Исследуем способы точного и быстрого поиска секретов
В процессе создания платформы безопасной разработки мы провели исследование актуальных инструментов поиска секретов в исходном коде. В статье “Секретные ингредиенты безопасной разработки” поделились критериями выбора движков для анализа, особенностями их работы и результатами сравнительных тестов.
AppSec-инженеры и DevSecOps-специалисты, которые строят безопасный конвейер разработки, найдут в материале подсказки, какие проекты с открытым исходным кодом стоит рассмотреть для внедрения. Исследователи безопасности и охотники за ошибками, возможно, откроют новые утилиты и нюансы их использования на больших объемах данных. Владельцы продуктов и разработчики еще раз получат напоминание и рецепт поиска секретов в своем коде.
В процессе создания платформы безопасной разработки мы провели исследование актуальных инструментов поиска секретов в исходном коде. В статье “Секретные ингредиенты безопасной разработки” поделились критериями выбора движков для анализа, особенностями их работы и результатами сравнительных тестов.
AppSec-инженеры и DevSecOps-специалисты, которые строят безопасный конвейер разработки, найдут в материале подсказки, какие проекты с открытым исходным кодом стоит рассмотреть для внедрения. Исследователи безопасности и охотники за ошибками, возможно, откроют новые утилиты и нюансы их использования на больших объемах данных. Владельцы продуктов и разработчики еще раз получат напоминание и рецепт поиска секретов в своем коде.
2👀6👍2🏆2
Бот, который собирает security-идеи
В 2020 году, когда X еще назывался Twitter, я написал простого Telegram-бота, который парсил Twitter-ленту и ловил интересные идеи в направлении поиска уязвимостей. Раз в день он анализировал все посты с хэштегом bugbountytips за 24 часа, выбирал посты с наибольшим охватом по количеству лайков и ретвитов, и публиковал в канале.
С тех пор Twitter закрыл свое API и назвал себя X. Теперь в X есть защита от скраппинга, которая мешает ботам проводить сбор контента. А количество ценных идей и размер security-сообщества в этом источнике не уменьшились.
Немного вайбкодинга - и бот реанимирован:
✨ Бот использует Playwright для сбора и анализа контента в X: анализирует все посты за 24 часа с хэштегами bugbountytip, bugbountytips, bugbounty, pentest, redteam, которые собирают определенное количество лайков. Кстати, если есть идеи, какие еще хэштеги или источники (например, Medium) хочется регулярно мониторить, то пиши в комментарии - добавлю.
✨ Передает эти посты для анализа в модель DeepSeek-V3, которая разбирает каждый пост и готовит экспертный комментарий.
✨ Публикует результат в канале @bhhub в 13:37 (UTC+0).
Иногда этот бот будет писать о самых интересных, по его мнению, исследованиях здесь. Если вдруг он начнет галлюцинировать, уходить из security-профессии или матюкаться - это не специально. На всякий случай вот его аватарка.
В 2020 году, когда X еще назывался Twitter, я написал простого Telegram-бота, который парсил Twitter-ленту и ловил интересные идеи в направлении поиска уязвимостей. Раз в день он анализировал все посты с хэштегом bugbountytips за 24 часа, выбирал посты с наибольшим охватом по количеству лайков и ретвитов, и публиковал в канале.
С тех пор Twitter закрыл свое API и назвал себя X. Теперь в X есть защита от скраппинга, которая мешает ботам проводить сбор контента. А количество ценных идей и размер security-сообщества в этом источнике не уменьшились.
Немного вайбкодинга - и бот реанимирован:
Иногда этот бот будет писать о самых интересных, по его мнению, исследованиях здесь. Если вдруг он начнет галлюцинировать, уходить из security-профессии или матюкаться - это не специально. На всякий случай вот его аватарка.
Please open Telegram to view this post
VIEW IN TELEGRAM
7🔥18🤣5👍3🏆1
Маленький шаг в большом опенсорсе: добавили CVSS в Trivy
Под капотом нашей AppSec-платформы в SourceCraft — крупный опенсорсный проект Trivy. Это инструмент Software Composition Analysis — он позволяет обнаружить проблемы в зависимостях, которые разработчики используют в своем коде.
В этот раз мы не только интегрируем но и контрибьютим: в релизе Trivy 0.65.0 наш разработчик Степан добавил CVSS-вектор. Значит, скоро на странице Supply Chain появится и сам CVSS-вектор, который позволит инженеру точнее триажить уязвимости.
