Slack Watchman — поиск чувствительной информации в вашем рабочем пространстве Slack с помощью API: расшаренные скрытые каналы, секреты, ключи, банковские карты, сертификаты и пр.

https://github.com/PaperMtn/slack-watchman

Вышел релиз Pi-hole v5.0!

Это такой продвинутый DNS-сервер для домашнего использования (ну у кого-то и не только для домашнего), который изначально задумывался, как блокировщик рекламы, но сейчас это настоящий швейцарский нож.

В 5 версии:

• Добавили возможность создания правил блокировки для конкретного клиента или групп клиентов. Наконец я смогу накидывать запрещающие правила для разных групп устройств, и умный дом не будет мешать работе остальных.
• Прикрутили глубокую инспекцию CNAME, позволяющую выполнять блокировку, если в CNAME цепочке присутствует известный заблокированный домен.
• Внедрили поддержку Regex/wildcard в белых списках.
• Оптимизировали использования памяти.

У меня Pi-hole стоит дома на Raspberry Pi, но вы можете хоть в докере на ноуте развернуть и туда перенаправить весь DNS трафик, короче 5 версия отличный повод познакомиться с Pi-hole :)

Полный список изменений: https://pi-hole.net/2020/05/10/pi-hole-v5-0-is-here

Достаточно интересное исследование от голландского инженера Бьёрна Райтенберга (Björn Ruytenberg), раскрывшего новые векторы атак на протокол Intel Thunderbolt 3.

Thunderspy, так исследователь назвал свои новые вектора атак, позволяющие злоумышленнику осуществить кражу данных с зашифрованных дисков или выполнить чтение и запись всей системной памяти, даже если компьютер заблокирован или находится в спящем режиме.

Да, для осуществления атаки необходим физический доступ до устройства, набор инструментов и около 5 минут времени, но когда речь идет о данных, представляющих реальную ценность, этот метод кажется вполне реализуемым.

Уязвимы ПК под управлением Windows, Linux и частично MacOS.
Единственный способ защиты "наверняка" — отключение всех портов Thunderbolt.

Подробнее об Thunderspy > https://thunderspy.io/

Тут подписчик подсказывает, что похоже релиз Pi-hole 5.0 был не только запланированным, но и вынужденным :)

В Pi-hole 4.4 и ниже буквально на днях были найдены уязвимости, позволяющие выполнить RCE с последующим повышением привилегий.

Эксплоиты уже в публичном доступе, поэтому тем, кто уже пользуется Pi-hole надо обязательно обновляться (я уже).

https://frichetten.com/blog/cve-2020-11108-pihole-rce/
https://www.exploit-db.com/exploits/48442
https://www.exploit-db.com/exploits/48443

История о том, как чувак поднял 10 000$ просто автоматизируя процесс поиска различной чувствительной информации в репозиториях GitHub. История, конечно любопытная, благо сейчас GitHub всерьез взялся за этот момент и надеюсь в ближайшем будущем подобного рода проблемы исчезнут.

https://tillsongalloway.com/finding-sensitive-information-on-github/index.html

Национальное агентство Великобритании по признанию и сравнению международных квалификаций и навыков UK NARIC признало сертификацию CISSP эквивалентной уровню RQF Level 7, что по европейской системе сопоставимо с уровнем квалификации магистра.

Из-за этой новости сейчас у многих пылает пятая точка. Мнения разделились, кто-то пишет, что 4 года усердной учебы никак не могут быть эквивалентны 3-часовому экзамену, а кто-то наоборот заверяет, что сдать CISSP было куда сложнее, чем получить степень магистра в его учебном заведении. Но большинство, конечно склоняются к тому, что это абсурд.

Признание UK NARIC уже вступило в силу и распространяется на территории Великобритании и Европы на всех, кто уже CISSP.

Можно ли теперь считать всех, кто успешно сдал CISSP обладателями степени магистра в Европе? Коротко — конечно же нет, но это дает определенные привилегии при зачислении на доп. курсы в университетах, поиске работы и продвижения о карьерной лестнице.

