В продолжение темы ханипотов, посмотрел свежее интервью с Александром Щетининым, сооснователем и генеральным директором deception-вендора Xello. Мы с Александром долгое время работали в отделе инфраструктурной безопасности Тинькофф. 💛 В 2018 году он ушёл строить свой бизнес, который удачно стрельнул.
В 2019 Xello выпустили первую версию deception-платформы (управление хостами-приманками в инфраструктуре). На 2022 год достигли ~115 млн. р. выручки и ~20 человек в команде. Сейчас оцениваются на 1-2 млрд. р.
В интервью есть и то, что обычно мотивирует уйти из найма в свой стартап (как сделать продукт и начать зарабатывать на нём 😎), и то, что обычно демотивирует:
🔻 С начала работы до момента, как они стали нормально зарабатывать прошло 2-3 года.
🔻 Чтобы успешно реализовать хотя бы одну продажу, необходимо провести критическую массу пилотов (минимум пять).
🔻 Текущая работа Александра состоит из встреч, звонков и разбора почты. 🤷♂️
В общем, очень интересно и без пафоса. 🔥👍
@avleonovrus #Xello #honeypot
В 2019 Xello выпустили первую версию deception-платформы (управление хостами-приманками в инфраструктуре). На 2022 год достигли ~115 млн. р. выручки и ~20 человек в команде. Сейчас оцениваются на 1-2 млрд. р.
В интервью есть и то, что обычно мотивирует уйти из найма в свой стартап (как сделать продукт и начать зарабатывать на нём 😎), и то, что обычно демотивирует:
🔻 С начала работы до момента, как они стали нормально зарабатывать прошло 2-3 года.
🔻 Чтобы успешно реализовать хотя бы одну продажу, необходимо провести критическую массу пилотов (минимум пять).
🔻 Текущая работа Александра состоит из встреч, звонков и разбора почты. 🤷♂️
В общем, очень интересно и без пафоса. 🔥👍
@avleonovrus #Xello #honeypot
Что известно про уязвимость Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988)? Основная причина, почему её можно выделить в апрельском Microsoft Patch Tuesday - упоминание в блоге ZDI (Zero Day Initiative). ZDI считают, что эта уязвимость эксплуатируется в реальных атаках. При том, что Microsoft в настоящее время так НЕ считают. Такая вот странная ситуация. 🤷♂️
Уязвимость позволяет обходить функцию безопасности Mark of the Web (MotW). Эта функция помогает защищать устройства пользователей от потенциально вредоносных файлов, загруженных из сети, путём их маркирования. Такая маркировка позволяет приложениям открывать файлы в защищённом режиме или выводить предупреждения о потенциальной опасности. Как сообщают ZDI, злоумышленники посылают эксплоиты в zip-файлах, чтобы избежать детектирования системами EDR/NDR, а затем используют эту уязвимость (и подобные ей) для обхода Mark of the Web и запуска вредоносного ПО на целевых системах.
Исследователь угроз ZDI Питер Гирнус написал в микроблогинговой платформе, что патчи Microsoft для CVE-2024-29988 это вторая часть исправления найденной им ошибки обхода SmartScreen, которая эксплуатируется вживую в кампаниях Water Hydra (DarkCasino) и DarkGate. Также Гирнус утверждает, что уязвимость CVE-2024-29988 тесно связана с Security Feature Bypass - Internet Shortcut Files (CVE-2024-21412), которая попала в список трендовых уязвимостей в феврале.
@avleonovrus #SmartScreen #MicrosoftDefender #ZDI #MotW #WaterHydra #DarkCasino #DarkGate #TrendVulns
Уязвимость позволяет обходить функцию безопасности Mark of the Web (MotW). Эта функция помогает защищать устройства пользователей от потенциально вредоносных файлов, загруженных из сети, путём их маркирования. Такая маркировка позволяет приложениям открывать файлы в защищённом режиме или выводить предупреждения о потенциальной опасности. Как сообщают ZDI, злоумышленники посылают эксплоиты в zip-файлах, чтобы избежать детектирования системами EDR/NDR, а затем используют эту уязвимость (и подобные ей) для обхода Mark of the Web и запуска вредоносного ПО на целевых системах.