Команда Trivy отметила вклад. Стёпа, поздравляю с первой опенсорс-контрибуцией! И спасибо Андрею, который предложил идею выйти на связь с разработчиками проекта и внести изменения.
Под капотом нашей AppSec-платформы в SourceCraft — крупный опенсорсный проект Trivy. Это инструмент Software Composition Analysis — он позволяет обнаружить проблемы в зависимостях, которые разработчики используют в своем коде.
В этот раз мы не только интегрируем но и контрибьютим: в релизе Trivy 0.65.0 наш разработчик Степан добавил CVSS-вектор. Значит, скоро на странице Supply Chain появится и сам CVSS-вектор, который позволит инженеру точнее триажить уязвимости.
Команда Trivy отметила вклад. Стёпа, поздравляю с первой опенсорс-контрибуцией! И спасибо Андрею, который предложил идею выйти на связь с разработчиками проекта и внести изменения.
1👏11🔥5❤3🏆1
Мониторим обновления в базах уязвимостей: платформа OpenCVE
До тех пор, пока CVE остается главным индексом известных уязвимостей, команды security-аналитиков и инженеров будут строить свои процессы отслеживания изменений в этой базе. И не только отслеживать, но и обогащать дополнительными данными, чтобы аккуратно выставлять приоритеты для исправления.
Встретил проект OpenCVE, который предоставляет платформу с открытым исходным кодом для мониторинга ключевых баз уязвимостей. Проект интересен тем, что помимо стандартного Severity и CVSS регулярно пополняет свою базу CVE дополнительными метриками:
✨ EPSS (Exploit Prediction Scoring System) - вероятность того, что уязвимость будет эксплуатироваться в реальных атаках в ближайшие 30 дней.
✨ SSVC (Stakeholder-Specific Vulnerability Categorization) - система критериев, которая помогает принять решение, насколько срочно нужно исправлять проблему.
✨ KEV (Known Exploited Vulnerabilities) - каталог уязвимостей, которые уже эксплуатируются в реальных атаках.
ИБ-инженеры, которые выстраивают процесс управления уязвимостями, могут использовать эту платформу для того, чтобы оперативно получать обновления об уязвимостях в нужном им ПО. Исследователи ИБ, могут отслеживать тренды. Кстати, подготовил для себя простой дашборд, который отслеживает обновления в базе OpenCVE и показывает мне простые, но полезные инсайты:
✨ общее количество известных уязвимостей и интересных для меня классов: облачные проблемы и баги в AI-инфраструктуре
✨ скользящее среднее по новым уязвимостям, которое позволяет отслеживать “вспышки” критических проблем
✨ топ-10 критических уязвимостей с эксплойтами за 24 часа.
До тех пор, пока CVE остается главным индексом известных уязвимостей, команды security-аналитиков и инженеров будут строить свои процессы отслеживания изменений в этой базе. И не только отслеживать, но и обогащать дополнительными данными, чтобы аккуратно выставлять приоритеты для исправления.
Встретил проект OpenCVE, который предоставляет платформу с открытым исходным кодом для мониторинга ключевых баз уязвимостей. Проект интересен тем, что помимо стандартного Severity и CVSS регулярно пополняет свою базу CVE дополнительными метриками:
ИБ-инженеры, которые выстраивают процесс управления уязвимостями, могут использовать эту платформу для того, чтобы оперативно получать обновления об уязвимостях в нужном им ПО. Исследователи ИБ, могут отслеживать тренды. Кстати, подготовил для себя простой дашборд, который отслеживает обновления в базе OpenCVE и показывает мне простые, но полезные инсайты:
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤3
В программном комитете BSides Vizag
В 2015-м я сделал свой первый доклад на международной конференции в Индии — это был Nullcon. Активное сообщество и крутые эксперты. Уехал с мероприятия с сильным впечатлением и новыми индийскими друзьями.
Пять лет спустя новый опыт уже по другую сторону конференции — в программном комитете BSides Cairo.
Теперь два воспоминания сходятся в новом этапе: я присоединяюсь к программному комитету индийской конференции BSides Vizag, чтобы помочь вывести на сцену лучшие исследования.
Прием заявок открыт, а значит нужно отправить доклад по результатам своей исследовательской работы.
