#CVE

Если вы или ваша компания пользуетесь Google Chrome под Windows, Mac или Linux, то вам в срочном порядке следует обновиться до актуальной версии, которая включает целых 5 исправлений безопасности.

Одним из фиксов является исравление zero-day уязвимости CVE-2020-15999, существующей в функции FreeType «LoadSBitPng», которая обрабатывает встроенные в шрифты изображения PNG.

Злоумышленники могут использовать этот баг для выполнения произвольного кода, просто используя специально созданные шрифты со встроенными изображениями PNG.

Подробности: https://proglib.io/w/78c38d2a

​#devsecops

Ранее мы определились, что непрерывная безопасность среди прочего включает такую область, как безопасность на основе тестирования (TDS).

Первыми шагами к безопасности программных продуктов являются определение, реализация и тестирование управления безопасностью.

Необходимого уровня безопасно­сти можно добиться последовательной реализацией основных мер безопасности и их тестированием на точность, поэтому случаи ручного тестирования должны быть исключением. Тестировать безопасность следует так же, как и все приложения в CI- и СО-конвейерах: автоматически и повсеместно.

Что из себя представляет TDS?

Подход TDS похож на метод разработки через тестирование (TDD), при котором разработчики сначала пишут тесты, представляющие желаемое поведение, а затем код, реализу­ющий сами тесты. TDS предлагает сначала писать тесты безопасности, представля­ющие ожидаемое состояние, а затем реализовывать меры безопасности, которым предстоит проходить эти тесты.

Данный подход предоставляет следующие преимущества:
✔️Необходимость создание тестов -> глубокое понимание и документирование ожидаемого результата со стороны инженеров по безопасности.
✔️Меры безопасности представляют собой не абстрактные требования, а конкретные операции.
✔️Недостатки в безопасности обнаруживаются до развертывания кода в боевой среде.

Подход TDS кратко и понятно представлен на прикрепленной схеме, из которой видно, что TDS внедряется в CI/CD для выполнения тестов безопасности перед развертыванием в боевой среде.

#redteam #pentest

Ребята из отдела безопасности Positive Technologies (PT Security Weakness Advanced Research and Modeling — PT SWARM) делятся информацией из первых рук, полученной на практике. В приведенных репортах вы увидите яркий пример того, как настоящие безопасники могут из одной подконтрольной точки получить контроль над всей сетью:

- Attacking MS Exchange Web Interfaces
- IDA Pro Tips to Add to Your Bag of Tricks
- Grafana 6.4.3 Arbitrary File Read
- Kerberoasting without SPNs
- Vulnerabilities in the Openfire Admin Console

#devops #devsecops

2 статьи, которые помогут погрузиться в тему DevOps:

- Как и зачем становиться DevOps-инженером?
- Повседневные задачи в DevOps: мнения инженеров

Первый материал более общий и посвящён основам DevOps и методам освоения данной профессии. Во второй статье корреспондент Proglib выяснил у инженеров DevOps, с какими задачами они сталкиваются ежедневно и какими инструментами пользуются.

Кстати, одним из опрашиваемых является Андрей Сидоров, который в настоящее время занимает должность DevSecOps Architech в компании ARRIVAL.

​#devsecops

Второй концептуальной сферой непрерывной безопасности является мониторинг и реагирование на атаки.

Вы знаете, что все без исключения системы, имеющие выход в интернет, в конечном счете будут взломаны или как минимум атакованы. Поэтому оптимальный подход к мониторингу и реагированию на атаки должен состоять из трех компонентов:

✔️журналирования и выявления нарушений,
✔️обнаружения вторжений,
✔️реагирования на инциденты.

Остановимся на первом компоненте. С точки зрения безопасности журналирование и выявление нарушений преследует две цели:
- обнаружение аномалий в безопасности;
- предоставление возможностей для проведения экспертизы при расследовании
инцидентов.

За счет чего это реализуется?

За счет концепции конвейера журналирования, предназначенной для создания единого канала обработки и концентрации событий журналов из различных источников, в котором можно обнаруживать аномалии.

Конвейер журналирования включает следующие уровни:
✔️уровень сбора для фиксирования событий журналов из различных компонентов инфраструктуры;
✔️уровень потоковой передачи для захвата и перенаправления событий журналов;
✔️уровень анализа, с помощью которого можно изучить содержимое журналов,
обнаружить вторжения и своевременно на них отреагировать;
✔️уровень хранения;
✔️уровень доступа, позволяющий предоставлять специалистам по эксплуатации (DevOps-специалистам) и разработчикам доступ к журналам.

Компоненты конвейера журналирования представлены на прикрепленной схеме. Остальные компоненты мониторинга и реагирования на атаки рассмотрим далее.

Вебинар для Python-разработчиков с опытом.