Короче CISSP стал еще более попсовым сертификатом ever.

Источник > https://www.isc2.org/News-and-Events/Press-Room/Posts/2020/05/12/ISC2-CISSP-Certification-Now-Comparable-to-Masters-Degree-Standard
Мнение > https://securityboulevard.com/2020/05/cissp-is-at-most-equivalent-to-a-2-year-associates-degree/
Мнение 2 > https://www.reddit.com/r/cissp/comments/gjih03/about_the_cissp_given_master_status_articlepost/

Кому, как не крупнейшему CDN провайдеру и разработчику решения против DDoS-атак делать аналитический отчет по трендам в DDoS?

Если коротко, то первый квартал особо без изменений, в большинстве своем L2-L3/4, дешевизна все еще делает DDoS актуальным, есть незначительные изменения по сравнению с пошлым годом:

- Атаки стали длиться дольше
- Количество атак выше 10 Гбит/с сократилось
- Количество атак ниже 10 Гбит/с возросло
- Зафиксировано 34 типа атаки L2-L3/4

В конце не обошлось без рекламы решения от DDoS. Как же без этого? :)

https://blog.cloudflare.com/network-layer-ddos-attack-trends-for-q1-2020/

Скорость реагирования имеет существенное значение в современной среде угроз, поэтому рынок не долго думая придумал очередной класс решений под названием SOAR. Прежде всего SOAR это логическое дополнение для решений SIEM, позволяющие автоматизировать реагирование на инциденты. Такой усложненный вариант If This Then That. Тренд рынок уловил и наполнился решениями под разные размеры кошелька.

Для тех, кто не хочет иметь ничего общего с энтерпрайзом, можно попробовать выйти из положения собственными силами или поддержать другой проект с открытым исходным кодом. Вот например ребята делают Shaffle SOAR, пока сыровато, но уже есть возможность создания разных workflow, интеграция с TheHive, Cortex и OpenAPI.

https://medium.com/security-operation-capybara/introducing-shuffle-an-open-source-soar-platform-part-1-58a529de7d12

Я не любитель писать о таких событиях, но 10 000 подписчиков на канале это серьезный юбилей. Только представьте 10 000 человек разных возрастов и специальностей, объединенных тематикой информационной безопасности.

В связи с этим хочу выразить огромную благодарность каждому из вас за доверие.

Это новая отправная точка для меня, дальше — больше.

​​Помните материал про Гитхабификацию ИБ, где автор рассказывал об унификации процесса обмена и реагирования на угрозы ИБ, с привязкой к MITRE ATT&CK? Сегодня я хочу вам рассказать об одном проекте под названием Atomic Threat Coverage.

Ребята подружили Atomic Red Team, предназначенный для проведения автоматизированных тестов, имитирующих действия RedTeam, с проектом Sigma и их правилами обнаружения угроз, обвязали все это вокруг MITRE ATT&CK, прикрутив туда аналитику и визуализацию.

Т.е по факту вы получаете собственную структурированную базу знаний, с возможностью загрузки/выгрузки как публичной, так и собственной аналитики, и все это с наложением на самый популярный рабочий фреймворк от MITRE.

Недавно они запустили новый проект RE&CT, который, как уже понятно из названия, покрывает противоположную сторону MITRE ATT&CK — превентивную, и описывает техники реагирования на инциденты.

Короче, ребята прям жестко упарываются по incident response, популяризации MITRE и global threat intelligence, выступают на конференциях, устраивают спринты по написани Sigma-правил и пр. Поэтому если вы давно планировали начать мапить узрозы на MITRE ATT&CK, погружаться во все это можно смело начиная с Atomic Threat Coverage. Но предупреждаю сразу, запасайтесь временем, ресечить придется много.

Кстати, может кому-то будет греть душу, что половина команды русскоговорящие :)

Atomic Threat Coverage > https://github.com/atc-project/atomic-threat-coverage
RE&CT > https://atc-project.github.io/atc-react/index_RU/
Tg > @atomic_threat_coverage

Ubiquiti ТОП за свои деньги?