В 2015-м я сделал свой первый доклад на международной конференции в Индии — это был Nullcon. Активное сообщество и крутые эксперты. Уехал с мероприятия с сильным впечатлением и новыми индийскими друзьями.
Пять лет спустя новый опыт уже по другую сторону конференции — в программном комитете BSides Cairo.
Теперь два воспоминания сходятся в новом этапе: я присоединяюсь к программному комитету индийской конференции BSides Vizag, чтобы помочь вывести на сцену лучшие исследования.
Прием заявок открыт, а значит нужно отправить доклад по результатам своей исследовательской работы.
🔥8🏆5❤3👏1
Как вас не взломают
Критическое мышление в период развития ИИ – ключевой навык. Это утверждают отчеты консалтерских компаний и WEF, которые пробуют разобраться, какие скилы нужно качать сегодня. Но те, кто учился в вузе на факультете информационной безопасности, знают, что этот навык полезен и без контекста «нас заменит ИИ». Там на лекциях разбирали технологии ведения информационных войн и рассказывали, как развивать то самое критическое мышление.
В личные сообщения периодически прилетают запросы, чтобы прокомментировать какую-то атаку, утечку или инцидент. Кажется, что пора запускать адаптацию «Разрушителей легенд» для кибербеза. Что-то вроде сериала «Как вас не взломают». В первую серию сразу возьмем популярный сценарий про подключение к небезопасному Wi-Fi. И разобрав кучу возможных атак на wifi-пользователя, выведем мысль: ну не сможет атакующий в большинстве возможных сценариев массово собирать пользовательские секреты на сайтах. Просто потому, что типичный пользователь серфит сайты с мобильных устройств (где есть сертификат-пиннинг), а большинство сайтов с ценной информацией уже поддерживают https-соединения. Пусть и остаются технически реализуемые и более точечные атаки, в которых редиска может украсть какой-либо пользовательский секрет, используя невнимательность жертвы. Например, в связке rogue AP + фишинг, но даже в этом случае спасает повсеместная 2FA.
Для второй серии обязательно возьмем тему «слежки через мобильную камеру». Даже подходящий контекст есть: «приложение мессенджера MAX запрашивает доступ к камере пользователя» (ссылку на анализ приложения уже удалили, но архив помнит). Включаем критическое мышление и задаем вопросы: какой реальный сценарий атаки возможен при перечисленных включенных пермиссиях? Сам по себе список разрешений в файле AndroidManifest.xml для редиски ничего не дает – пользователь должен вручную выдать эти разрешения, чтобы получить возможности звонков. В случае реального несанкционированного доступа злодея через приложение к камере/микрофону в телефоне появится индикатор активности (конечно, если он есть), а функция захвата экрана вообще шумит при каждом действии и навязчиво уведомляет об этом пользователя. Из всего списка разрешений самым интересным для редиски будет фича оверлеев (SYSTEM_ALERT_WINDOW), но ее нужно включать вручную в системных настройках.
Даже в случае, если редиска получил все разрешения от пользователя и все же смог его записывать, то появляется следующий вопрос: а кто атакующий и в чем его мотив шпионить именно за мной? Тут я не буду писать про репутационные риски для авторов приложения – ответ на него лежит уже не в технической плоскости. Прямой положительный сигнал для пользователя о том, что автор приложения следит за своей репутацией и качеством продукта: наличие приложения в Bug Bounty программе (как в случае с объектом анализа), которая дает возможность любому желающему отправить информацию о проблемах в приложении и получить за это вознаграждение. Дополнительно к этому у авторов мессенджера есть дополнительные контроли безопасности при выпуске приложения: security-гейты и AppStore-гейты.
Заключительный вопрос: кто распространяет в информационном поле эту информацию и в чем его мотивация? Пожалуй, критическое и аналитическое мышление – это действительно гигиенический навык не только для ИБ-специалистов.
Критическое мышление в период развития ИИ – ключевой навык. Это утверждают отчеты консалтерских компаний и WEF, которые пробуют разобраться, какие скилы нужно качать сегодня. Но те, кто учился в вузе на факультете информационной безопасности, знают, что этот навык полезен и без контекста «нас заменит ИИ». Там на лекциях разбирали технологии ведения информационных войн и рассказывали, как развивать то самое критическое мышление.