Покажем на примере рабочих историй, как выбирать архитектуру для продукта:

🔺Расскажем про реальные задачи и ошибки из рабочей практики.
🔺Разберём архитектуры различных систем.
🔺Поговорим про развитие от стартапа до корпорации.
🔺Проведём анализ архитектуры больших продуктов в IT.
🔺Расскажем, как выбрать оптимальную архитектуру для своего продукта.

• 12 ноября в 19:00 (МСК)
• 60 минут практики + 20 минут ответов на вопросы
• Бесперебойная онлайн-трансляция

#book #pentest #bugbounty

Black Hat Go
Go Programming for Hackers and Pentesters (2020)

Авторы: Tom Steele, Chris Patten, Dan Kottmann

Как и бестселлер Black Hat Python, Black Hat Go исследует темную сторону популярного языка программирования Go.

Книга предоставляет арсенал практических приемов с точки зрения специалистов по безопасности и хакеров. С помощью материалов книги вы можете протестировать ваши системы на безопасность или улучшить свой набор навыков наступательной безопасности, используя всю мощь языка Go.

Вы узнаете, как: создавать инструменты, которые взаимодействуют с удаленными API; очищать произвольные данные HTML; использовать стандартные пакеты и библиотеки для создания HTTP-серверов; написать DNS- и прокси-сервер; использовать DNS-туннелирование для установления канала с C2 из сети; создавать фаззеры уязвимостей, чтобы обнаружить слабые места в безопасности приложения и многое другое.

«Библиотека программиста» приглашает разбирающихся в ИТ авторов присоединиться к проекту. Мы предлагаем удаленную работу, интересные темы и 💰гонорары с выплатой 📅2 раза в месяц.

Прошедшие отбор соискателям сразу даем тему статьи и гонорар, если текст будет качественным. Оплата составляет 500 рублей за 1000 знаков (объем — до 10 тысяч знаков). Если материал больше/сложнее — 10 000 рублей (оговаривается заранее).

Напишите несколько слов о себе на адрес job@proglib.io. Ссылки на публикации будут плюсом.

#tip #burpsuite

При работе с Burp Suite иногда удобно просматривать журналы запросов и ответов, но не те, которые отображаются в Proxy -> HTTP history, а те, которые выполняет Repeater, Intruder, Scanner и т. д.

В решении этой проблемы может помочь расширение Logger++, которое предназначено для многопоточного ведения журнала для Burp Suite. Помимо регистрации запросов и ответов от всех инструментов Burp Suite, оно позволяет определять расширенные фильтры для выделения интересных записей и гибко фильтровать журналы.

https://proglib.io/w/02f3742e

​#devsecops #tools

Объемная статья со всеми практиками DevSecOps и необходимыми инструментами с открытым исходным кодом. Автор описывает более 50 инструментов, распределенных по 16 практикам, включая моделирование угроз, SAST (Статический анализ приложений на уязвимости), DAST (Динамический анализ приложений на уязвимости), SCA (Проверка open-source компонент), защиту Docker и Kubernetes, фреймворки BDD (Behaviour Driven Development), проверку IaC и даже Security Chaos Engineering.

https://proglib.io/w/26441b2a

​#devsecops

Мы с вами ознакомились с тем, что такое безопасность на основе тестирования и начали погружаться в мониторинг и реагирование на атаки, в частности разобрались с журналированием и выявлением нарушений. Давайте продолжим и разберемся с обнаружением вторжений и реагированием на инциденты.

Этап обнаружения вторжений является одним из самых важных, т. к. именно в ходе проникновения включается данный этап и потенциальный злоумышленник больше всего взаимодействует с инфраструктурой жертвы. То есть мы говорим именно о мониторинге и анализе сетевого трафика / событий системы, которые, как правило, реализуются посредством следующих инструментов:
- системы обнаружения вторжений (intrusion detection system, IDS) для выявления нелегитимной активности со стороны злоумышленника;
- контроля за соединениями с помощью NetFlow — формата, который используется маршрутизаторами и сетевыми устройствами для журналирования сетевых соединений (это эффективный способ контролировать активность сетевого уровня в среде IaaS, когда невозможно предоставить низкоуровневый доступ);
- контроля систем для отслеживания того, что происходит в инфраструктуре.

О реагировании на инциденты мы говорим в случае, когда проникновение уже произошло. «Спасибо, Кэп!» — скажете вы. Но это пожалуй самый сложный процесс и к нему обычно не готовятся. Для начала просто перечислим фазы реагирования на инциденты безопасности, а далее разберемся с ними подробнее:
✔️Подготовка — необходимо убедиться, что у вас имеется допустимый минимум процессов для реагирования на инциденты.
✔️Идентификация — определиться, является ли аномалия инцидентом нарушения безопасности.
✔️Изоляция — предотвратить дальнейшее проникновение.
✔️Искоренение — избавить организацию от угрозы.
✔️Восстановление — вернуть инфраструктуру в нормальное состояние.
✔️Извлечение уроков — повторно рассмотреть инцидент и сделать выводы.

