.

А еще есть неплохая документация и запланированный на 15 апреля вебинар, где обещают рассказать о решении подробнее.

KICS > https://www.checkmarx.com/opensource/kics/
Docs > https://docs.kics.io
Git > https://github.com/Checkmarx/kics
Webinar > https://register.gotowebinar.com/register/3720624616764432144
Ребята из Яндекса в рамках Positive Hack Days рассказали, как они повышают ИБ-осведомленность своих сотрудников, начиная от мемов, которые размещают в офисных кофе-поинтах и заканчивая обучающей платформой для поиска багов в коде. Последнюю кстати выложили в открытый доступ и на GitHub. Говорят было бы круто, если бы вы помогли в развитии и использовали их наработки у себя, например дописав тесты под свои языки и сценарии.

http://securitygym.ru
https://github.com/yandex/securitygym
Эту неделю очень хочется начать с минутки мотивации, которой в последнее время мне не хватает чтобы регулярно вести канал.

Знакомьтесь, Кельвин Сиу (Kelvin Siu) из Гонконга, который за 12 месяцев получил 14 сертификаций. Пусть набор сертификатов странный, кажется Кельвин решил не мелочиться и сложить все яйца в одну корзину, но факт, что парень просто взял и за год закрыл такой объем сертификаций, малую часть которого многие закрывают годами.

Если вдаваться в детали, конечно там не так все просто — у него уже было 7 лет опыта в индустрии, а подготовка заняла куда больше времени, чем сама сдача (по 2-3 месяца подготовки на каждый экзамен). Судя по linkedin работает Кельвин аудитором в компании из большой четверки, а зная какие там бывают нагрузки мне вся ситуация кажется вообще легендарной.

Предлагаю порадоваться за Кельвина и пойти работать. Усерднее(!). Всем хорошей недели.

https://www.linkedin.com/pulse/thank-you-all-support-here-answers-your-questions-kelvin-siu/
Если вы еще не интегрировали MITRE ATT&CK в свои процессы, вот вам отличный повод еще раз понять, как применять фреймворк на практике — CISA выпустило свое краткое руководство, где с помощью общих инструкций и на примере трояна TrickBot показали как работать с MITRE ATT&CK и сопоставить поведение злоумышленника.

https://us-cert.cisa.gov/sites/default/files/publications/Best%20Practices%20for%20MITRE%20ATTCK%20Mapping.pdf
Кто пропустил, вчера Microsoft выкатила июньские обновления безопасности в рамках Patch Tuesday.

Коротко обзор:
[RU] https://news.microsoft.com/ru-ru/update-tuesday-microsoft-security-updates-jun2021/
[EN] https://krebsonsecurity.com/2021/06/microsoft-patches-six-zero-day-security-holes/
Идея обучения своих сотрудников вопросам ИБ не является чем-то новым, но последнее время стремительно набирает популярность.

Поэтому в рамках этого партнерского материала хочу вам рассказать про своих знакомых из компании Secure-T, которые мне предложили разыграть среди подписчиков бесплатную проверку социалкой на 150 человек.

Ребята не первый год на рынке и уже обучают и тестируют более 10 тысяч сотрудников крупных организаций.

Вот немного статистики из их последних двух фишинговый рассылок:
1-й кейс — 46% сотрудников перешли по ссылке в открытом письме, а 14% ввели свои учетные данные в поддельные формы;
2-й кейс — 50% сотрудников перешли по ссылке в письме, а 28,5% ввели свои учетные данные в поддельные формы.

В рамках проверки они подготовят фишинговые шаблоны и проверят знания сотрудников в вашей организации. По завершении работ вам будет предоставлен отчет.

Условия для участия простые:
1. Быть подписанными на канал
2. Тыкнуть на кнопку «Я участвую»

Тянуть не будем, розыгрыш состоится уже в эту пятницу, результаты будут в 19:00. С победителем розыгрыша я дополнительно свяжусь.