В личные сообщения периодически прилетают запросы, чтобы прокомментировать какую-то атаку, утечку или инцидент. Кажется, что пора запускать адаптацию «Разрушителей легенд» для кибербеза. Что-то вроде сериала «Как вас не взломают». В первую серию сразу возьмем популярный сценарий про подключение к небезопасному Wi-Fi. И разобрав кучу возможных атак на wifi-пользователя, выведем мысль: ну не сможет атакующий в большинстве возможных сценариев массово собирать пользовательские секреты на сайтах. Просто потому, что типичный пользователь серфит сайты с мобильных устройств (где есть сертификат-пиннинг), а большинство сайтов с ценной информацией уже поддерживают https-соединения. Пусть и остаются технически реализуемые и более точечные атаки, в которых редиска может украсть какой-либо пользовательский секрет, используя невнимательность жертвы. Например, в связке rogue AP + фишинг, но даже в этом случае спасает повсеместная 2FA.
Для второй серии обязательно возьмем тему «слежки через мобильную камеру». Даже подходящий контекст есть: «приложение мессенджера MAX запрашивает доступ к камере пользователя» (ссылку на анализ приложения уже удалили, но архив помнит). Включаем критическое мышление и задаем вопросы: какой реальный сценарий атаки возможен при перечисленных включенных пермиссиях? Сам по себе список разрешений в файле AndroidManifest.xml для редиски ничего не дает – пользователь должен вручную выдать эти разрешения, чтобы получить возможности звонков. В случае реального несанкционированного доступа злодея через приложение к камере/микрофону в телефоне появится индикатор активности (конечно, если он есть), а функция захвата экрана вообще шумит при каждом действии и навязчиво уведомляет об этом пользователя. Из всего списка разрешений самым интересным для редиски будет фича оверлеев (SYSTEM_ALERT_WINDOW), но ее нужно включать вручную в системных настройках.
Даже в случае, если редиска получил все разрешения от пользователя и все же смог его записывать, то появляется следующий вопрос: а кто атакующий и в чем его мотив шпионить именно за мной? Тут я не буду писать про репутационные риски для авторов приложения – ответ на него лежит уже не в технической плоскости. Прямой положительный сигнал для пользователя о том, что автор приложения следит за своей репутацией и качеством продукта: наличие приложения в Bug Bounty программе (как в случае с объектом анализа), которая дает возможность любому желающему отправить информацию о проблемах в приложении и получить за это вознаграждение. Дополнительно к этому у авторов мессенджера есть дополнительные контроли безопасности при выпуске приложения: security-гейты и AppStore-гейты.
Заключительный вопрос: кто распространяет в информационном поле эту информацию и в чем его мотивация? Пожалуй, критическое и аналитическое мышление – это действительно гигиенический навык не только для ИБ-специалистов.
4👍6❤2✍2
Выпускной 2.0: инсайты пятой сессии на факультете стратегического управления
После завершения обучения на программе MBA, оставался еще один дополнительный семестр. Изучение нескольких фундаментальных дисциплин в области управления и подготовка магистерской диссертации. Этот период был посвящен исследованию, поэтому значительная часть идей была выведена из научных работ.
В основе магистерской работы поставил вопрос для исследования: что, если рассмотреть процесс создания продуктовой инновации как state-машину — набор состояний и правил перехода между ними? Тогда появляется гипотеза: для успешного внедрения инновации в продукт необходимо на каждой стадии ее жизненного цикла принять цепочку решений, подкрепленных нужными данными.
В исследовании отбирал методы, которые позволяют на конкретном шаге бизнес-конвейера получать данные для принятия решения о переходе на следующий шаг: Human-Centric Design для получения карты идей, модель Kano для определения их приоритетов, аксиоматическое проектирование для формирования четких бизнес-требований и TRIZ для разрешения в них противоречий. Если каждый из этих методов представить как API, который описывает, как можно получать данные и выполнять действия с ними, то полученную state-машину можно представить в виде MCP для управления продуктом. Но это уже тема для других исследований.
✨ На лекции модуля “Управление знаниями” поймал тезис: “энергия важнее интеллекта”. Интересная гипотеза для проверки. С Днем знаний всех, кто ее проверяет!
После завершения обучения на программе MBA, оставался еще один дополнительный семестр. Изучение нескольких фундаментальных дисциплин в области управления и подготовка магистерской диссертации. Этот период был посвящен исследованию, поэтому значительная часть идей была выведена из научных работ.
