Взлом собаки

Роботы-пылесосы и слитые с них фотографии мы с вами уже однажды обсудили, а теперь очередь дошла до более инновационных сожителей в наших квартирах. Да, роботизированная замена лучших друзей человеков – не самая популярная и распространенная игрушка в нашем регионе, но я думаю, что это вопрос времени.

Одни исследователи безопасности тут выяснили, что через робопсов (Unitree Go1) уже начали следить за их владельцами. При чем в этот раз не через взлом хранилища распознанных фотографий, а через подключение напрямую к камерам собаки в режиме реального времени. И доступ к камерам, насколько я понимаю, далеко не предел возможностей.

Причем это не симулированный взлом на тренировочном полигоне – атаке подверглись порядка 2 000 робопсов по всему миру. Производитель пока не выпускал на эту тему пресс-релизов, поэтому даже не ясно, чинят ли они эту дыру.

В общем, когда надумаете покупать себе искусственную собаку или дворецкого-киборга, знайте о том, что все их органы познания внешнего мира могут принадлежать не только вам, но и кому-угодно в сети. Собственно, это справедливо и для всех остальных устройств с камерами и микрофонами в вашем доме. Вот так и живем.

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

🔄 🚩 💻Список площадок для оттачивания навыков этичного хакинга, подойдет для тренировок CTF.

😉 Hack The Box

Windows, *nix машины для самостоятельного пентеста. Во free тарифе всегда доступно 20 машин. Обучение, академия, лабы и т.д. Есть огромное количество CTF заданий в различных категориях.
Возможность сдать экзамены и получить сертификаты CBBH (Certified Bug Bounty Hunter), CPTS (Certified Penetration Testing Specialist), CWEE (Certified Web Exploitation Expert) и CDSA (Certified Defensive Security Analyst) 🙃

😉 TryHackMe

Аналог HackTheBox без CTF заданий. Академия в наличии, также присутствует free тариф 😁

😉 PortSwigger

Академия веб пентеста от создателей BurpSuite. Для сдачи экзамена необходима активная подписка на Burp Suite Professional, цена экзамена 99$ 😈

😉 CTFtime

Информацию почти обо всех прошедших и предстоящих CTF соревнованиях можно найти здесь

😉 HackerLab

Русскоязычная площадка 😎. Большое (300+) количество CTF задач в самых различных категориях (web, crypto, rev, pwn, osint и т.д.), в наличии Windows и Linux машины. Есть бесплатный тариф

😉 CryptoHack

Один из лучших ресурсов с задачами по криптографии. Нравится криптография ? Вам сюда, от азов до сложнейших задач

😉 Standoff365

Киберполигон от компании 😎 Positive Technologies. Это виртуальная инфраструктура с реалистичными копиями IT-систем из разных отраслей. Достаточно высокий порог вхождения. Ежегодно проводятся турниры, куда вы можете отобраться со своей командой

😉 TaipanByte CTF

Русскоязычная площадка от ребят из команды TaipanByte, большое кол-во тасков (80+) во всех основных категориях

😉 pwn.college

Образовательная платформа, позволяющая изучать и практиковать основные концепции кибербезопасности. Рассчитана на новичков

😉 Kontra

Appsec тренировки, LLM, owasp top10, owasp api top10, aws top10 и т.д.

😉 Linux Journey

Путешествие в мир Linux, основные команды, лабы, руководства

😉 OverTheWire Bandit

Игра из 34 уровней для изучения Linux

😉 Crackmes

Большое количество (~4000) крякми для изучения. Подойдет реверсерам

😉 Pwnable

Для любителей бинарной эксплуатации (PWN)

😉 Cyber-Ed

Русскоязычная площадка. One task of the month - выкладывают по 1ой CTF задаче в месяц, в этом году планируют 10 заданий в категориях: web, pwn, crypto, reverse, misc и т.д.

😉 Root Me

Огромное (500+) кол-во заданий в самых разных категориях

😉 picoCTF

Площадка с CTF заданиями начального уровня, почти на все задания можно найти райтапы

😉 Exploit Education

ВМ Phoenix для изучения уязвимостей, разработки эксплойтов, отладки программного обеспечения и общих проблем кибербезопасности
Темы - Network programming, Stack overflows, Format string vulnerabilities, Heap overflows

😉 0xf.at

Парольные загадки (ребусы), например, пароль это сумма чисел от 1 до 446, соответственно надо написать простенькую автоматизацию и ввести в поле ввода

😉 Hacker Test

Простенький хакер квест состоящий из 20 уровней

⚠️ P.S. Если вы знаете подобные площадки, лично проверяли и они заслуживают внимания, пишите пожалуйста в бота обратной связи - @wh_feedback_bot

#htb #crackmes #bandit #hacking #ctf #ethical

✈️ Whitehat Lab

🔗 ServerMess, или почему serverless — это тихий ужас AppSec-а

ПРЕДУПРЕЖДЕНИЕ

ТЕМА УРОВНЯ /b/

Всем снова привет! Давно я не выносил вам мозг про уязвимости, но, сами понимаете, молчать больше нельзя. Сегодня поговорим о ServerMess — как serverless-архитектуры тихо и незаметно ломают безопасность.