Исследователь угроз ZDI Питер Гирнус написал в микроблогинговой платформе, что патчи Microsoft для CVE-2024-29988 это вторая часть исправления найденной им ошибки обхода SmartScreen, которая эксплуатируется вживую в кампаниях Water Hydra (DarkCasino) и DarkGate. Также Гирнус утверждает, что уязвимость CVE-2024-29988 тесно связана с Security Feature Bypass - Internet Shortcut Files (CVE-2024-21412), которая попала в список трендовых уязвимостей в феврале.
@avleonovrus #SmartScreen #MicrosoftDefender #ZDI #MotW #WaterHydra #DarkCasino #DarkGate #TrendVulns
Провели эту неделю в Костроме. Красиво, вкусно, по московским меркам дёшево. Много всяких активностей для детей. Если бы ещё берёза не пылила, то совсем было бы хорошо. 😅 Из Москвы ходит комфортная Ласточка.
Занимательный исторический факт из поездки.
Пётр III Фёдорович
Жена Павла I - Мария Фёдоровна
Жена Николая I - Александра Фёдоровна
Жена Александра III - Мария Фёдоровна
Жена Николая II - Александра Фёдоровна
При том, что батюшек их совсем не Фёдорами звали. Почему так? Отчество давали при переходе в православие в честь Феодоровской иконы Божией Матери XII века, которая сейчас хранится в воссозданном Богоявленском соборе Костромского кремля.
@avleonovrus #offtopic #кострома #travel #history
Занимательный исторический факт из поездки.
Пётр III Фёдорович
Жена Павла I - Мария Фёдоровна
Жена Николая I - Александра Фёдоровна
Жена Александра III - Мария Фёдоровна
Жена Николая II - Александра Фёдоровна
При том, что батюшек их совсем не Фёдорами звали. Почему так? Отчество давали при переходе в православие в честь Феодоровской иконы Божией Матери XII века, которая сейчас хранится в воссозданном Богоявленском соборе Костромского кремля.
@avleonovrus #offtopic #кострома #travel #history
Сделал трек для прошлогодней темы - концепту визуальной новеллы про Vulnerability Management. 🙂
"Свеженанятый VM-щик Олег Игнатов взялся за анализ безопасности сетевого периметра и зашёл проконсультироваться к Светлане Надеждиной, руководителю департамента IT.
На всякий случай Disclaimer. Все персонажи, события и конфигурации являются вымышленными, любые совпадения случайны. То, что говорит Светлана, это фантазия на тему типичного периметра типичной организации."
Светлана Надеждина:
С сетевым периметром всё как бы просто, но не совсем...
В основном хостим в нашем датацентре, но и в облаках есть часть систем.
С одних облаков мы съезжаем достаточно срочно.
Другие мы тестим, чтоб в них заехать. Почти выбрали, но это не точно.
Часть проектов поднимали когда-то подрядчики на разных хостингах VPS,
А мы к ним только вязали домены. Что там живо не знаю, там лютый замес.
Часть web-сайтов самописные, часть на CMS-ках делали,
Часть за Anti-DDoS-ом, часть за WAF-ом, часть просто так торчит - мы смелые.
То, что хостится у нас проходит через балансеров цепочку.
Куда в итоге запросы летят в конфигах читай - там свои заморочки.
Чаще в Docker-контейнеры в Kubernetes или на виртуалке,
Могут без контейнера на виртуалке развернуть - им хватит наглости и смекалки.
Корпоративные сервисы наружу торчат, без них никак:
VPN, мессенджер, файлопомойка, почтовый сервак.
Сетевые устройства всякие. Мы всё на wiki описываем, когда время есть.
Но там, конечно, не всё актуально - это нужно учесть.
А ещё у нас 5 филиалов и мелкие компании, купленные за кэш.