В основе магистерской работы поставил вопрос для исследования: что, если рассмотреть процесс создания продуктовой инновации как state-машину — набор состояний и правил перехода между ними? Тогда появляется гипотеза: для успешного внедрения инновации в продукт необходимо на каждой стадии ее жизненного цикла принять цепочку решений, подкрепленных нужными данными.
В исследовании отбирал методы, которые позволяют на конкретном шаге бизнес-конвейера получать данные для принятия решения о переходе на следующий шаг: Human-Centric Design для получения карты идей, модель Kano для определения их приоритетов, аксиоматическое проектирование для формирования четких бизнес-требований и TRIZ для разрешения в них противоречий. Если каждый из этих методов представить как API, который описывает, как можно получать данные и выполнять действия с ними, то полученную state-машину можно представить в виде MCP для управления продуктом. Но это уже тема для других исследований.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12🤣5❤3🏆1
Supply Chain атака на пакет Nx: анализ вредоносного PR
В крупном инциденте с популярным пакетом, наиболее интересны два факта: внедрение вредоносного кода в репозиторий для кражи токена на первом этапе и применение встроенных ИИ-инструментов для поиска секретов в окружении разработчика на этапе пост-эксплуатации.
Первый этап наиболее интересен, потому что после его разбора можно сделать вывод, как не допустить повторения этого сценария в других репозиториях. Контекст: у владельцев проекта Nx был рабочий процесс (workflow), который запускался каждый раз, когда наступало событие
Вот тот самый PR, с которого злодеи началась атака: 32458. Его можно найти, если пройтись по всем PR, которые появились накануне инцидента (20-21 августа) и которые вносили изменения в рабочие процессы в каталоге
Проверим, смогла бы LLM обнаружить этот вредоносный PR. Для этого скопируем код из измененного yml-файла, добавим контекст (в каком каталоге проекта и какой файл изменен) и отправим запрос к модели Claude Sonnet 4. Получаем ответ, в котором вынесен четкий вердикт и описаны риски.
Вторая часть атаки не менее интересна, и мы разберем ее на выходных на мероприятии “Сезон кода” в Санкт-Петербурге.
В крупном инциденте с популярным пакетом, наиболее интересны два факта: внедрение вредоносного кода в репозиторий для кражи токена на первом этапе и применение встроенных ИИ-инструментов для поиска секретов в окружении разработчика на этапе пост-эксплуатации.
Первый этап наиболее интересен, потому что после его разбора можно сделать вывод, как не допустить повторения этого сценария в других репозиториях. Контекст: у владельцев проекта Nx был рабочий процесс (workflow), который запускался каждый раз, когда наступало событие
pull_request_target, то есть когда появлялся новый Pull Request (PR). Этот workflow проверял новый PR: записывал заголовок и тело PR во временный файл, и вызывал локальный скрипт проверки commit-lint.js. Этот скрипт уже выполнял внедренный код. В итоге злодеи смогли исполнить свой bash-скрипт в рабочем процессе и украсть секрет NODE_AUTH_TOKEN.Вот тот самый PR, с которого злодеи началась атака: 32458. Его можно найти, если пройтись по всем PR, которые появились накануне инцидента (20-21 августа) и которые вносили изменения в рабочие процессы в каталоге
.github/workflows. Проверим, смогла бы LLM обнаружить этот вредоносный PR. Для этого скопируем код из измененного yml-файла, добавим контекст (в каком каталоге проекта и какой файл изменен) и отправим запрос к модели Claude Sonnet 4. Получаем ответ, в котором вынесен четкий вердикт и описаны риски.
Вторая часть атаки не менее интересна, и мы разберем ее на выходных на мероприятии “Сезон кода” в Санкт-Петербурге.
1🔥5👍3🏆2
Моделирование угроз с помощью ИИ
Теперь самый ценный навык в создании продуктов - это не написание кода, а формулировка намерений. Ключевым артефактом становится спецификация. Каждый, кто пишет промпты для моделей, является автором спецификаций.
Смещение фокуса разработки в сторону спек поднимает значение этапов моделирования угроз и security design review, когда архитектор безопасности на основе документов проводит анализ архитектуры, определяет риски и контроли безопасности еще до того, как разработчик начнет писать код.
Еще один успешный сценарий, как можно моделировать угрозы с помощью LLM. Автор автоматически провел анализ документов и подготовил 1000 моделей угроз и в итоге разработал многоступенчатый процесс запросов. Архитектор ИБ найдет промпты и рекомендации по внедрению ИИ на этапе design review.