0day в механизме аутентификации "Sign in with Apple" на 100 000$.

https://bhavukjain.com/blog/2020/05/30/zeroday-signin-with-apple/

pwncat — netcat на стероидах с возможностью обхода фаерволов/IDS/IPS, сканированием портов, гибкими возможностями для бэкконнектов и другими фишками.

https://github.com/cytopia/pwncat#computer-usage

https://hakin9.org/pwncat-netcat-on-steroids-with-firewall-ids-ips-evasion-bind-and-reverse-shell-self-injecting-shell-and-port-forwarding-magic-and-its-fully-scriptable-with-python-pse/

​​Когда хочется управлять уязвимостями, nmap становится мало, а нормальные решения по управлению уязвимостями "выходят в копеечку" на помощь как всегда приходит opensource.

Подборка бесплатных решений для Vulnerability Management'а:

• DefectDojo
• Archery
• SecureCodeBox
• Faraday
• VulnReport

А чтобы вам было проще выбрать, вот их сравнение

Да, это рекламный материал для канала @sec_devops, рассказывающего про AppSec, безопасность Kubernetes, облаков (AWS, GCP, Azure) и SDLC, включая SAST, DAST, Vault и другие инструменты, которые можно встроить в CI/CD.

Помните я недавно рассказывал об Atomic Threat Coverage?

На днях вышло интервью с основателем этого проекта, Даниилом Югославским. Даня рассказал про свой профессиональный рост в качестве специалиста, сферу обнаружения и реагирования на угрозы, и свои defensive-проекты. Для досугового просмотра рекомендую.

https://www.youtube.com/watch?v=3nMhmbZnmdg

PowerShell всегда был отличным инструментом для получения информации о системе, а с недавних пор стал мощнейшим инструментом для пост-эксплуатации и даже был включен в дистрибутив Kali.

На сайте Offensive Security вышел материал про получение PSSession из под WIndows и Linux, а также возможность получения reverse shell.

https://www.offensive-security.com/offsec/kali-linux-powershell-pentesting/

Google опубликовала в открытый доступ сетевой сканнер Tsunami с собственной системой плагинов. Проект целится на корпоративный сегмент с крупными распределенными сетями, а главной целью по словам разработчиков является точность сканирования.

На данном этапе Tsunami находится на стадии pre-alpha, с небольшой функциональностью, но мы же все помним, что при похожем подходе случилось с Kubernetes?

Сканнер> https://github.com/google/tsunami-security-scanner
Первые плагины> https://github.com/google/tsunami-security-scanner-plugins/tree/master/google

Рассуждения на тему того, что несмотря на особенности компиляции, количество потребляемых ресурсов и итоговый размер семпла, Python в последнее время стал одним из самых распространенных языков, на котором пишут малварь, а количество готовых инструментов и модулей под Python делает порог вхождения только проще.

В материале также приведены несколько примеров вредоносного ПО на Python, а также самые банальные техники детекта, для которых вы можете использовать те же YARA-правила.

https://www.cyborgsecurity.com/python-malware-on-the-rise/

Передавайте привет 17-ти летнему багу в Windows DNS.
SIGRed CVE-2020-1350, CVSS: 10,0

https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/

https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/

Курс Microsoft, нацеленный на кибербезопасность, выглядит очень взвешенно: постепенное поглощение сильных ИБ-игроков (CyberX, Hexadite и др.), доработка собственной продуктовой экосистемы, все это очень амбициозно. Взять хотя бы их платформу Microsoft Defender ATP (Advanced Threat Protection), которая помимо Windows уже работает под Linux, macOS и Android.

К сожалению в России Defender ATP не очень популярен, там не менее многие компании используют его в составе того же Office 365, поэтому вот вам хорошо структурированный материал по работе с ним:

https://techcommunity.microsoft.com/t5/microsoft-defender-atp/become-a-microsoft-defender-atp-ninja/ba-p/1515647