Вроде наши, а вроде автономны - наверняка там тоже тот ещё трэш.
А ещё сотрудники-удалёнщики со своих компов - таких где-то треть.
Это тоже сетевой периметр, или нет? Тут ведь как посмотреть.
Ну вот как-то так. Ты, Олег, главное не переживай.
Со временем разберёшься. А пока что, бывай!
@avleonovrus #fun #anime #game #education #VMprocess #EverlastingVM #perimeter #music #поёмCVE
"Свеженанятый VM-щик Олег Игнатов взялся за анализ безопасности сетевого периметра и зашёл проконсультироваться к Светлане Надеждиной, руководителю департамента IT.
На всякий случай Disclaimer. Все персонажи, события и конфигурации являются вымышленными, любые совпадения случайны. То, что говорит Светлана, это фантазия на тему типичного периметра типичной организации."
Светлана Надеждина:
С сетевым периметром всё как бы просто, но не совсем...
В основном хостим в нашем датацентре, но и в облаках есть часть систем.
С одних облаков мы съезжаем достаточно срочно.
Другие мы тестим, чтоб в них заехать. Почти выбрали, но это не точно.
Часть проектов поднимали когда-то подрядчики на разных хостингах VPS,
А мы к ним только вязали домены. Что там живо не знаю, там лютый замес.
Часть web-сайтов самописные, часть на CMS-ках делали,
Часть за Anti-DDoS-ом, часть за WAF-ом, часть просто так торчит - мы смелые.
То, что хостится у нас проходит через балансеров цепочку.
Куда в итоге запросы летят в конфигах читай - там свои заморочки.
Чаще в Docker-контейнеры в Kubernetes или на виртуалке,
Могут без контейнера на виртуалке развернуть - им хватит наглости и смекалки.
Корпоративные сервисы наружу торчат, без них никак:
VPN, мессенджер, файлопомойка, почтовый сервак.
Сетевые устройства всякие. Мы всё на wiki описываем, когда время есть.
Но там, конечно, не всё актуально - это нужно учесть.
А ещё у нас 5 филиалов и мелкие компании, купленные за кэш.
Вроде наши, а вроде автономны - наверняка там тоже тот ещё трэш.
А ещё сотрудники-удалёнщики со своих компов - таких где-то треть.
Это тоже сетевой периметр, или нет? Тут ведь как посмотреть.
Ну вот как-то так. Ты, Олег, главное не переживай.
Со временем разберёшься. А пока что, бывай!
@avleonovrus #fun #anime #game #education #VMprocess #EverlastingVM #perimeter #music #поёмCVE
YouTube
"С сетевым периметром всё как бы просто, но не совсем..." Руководитель IT и новый VM-щик.
С сетевым периметром всё как бы просто, но не совсем...
В основном хостим в нашем датацентре, но и в облаках есть часть систем.
С одних облаков мы съезжаем достаточно срочно.
Другие мы тестим, чтоб в них заехать. Почти выбрали, но это не точно.
Часть проектов…
В основном хостим в нашем датацентре, но и в облаках есть часть систем.
С одних облаков мы съезжаем достаточно срочно.
Другие мы тестим, чтоб в них заехать. Почти выбрали, но это не точно.
Часть проектов…
Посмотрел интервью Дугина Карлсону. Интервью на 20 минут. Основная идея Дугина, в том, что современный западный (нео)либерализм сформировался в результате поступательного движения к всё более экстремальным формам индивидуализма путём поэтапного избавления от всех традиционных форм групповой идентичности: религии, имперского сознания, национального государства, семьи, ориентации, пола. Следующий шаг это переход от "gender optional" к "human optional" через трансгуманизм, роботизацию и сильный ИИ. А Россия представляет этому альтернативу.