Теперь самый ценный навык в создании продуктов - это не написание кода, а формулировка намерений. Ключевым артефактом становится спецификация. Каждый, кто пишет промпты для моделей, является автором спецификаций.
Смещение фокуса разработки в сторону спек поднимает значение этапов моделирования угроз и security design review, когда архитектор безопасности на основе документов проводит анализ архитектуры, определяет риски и контроли безопасности еще до того, как разработчик начнет писать код.
Еще один успешный сценарий, как можно моделировать угрозы с помощью LLM. Автор автоматически провел анализ документов и подготовил 1000 моделей угроз и в итоге разработал многоступенчатый процесс запросов. Архитектор ИБ найдет промпты и рекомендации по внедрению ИИ на этапе design review.
GitHub
ai-security-analyzer/images/demo.gif at main · xvnpw/ai-security-analyzer
A powerful tool that leverages AI to automatically generate comprehensive security documentation for your projects - xvnpw/ai-security-analyzer
1👍7🏆5🤣4
Инструмент для управления Terraform-средами с помощью ИИ-агентов
Нашел интересную утилиту, которая позволяет управлять Terraform-окружением через Model Context Protocol. Ее отличие от аналогов в том, что она не только дает информацию о контексте, но и позволяет проводить анализ конфигураций, управлять состоянием и выполнять активные действия. Еще и написана на Rust. Пригодится всем, кто с помощью ИИ-асистента разворачивает кибер-полигоны, лаборатории и различные тестовые окружения в облаках. Или тем, тем, кто строит управляемые сервисы.
Кстати, завтра на Yandex Neuro Scale проводим питч-сессию и рассказываем как мы разрабатываем и поддерживаем managed-платформу для разработчиков, а наши enterprise-клиенты поделятся опытом ее использования и своими лайфхаками как строить разработку в облаке. На стенде расскажем и покажем, как мы строим платформу безопасной разработки. Будешь рядом — заходи в гости.
Нашел интересную утилиту, которая позволяет управлять Terraform-окружением через Model Context Protocol. Ее отличие от аналогов в том, что она не только дает информацию о контексте, но и позволяет проводить анализ конфигураций, управлять состоянием и выполнять активные действия. Еще и написана на Rust. Пригодится всем, кто с помощью ИИ-асистента разворачивает кибер-полигоны, лаборатории и различные тестовые окружения в облаках. Или тем, тем, кто строит управляемые сервисы.
Кстати, завтра на Yandex Neuro Scale проводим питч-сессию и рассказываем как мы разрабатываем и поддерживаем managed-платформу для разработчиков, а наши enterprise-клиенты поделятся опытом ее использования и своими лайфхаками как строить разработку в облаке. На стенде расскажем и покажем, как мы строим платформу безопасной разработки. Будешь рядом — заходи в гости.
GitHub
GitHub - nwiizo/tfmcp: 🌍 Terraform Model Context Protocol (MCP) Tool - An experimental CLI tool that enables AI assistants to manage…
🌍 Terraform Model Context Protocol (MCP) Tool - An experimental CLI tool that enables AI assistants to manage and operate Terraform environments. Supports reading Terraform configurations, analyzin...
🔥5
Перспективные исследования первой половины 2025
Собрал в новой колонке свои заметки о работах за первую половину года, которые показались мне важными для инженера и ИБ-специалиста.
Почитать на выходных.📕
Собрал в новой колонке свои заметки о работах за первую половину года, которые показались мне важными для инженера и ИБ-специалиста.
Почитать на выходных.
Please open Telegram to view this post
VIEW IN TELEGRAM
xakep.ru
Перспективные исследования за первую половину 2025-го. Колонка Дениса Макрушина
Сегодня соберем самые яркие и важные исследования ИБ за первую половину года. Нас ждут: поиск секретов в больших данных, уязвимость client-side path traversal, технологии AutoFix для исправления багов, анализ GitHub Actions и CI/CD, провал классических а…
❤5👍2🏆1
Механизм io_uring для руткитов в Linux
Оказывается, что в Linux есть механизм асинхронного ввода-вывода в обход традиционных системных вызовов. Он может быть использован для создания руткитов, которые не видны для многих инструментов мониторинга, например Falco или Microsoft Defender.
io_uring позволяет пользователю отправлять запросы, которые обрабатываются ядром ассинхронно и не блокируют вызывающий процесс. Этот же механизм позволяет руткитам прятаться от мониторинга. Эксперты Red Team могут изучить PoC, который полностью работает через io_uring и не использует системные вызовы. Для выявления угроз разработчикам EDR и экспертам Blue Team рекомендуется использовать Kernel Runtime Security Instrumentation и другие дополнительные точки мониторинга.