Ну а для тех, кто хочет побольше узнать о деятельности ребят:
Сайт компании: https://secure-t.ru/
Сайт продукта: https://edu.secure-t.ru/
Для участия в розыгрыше нажмите на «Я участвую»
*****
Победители: Mak Mih
В Kaspersky решили не мелочиться и сделать VR игру для знакомства топ-менеджмента с рисками ИБ.

Такой Standoff на минималках)

https://www.kaspersky.com/blog/vr-interactive-simulation/40188/
Cybershit
В Kaspersky решили не мелочиться и сделать VR игру для знакомства топ-менеджмента с рисками ИБ. Такой Standoff на минималках) https://www.kaspersky.com/blog/vr-interactive-simulation/40188/
Вообще идея создания подобной карточной ИБ-игры преследует меня уже давно. Хочется и чтобы на конференциях можно было зарубиться, и не погруженным в мир ИБ было интересно. Мы с другом даже делали прототип, но дальше тестов к сожалению ничего не уехало :(

На самом деле там не все так просто
Застрахуй братуху, застрахуй или зачем вам ИБ, если можно просто купить полис?

https://cloud.yandex.ru/insurance-offer
https://sber.insure/products/cyber/

Судя по количеству материалов по запросу "cybersecurity insurance" за рубежом это уже частая практика, посмотрим приживется ли у нас. Любопытно глянуть на реальные кейсы.

p.s ого первый пост с лета :0
Ого, а вы наверное и забыли, что подписаны на этот канал?

Судя по датам последних публикаций канал перешел в режим один пост в пол года. Причины этому максимально банальны — большое кол-во работы и как следствие частичная потеря интереса к ИБ. Как там это сейчас называется, выгорание?

За последний год удалось позаниматься интереснейшими проектами, задачами, пообщаться с крутыми специалистами и восстановиться.

Лишний раз убедился, что в ИТ и ИБ огромное количество талантливых и умных людей, которые вне публичного поля и просто тихо делают свою работу, делают ее по-настоящему!

Еще нужно сказать, что очень важно уметь делать перерывы и успевать просто пожить.

Основная идея этого лиричного текста в том, что я хочу попробовать восстановить привычную активность и возможно немного поменять формат. Посмотрим, но пока без обязательств 🌚
​Сегодня частично затронем тему EndpointSecurity и поговорим про инструмент osquery. Исторически osquery сделали инфраструктурщики в Facebook, под свои задачи еще в 2013, а после публикации в опенсорс он завоевал сердечки и остальных.

Эта штука способа превратить ОС в реляционную базу данных, а вас вооружить всей мощью SQL чтобы с этими данными работать.

Глянуть историю процессов в динамике, найти стремные файлы используя YARA-правила или отобразить открытые порты — проще простого, собрать все недавние http запросы, включая JA3 от TLS — изи, нужно что-то посложнее? На самом деле все ограничивается вашей фантазией потому что у osquery есть свой SDK и возможность подключения расширений, написанных на плюсах, go или python.

Модель взаимодействия может быть тоже разной, агент может ждать запросы от мастера, или отгружать нужную инфу по шедулеру. Можно также организовать отправку всего этого добра в SIEM, напрямую в Elastic или еще какие IR системы.

Для тех, кто любит чтобы еще и красиво было можно сразу ставить в связке с fleetdm или osctrl для понятного и единого UI.

К слову для MacOS это вообще наверное лучшее, что существует на сегодняшний день для аналитики и мониторинга.

Помимо классики, osquery умеет в k8s, с помощью плагина kubequery, и частично в облака, но для этих целей уже лучше будет посмотреть в сторону cloudquery, правда это уже проект от других авторов и отдельная тема для разговора.