​#devops

Дорожные карты помогают ИТ- и ИБ-специалистам задать вектор развития, особенно если их поддерживает сообщество.

Ранее мы рассматривали 2 статьи, которые помогут погрузиться в тему DevOps, а сегодня рассмотрим дорожную карту DevOps-инженера. В статье также перечислены некоторые советы, которые помогут разложить все по полкам.

https://proglib.io/sh/8YNkxq59yt

#devops

Компания Экспресс 42, совместно с конференциями Олега Бунина (Онтико), провели первое исследование состояния DevOps в России.

В течение августа 2020 они опросили 889 специалистов и руководителей из разных регионов, отраслей и компаний. В результате получили срез по текущему состоянию инженерных практик и инструментов, проверили гипотезы, как DevOps влияет на производительность и показатели компаний, сравнили результаты с предыдущими исследованиями, выявили тренды развития.

Одной из основных сложностей стало отсутствие данных за прошлый год, поэтому в своем исследовании они опирались на методологию и данные компании DevOps Research and Assessment (DORA) в отчетах Accelerate State of DevOps 2018/2019.

Кратко с результатами исследования можно ознакомиться в статье: https://proglib.io/w/e3414f86

​#pentest #bugbounty #mobile

Разбираемся с тестированием безопасности Android-приложения на основе OWASP Mobile TOP 10: https://proglib.io/w/55c27964

#devsecops

Обширная статья об организации фаззинга исходного кода, которая затрагивает следующие темы:

1. Фаззинг
- Введение
- Эффективно ли тестирование?
- Что такое фаззинг?
- Фаззинг всё ещё популярен?
- Статический анализ
- Непрерывный фаззинг в непрерывной разработке

2. Этапы интеграции фаззинга в проект
- Выбор инструментов для организации фаззинга
- Определение Attack surface
- Анализ целей для фаззинга
- Подбор входных данных
- Написание фаззера
- Сборка и её особенности на разных платформах

3. Фаззинг в облаке
- Фаззинг-ферма от Google
- Почему решение от Google подходит не всем?
- Что получаем в итоге?

https://proglib.io/w/2f6e0460

#career

Небольшой путеводитель по специальностям в сфере кибербезопасности.

https://proglib.io/w/24ad0c90

#pentest #redteam

Hack The Box — одна из самых крутых онлайн-платформ для тестирования и повышения ваших навыков в области тестирования на проникновение и кибербезопасности.

Прохождение многих виртуальных машин можно посмотреть на YouTube или на Хабре у пользователя RalfHacker.

#pentest

Mind map для пентеста веб-приложений

​#devsecops

Как мы выяснили, непрерывная безопасность охватывает следующие категории:
- Безопасность на основе тестирования,
- Мониторинг и реагирование на атаки (ч. 1 и ч. 2),
- Оценка рисков и усиление безопасности.

Последняя категория в большей степени относится к человеческому фактору, однако при правильном подходе автоматизировать можно любой процесс, поэтому верный подход к управлению рисками должен преследовать следующие цели:
- оценка рисков должна проводиться в пределах небольших итераций, а также максимально часто и быстро;
- приоритет должен быть отдан задачам, которые ориентированы на DevOps;
- оценка рисков должна производиться в рамках команд по безопасности и эксплуатации.

Что касается усиления безопасности или регулярного тестирования безопасности, то оно представляет собой процесс, который внедряется в жизненный цикл продукта, чтобы оказать нагрузку на меры безопасности и смоделировать поведение атакующего.

Традиционно тестирование безопасности включает три области:
- оценку безопасности приложений и инфраструктуры изнутри посредством сканирования уязвимостей, фаззинга, статического анализа кода или контроля конфигурации;
- использование услуг сторонних фирм для проверки безопасности основных сервисов;
- запуск Bug Bounty программ.

#CVE #poc

CVE-2020-27955

Очередная 🚀 от небезызвестного исследователя Dawid Golunski. На этот раз Git <= 2.29.2 подвержен критической уязвимости через расширение git-lfs, которое позволяет удаленным
злоумышленникам выполнять произвольный код в системе Windows после
операции клонирования.

Git LFS (Large File Storage) — расширение Git с открытым исходным кодом для управления версиями больших файлов. Оно заменяет большие файлы (аудио, видео, наборы данных и графику) текстовыми указателями внутри Git, сохраняя при этом содержимое файла на удаленном сервере, например GitHub.com или GitHub Enterprise.

Описание: https://proglib.io/w/e3af1696

Акцент на имени исследователя вначале был сделан не случайно. Так, Dawid Golunski ранее находил уязвимости высокой степени критичности в MySQL, WordPress, Wget, SquirrelMail, Zend Framework и т.д. Список также можно увидеть на его сайте.