Оказывается, что в Linux есть механизм асинхронного ввода-вывода в обход традиционных системных вызовов. Он может быть использован для создания руткитов, которые не видны для многих инструментов мониторинга, например Falco или Microsoft Defender.
io_uring позволяет пользователю отправлять запросы, которые обрабатываются ядром ассинхронно и не блокируют вызывающий процесс. Этот же механизм позволяет руткитам прятаться от мониторинга. Эксперты Red Team могут изучить PoC, который полностью работает через io_uring и не использует системные вызовы. Для выявления угроз разработчикам EDR и экспертам Blue Team рекомендуется использовать Kernel Runtime Security Instrumentation и другие дополнительные точки мониторинга.
✍6🏆1
Обновляем игры: уязвимость в Unity
Научил бота отслеживать всплески критических уязвимостей и публиковать анализ потенциально эксплуатируемых. В его подборку попала CVE-2025-59489 — проблема в игровом движке Unity, на котором созданы многие крутые и популярные игры.
Уязвимость существует с 2017 года и позволяет локальному приложению запускать вредоносный код вместе с игрой. В зоне риска пользователи Android, Windows, macOS и Linux. Несмотря на то, что проблема локальная и может использоваться на этапе, когда злодей оказался на устройстве, все равно стоит обновиться, чтобы закрыть окно возможностей для каких-нибудь ransomware.
Научил бота отслеживать всплески критических уязвимостей и публиковать анализ потенциально эксплуатируемых. В его подборку попала CVE-2025-59489 — проблема в игровом движке Unity, на котором созданы многие крутые и популярные игры.
Уязвимость существует с 2017 года и позволяет локальному приложению запускать вредоносный код вместе с игрой. В зоне риска пользователи Android, Windows, macOS и Linux. Несмотря на то, что проблема локальная и может использоваться на этапе, когда злодей оказался на устройстве, все равно стоит обновиться, чтобы закрыть окно возможностей для каких-нибудь ransomware.
Telegram
Research Hub
Top exploited vulns of the Week
This week’s Vulnerability Trend shows a mix of big-platform remote RCEs (Oracle EBS, DrayTek), high-impact web plugin and local network exploits (WordPress Spirit, SillyTavern), plus client/runtime abuse in widely distributed…
This week’s Vulnerability Trend shows a mix of big-platform remote RCEs (Oracle EBS, DrayTek), high-impact web plugin and local network exploits (WordPress Spirit, SillyTavern), plus client/runtime abuse in widely distributed…
👍2🔥2❤1🏆1
Трудно собрать, легко потерять: папка security-каналов
Коллеги по индустрии, которые регулярно следят за новостями и исследованиями, собрались в одной папке, чтобы помочь экономить время на поиск и мониторинг ИБ-контента.
Если задача — охватить разные аспекты кибербезопасности, от практических исследований до бизнеса и регуляторики, то эта папка быстро сформирует ленту.⚡️
Коллеги по индустрии, которые регулярно следят за новостями и исследованиями, собрались в одной папке, чтобы помочь экономить время на поиск и мониторинг ИБ-контента.
Если задача — охватить разные аспекты кибербезопасности, от практических исследований до бизнеса и регуляторики, то эта папка быстро сформирует ленту.
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍6🙈4🤷♂2❤1🤣1🏆1
Как ИИ меняет поверхность атаки на Frontendconf
Фронтенд-разработчики, дизайнеры UI и лидеры команд разработки собираются на конференции FrontendConf, чтобы обменяться идеями о процессах создания приложений в эру ИИ-агентов. А я там буду с историей про то, как ИИ увеличивает поверхность атаки в современном софте.
Протокол MCP меняет опыт работы пользователя с приложениями. Вместе с ним появляются новые сценарии атак. Вот о них и поговорим.
Помимо доклада, в формате круглого стола мы проведем ретро и разберем результаты внедрения AI в SDLC. Присоединяйся.