osquery > https://osquery.io/
cloudquery > https://www.cloudquery.io
k8s plugin > https://github.com/Uptycs/kubequery
UI > https://fleetdm.com, https://osctrl.net/
Overview > https://blog.palantir.com/osquery-across-the-enterprise-3c3c9d13ec55
QueryCon 2019 > http://www.youtube.com/watch?v=oaxappbTc2A&list=PLciHOL_J7IwoYxJ7FwJ-aomCBZViDBMas
osquery в мире AppSec > https://2019.zeronights.ru/wp-content/themes/zeronights-2019/public/materials/2_ZN2019_igor_grachev_evgenij_sidorov_andrej_kovalevOsquery_AppArmor.pdf
Старенькие конфиги для примера > https://github.com/palantir/osquery-configuration
This media is not supported in your browser
VIEW IN TELEGRAM
На днях смотрел видео от Hashicorp и был приятно удивлен, что они сопровождают свои вебинары сурдопереводчиком для глухонемых. Я давно такого не видел, а тут еще и тематика такая. Показалось, что это прям очень круто!

Я в этой теме полный профан, но знаю что там существует несколько диалектов, и в целом язык может отличаться в зависимости от географии.

Интересно как он пополняется новыми жестами, ведь в IT куча сленговых слов и аббревиатур. А еще кажется можно это автоматизировать и визуализировать в режиме реального времени без участия человека, хотя с человеком это наверное намного приятнее. Крутая и узкоспециализированная профессия с погружением в область.

Кажется в текущих реалиях таких штук должно быть больше, в том числе на конференциях.
Наткнулся на проект Casdoor — это достаточно функциональная платформа для организации IAM и SSO с множеством интеграций, провайдеров и удобным интерфейсом. Может использоваться не только как IdP для OAuth, OIDC, SAML и CAS, но и как сервисный провайдер, а внутри куча крутилок для мапинга атрибутов, разные модели управления доступом (RBAC, ABAC, ACL), политики и даже поддержка WebAuthn!

В целом выглядит все очень круто — репа с 3,5к звездочек, удобные демо, если хочется потыкать в живую, документация, API, готовый SDK и пр.

Но нет ничего идеального. На гите десятки свежих issue, релизы выходят каждый день, а в демке бывает что-то не работает. Сложилось впечатление, что пытаются охватить необъятное.

Короче у ребят есть мощный потенциал, скорость разработки, активное коммьюнити под боком а учитывая, что проект еще молодой, вполне может стать намного более функциональной заменой для тот же Keycloak. Там правда уже есть замашки за монетизацию, поэтому очень надеюсь, что они в итоге останутся на светлой стороне.

Делитесь и своими находками :)

site > https://casdoor.org
git > https://github.com/casdoor/casdoor
demo > https://door.casdoor.com
Для тех, кто пропустил увлекательный доклад с недавнего BlackHat и DEFCON от представителей Rapid7 про их исследования ПО для Cisco ASA.

В текущих реалиях, когда многие остались отрезанными от обновлений и подписок, готовы скачивать различные кряки, образа и клиенты для администрирования штата своих Cisco, такая тема кажется более чем актуальна.

Если опустить рассказ про то, как Cisco выпустила патч не закрывающий зарепорченную уязвимость, то основные темы доклада всего две:

– Установка вредоносного программного обеспечения для ASA и простые способы внедрения бекдоров в ПО администрирования Cisco ASDM.
– Создание вредоносных установочных пакетов и загрузочных образов для модуля FirePOWER. Там вообще забавная история с очень сложными кредами root:cisco123 для рутового пользователя в образах FirePOWER, которые в большинстве инсталляций имеют доступ ко всему трафику.

По сути весь доклад про то как вредоносные пакеты могут оказаться на ваших ASA, а также полный инструментарий со скриптами и модулями для метасплоита. Все как полагается.

Из рекомендаций по устранению — это конечно же максимальная изоляция административного доступа до цисок, обновление дистрибутивов ПО (что для многих сейчас проблематично) и несколько YARA правил на детект эксплоитов и вредоносных пакетов. 🔥

read > https://www.rapid7.com/blog/post/2022/08/11/rapid7-discovered-vulnerabilities-in-cisco-asa-asdm-and-firepower-services-software/

repo with materials > https://github.com/jbaines-r7/cisco_asa_research
Please open Telegram to view this post
VIEW IN TELEGRAM