И тут бы Карлсону подловить Дугина и спросить: значит ли это, что в России не будет сильного ИИ, роботизации и трансгуманизма (хотя бы в форме продвинутого протезирования)? 🙂 Но нет. 🤷♂️
Имхо, зря Дугин всё к технологиям сводит, т.к. и сильный ИИ, и роботы, и импланты, и прочая дополненная реальность в России, разумеется, будут ничуть не в меньшей степени, чем на Западе. И традиционализм технологическому развитию не мешает.
@avleonovrus #offtopic #Dugin #transhumanism
И тут бы Карлсону подловить Дугина и спросить: значит ли это, что в России не будет сильного ИИ, роботизации и трансгуманизма (хотя бы в форме продвинутого протезирования)? 🙂 Но нет. 🤷♂️
Имхо, зря Дугин всё к технологиям сводит, т.к. и сильный ИИ, и роботы, и импланты, и прочая дополненная реальность в России, разумеется, будут ничуть не в меньшей степени, чем на Западе. И традиционализм технологическому развитию не мешает.
@avleonovrus #offtopic #Dugin #transhumanism
Дугин луддит? Чтобы дополнить предыдущий пост посмотрел часть "Эмпатии Манучи" с Дугиным месячной давности. Там ему вопрос "в России не будет сильного ИИ, роботизации и трансгуманизма?" тоже не задали, но он подробно поясняет почему это плохо:
🔻 (цитирует Хайдеггера) "В технике как таковой заложен фундаментальный подвох: когда человек перестаёт трогать рукой дерево, воду, землю, хлеб, врага, ставит между ними определенный инструмент (самый простой), то он сам утрачивает в этот момент человечность". 👉🌳
🔻 "Техника как таковая есть абсолютное проклятие нашего рода, это чистое метафизическое зло". 🙄
🔻"Техника должна быть под контролем духа, иначе она превращается в зверя, дьявола, нового господина, нового субъекта". 👌
🔻 "Искусственный интеллект это рукотворный дьявол". 👨💻
Философы это вам не технари. 😅 В сухом остатке: будет у нас тоже самое, что и на Западе, но белое, пушистое и "закрепощённое". Нужно только "изгнать из Искусственного Интеллекта западного дьявола". 😉
@avleonovrus #offtopic #Dugin #ai
🔻 (цитирует Хайдеггера) "В технике как таковой заложен фундаментальный подвох: когда человек перестаёт трогать рукой дерево, воду, землю, хлеб, врага, ставит между ними определенный инструмент (самый простой), то он сам утрачивает в этот момент человечность". 👉🌳
🔻 "Техника как таковая есть абсолютное проклятие нашего рода, это чистое метафизическое зло". 🙄
🔻"Техника должна быть под контролем духа, иначе она превращается в зверя, дьявола, нового господина, нового субъекта". 👌
🔻 "Искусственный интеллект это рукотворный дьявол". 👨💻
Философы это вам не технари. 😅 В сухом остатке: будет у нас тоже самое, что и на Западе, но белое, пушистое и "закрепощённое". Нужно только "изгнать из Искусственного Интеллекта западного дьявола". 😉
@avleonovrus #offtopic #Dugin #ai
Курьёзней трендовой январской уязвимости в GitLab, позволяющей восстанавливать пароль от аккаунта на левый email (CVE-2023-7028), только то, что в CISA заметили признаки активной эксплуатации этой уязвимости через 3,5 месяца после её публикации и появления тривиального эксплоита. 🐢 Если верить Shadowserver, то сейчас в России больше всего в мире уязвимых GitLab хостов доступных из Интернет (367). На втором месте США (356), а далее Китай (350).
@avleonovrus #CISA #GitLab #CISAKEV #Shadowserver
@avleonovrus #CISA #GitLab #CISAKEV #Shadowserver
Посмотрел выпуск подкаста КиберДуршлаг с Алексеем Лукацким. У Алексея Викторовича очень необычный взгляд на вопросы Vulnerability Management-а и мастерские формулировки. 👍🙂📝 Отметил для себя 3 темы, которые было бы интересно подробнее разобрать:
🔻 VM и облачные SaaS-провайдеры. Как контролировать, что провайдер имеет адекватный VM-процесс (да и вообще ИБ) у себя, учитывая, что в случае инцидента отвечать будет не провайдер, а клиент-жертва.