🤯 Что за "ServerMess" вообще такой?

Это такой скрытый хаос, который случается, когда разработчики на радостях пилят десятки Lambda-функций, Azure Functions и Cloud Functions и связывают их через event-driven подход. Сначала выглядит всё красиво: события летят, функции реагируют, разработчики довольны. Но потом наступает утро, и ты понимаешь, что у тебя под капотом полная жесть, а не архитектура. События запускают друг друга, вызывая функции, о которых уже никто не помнит, и весь этот цепной балаган уже никак не контролируется обычными инструментами безопасности.


❌ Что реально сломано (примеры которые я смог найти)

Если интересно, то сделаю про OpenSource решения (Knative, OpenFaaS, Fission)

1️⃣ AWS Lambda + EventBridge

Есть приложение, публикующее события вроде “OrderPlaced” через AWS EventBridge. Лямбды подписываются и радостно реагируют на это событие. Проблема в том, что EventBridge легко может стать открытым для публикации всем подряд. И вот уже злоумышленник с минимальными правами отправляет туда фейковое событие:

{
  "Source": "orders.service",
  "DetailType": "OrderPlaced",
  "Detail": "{ \"orderId\": \"an.mtv\", \"userEmail\": \"attacker@test.local\" }"
}

И понеслось, кто-то шлёт письма не тому, кто-то обновляет статистику фальшивыми заказами, а кто-то (если повезло хакеру) ещё и читает данные из базы.

2️⃣ Azure Functions через Event Grid

В Azure разработчики любят триггеры через Event Grid. Проблема: часто это просто HTTP-вебхуки, которые случайно забывают закрыть ключами или хотя бы SAS-токенами. Злоумышленник спокойно отправляет фейковый запрос на публичную функцию, и вот уже кто-то получает нежелательные письма, а кто-то регистрирует тысячи новых пользователей. В общем, опасность тут настоящая.


❓ Почему классические средства защиты (DAST, SAST, WAF) в пролёте

Инструменты привыкли видеть HTTP-трафик и понятные цепочки данных. А бессерверные приложения разбиты на микрокуски, связанные событиями через облачные очереди и сервисы, куда традиционные сканеры просто не дотягиваются.

WAF вообще бесполезен, если атака идёт через внутренний канал событий типа SQS или Pub/Sub.

🔍 Как искать такой скрытый трэш

- Включайте Distributed Tracing типа AWS X-Ray или Azure Application Insights, чтобы увидеть, кто и как вызывает ваши функции.
- Используйте инфраструктурные сканеры (Prowler, Checkov, ScoutSuite), чтобы находить открытые топики и очереди.
- Фаззинг событий: берёте свой скриптик и отправляете мутные payload’ы прямо в очереди, смотрите на реакцию ваших функций.

🌐 Как защищаться и спать спокойно

- Каждой функции своя минимальная IAM-роль, никакой общей помойки с * правами.
- Не доверяйте данным из событий по дефолту: строгая валидация схемы и событий.
- Закрывайте триггеры аутентификацией и проверкой источника (хотя бы через HMAC или VPC Service Controls в GCP).
- Настройте мониторинг аномалий в событиях. Если количество вызовов резко возросло — это повод проснуться ночью и проверить, не хакнули ли вас уже.


🌐 Заключение

Serverless — это круто, пока не начинается бардак. Если вы строите свою инфраструктуру на Lambda, Azure или GCP Cloud Functions, то пора посмотреть на неё трезвыми глазами. Иначе в один прекрасный день она сама посмотрит на вас глазами удивлённого безопасника, которого только что взломали через тихий и незаметный Event Injection.


Для ознакомления

Безопасность serverless-приложений – ТЫК (Youtube)
Всё, что вы хотели знать о бессерверных технологиях, но боялись спросить – ТЫК
The Ten Most Critical Risks for Serverless Applications v1.0 – ТЫК
Lock-down OpenFaaS for the public Internet – ТЫК

#appsec

🔄 🖥 URLFinder v0.0.3

Высокоскоростной инструмент для пассивного сбора и эффективного обнаружения URL-адресов. От создателей nuclei, написан на 💻

UPD. Добавили scope контроль:

SCOPE:
   -us, -url-scope string[]       in scope url regex to be followed by urlfinder
   -uos, -url-out-scope string[]  out of scope url regex to be excluded by urlfinder
   -fs, -field-scope string       pre-defined scope field (dn,rdn,fqdn) or custom regex (e.g., '(company-staging.io|company.com)') (default "rdn")
   -ns, -no-scope                 disables host based default scope
   -do, -display-out-scope        display external endpoint from scoped crawling

Установка:

go install -v github.com/projectdiscovery/urlfinder/cmd/urlfinder@latest

Запуск:

urlfinder -d tesla.com

# Match и filter
urlfinder -d tesla.com -m support -f faq

urlfinder -d tesla.com -m include-patterns.txt -f exclude-patterns.txt

# JSON export
urlfinder -d tesla.com -j

🖥 Home

#urlfinder #soft #golang #web #pentest

✈️ Whitehat Lab