🔻 Статьи о гос. измене / шпионаже (УК РФ 275, 276) и репортинг уязвимостей зарубежным вендорам, организациям и базам уязвимостей. Насколько реальна опасность для исследователя, как поступать правильно и безопасно?
🔻VM-вендорам интересно поддерживать не все продукты. Что делать клиентам (навскидку: пушить VM-вендора, пилить свои детекты, выбирать решения с учётом возможностей VM)?
"Патчить абсолютно всё невозможно и безыдейно" меня, конечно, триггернуло. 🙄
@avleonovrus #КиберДуршлаг #PositiveTechnologies #VulnerabilityManagement #VMProcess #Cloud #VulnReporting
🔻 VM и облачные SaaS-провайдеры. Как контролировать, что провайдер имеет адекватный VM-процесс (да и вообще ИБ) у себя, учитывая, что в случае инцидента отвечать будет не провайдер, а клиент-жертва.
🔻 Статьи о гос. измене / шпионаже (УК РФ 275, 276) и репортинг уязвимостей зарубежным вендорам, организациям и базам уязвимостей. Насколько реальна опасность для исследователя, как поступать правильно и безопасно?
🔻VM-вендорам интересно поддерживать не все продукты. Что делать клиентам (навскидку: пушить VM-вендора, пилить свои детекты, выбирать решения с учётом возможностей VM)?
"Патчить абсолютно всё невозможно и безыдейно" меня, конечно, триггернуло. 🙄
@avleonovrus #КиберДуршлаг #PositiveTechnologies #VulnerabilityManagement #VMProcess #Cloud #VulnReporting
Получил сертификат о прохождении бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон». Готичненький такой. 🙂👍 Для получения сертификата нужно было сдать итоговый тест с первой попытки. Тест прикольный, больше всего понравились вопросы про Metasploit, Nmap и Netcat.
@avleonovrus #Echelon #ScannerVS #ScannerVS6 #Metasploit #Nmap #Netcat #Certificate
@avleonovrus #Echelon #ScannerVS #ScannerVS6 #Metasploit #Nmap #Netcat #Certificate
4 RCE в оборудовании HPE Aruba Networking. Все 4 уязвимости касаются переполнения буфера в различных сервисах ArubaOS - это специализированная операционная система для сетевого оборудования (коммутаторы, точки доступа, шлюзы и т.д.). В основном фокус у компании на беспроводных сетях.
Все 4 уязвимости эксплуатируются через запросы к Process Application Programming Interface (PAPI), UDP порт 8211, аутентификация не требуется. У всех СVSS 9.8.
Уязвимые продукты:
🔻 Mobility Conductor (formerly Mobility Master)
🔻 Mobility Controllers
🔻 Aruba Central manages WLAN Gateways and SD-WAN Gateways
Обновления доступны для минорных версий ArubaOS 8 и 10. Также уязвимости подвержены легаси-версии ArubaOS и SD-WAN.
Самое время проверить нет ли в вашей сетке чего-нибудь от HPE Aruba, пока не появились публичные эксплоиты. 😉
@avleonovrus #Aruba #HPE #Vulristics
Все 4 уязвимости эксплуатируются через запросы к Process Application Programming Interface (PAPI), UDP порт 8211, аутентификация не требуется. У всех СVSS 9.8.
Уязвимые продукты:
🔻 Mobility Conductor (formerly Mobility Master)
🔻 Mobility Controllers
🔻 Aruba Central manages WLAN Gateways and SD-WAN Gateways
Обновления доступны для минорных версий ArubaOS 8 и 10. Также уязвимости подвержены легаси-версии ArubaOS и SD-WAN.
Самое время проверить нет ли в вашей сетке чего-нибудь от HPE Aruba, пока не появились публичные эксплоиты. 😉
@avleonovrus #Aruba #HPE #Vulristics