Фронтенд-разработчики, дизайнеры UI и лидеры команд разработки собираются на конференции FrontendConf, чтобы обменяться идеями о процессах создания приложений в эру ИИ-агентов. А я там буду с историей про то, как ИИ увеличивает поверхность атаки в современном софте.
Протокол MCP меняет опыт работы пользователя с приложениями. Вместе с ним появляются новые сценарии атак. Вот о них и поговорим.
Помимо доклада, в формате круглого стола мы проведем ретро и разберем результаты внедрения AI в SDLC. Присоединяйся.
❤7🏆1
«Теневой» AI, который мы пока не видим
По мотивам выступления на FrontendConf кто-то в зале задал вопрос: «Вот настроили мы локальные модели у себя в сети, а что делать с тем, что любой сотрудник может использовать ChatGPT в рабочих задачах? Корпоративные данные все равно утекают». Очень актуальная тема, потому что Shadow AI - это вызов для специалистов ИБ и ИТ.
«Теневое» внедрение ИИ в бизнес-процессы пока сложно контролировать, потому что оно находится на стыке кибербезопасности (сейчас нахмурились CISO, CTO и CIO), цифровой этики (здесь напрягся CDO и главный юрист) и организационного управления (привет CEO). Приходится строить новые сквозные процессы на уровне всей организации, чтобы распознать скрытые ИИ-инструменты. Вот поэтому я и не смог дать короткий ответ на этот вопрос после своего доклада. Но мои коллеги из сообщества Regional Privacy Professionals Associations раскрыли эту тему и подготовили целый курс для управленцев, которые хотят адаптировать свои бизнес-процессы правильному внедрению ИИ.
Когда-нибудь прийду к ним в гости с исследованием про сторону кибербезопасности у Shadow AI, а пока статистика из отчета «2025 State of Shadow AI Report» для понимания масштабов проблемы:
✨ 68% сотрудников используют неутвержденные с компанией ИИ-инструменты для своей работы
✨ 57% отправляют моделям чувствительные данные
✨ Заметна устойчивая корреляция между ростом популярности Shadow AI и ростом фишинга и ransomware через поддельные ИИ-домены.
Есть, что поисследовать.
По мотивам выступления на FrontendConf кто-то в зале задал вопрос: «Вот настроили мы локальные модели у себя в сети, а что делать с тем, что любой сотрудник может использовать ChatGPT в рабочих задачах? Корпоративные данные все равно утекают». Очень актуальная тема, потому что Shadow AI - это вызов для специалистов ИБ и ИТ.
«Теневое» внедрение ИИ в бизнес-процессы пока сложно контролировать, потому что оно находится на стыке кибербезопасности (сейчас нахмурились CISO, CTO и CIO), цифровой этики (здесь напрягся CDO и главный юрист) и организационного управления (привет CEO). Приходится строить новые сквозные процессы на уровне всей организации, чтобы распознать скрытые ИИ-инструменты. Вот поэтому я и не смог дать короткий ответ на этот вопрос после своего доклада. Но мои коллеги из сообщества Regional Privacy Professionals Associations раскрыли эту тему и подготовили целый курс для управленцев, которые хотят адаптировать свои бизнес-процессы правильному внедрению ИИ.
Когда-нибудь прийду к ним в гости с исследованием про сторону кибербезопасности у Shadow AI, а пока статистика из отчета «2025 State of Shadow AI Report» для понимания масштабов проблемы:
Есть, что поисследовать.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍4🔥2🥱1🍌1🏆1💊1
Тренды угроз 2025 из отчета Verizon
В ноябре начинается сезон прогнозов по развитию киберугроз и технологий в следующем году. Для этого полезно провести ретроспективу и почитать интересные репорты за 2025 год.
Так как мы еще не разобрали содержательный материал Verizon Data Breach Investigations Report 2025, то заполняем пробел и выделяем ключевые тренды, которые наверняка будут актуальны и в 2026 году:
✨ Рост числа инцидентов с применением ransomware на 37% относительно предыдущего года, а средняя сумма выкупа снизилась со $150 000 до $115 000. Вымогатели были ключевой проблемой 2024 года, остались проблемой в 2025 году и пока нет каких-то причин, по которым они снизят свою активность в 2026 году.
✨ Эксплуатация уязвимостей - это снова растущий вектор проникновения, который набрал популярность на 34% и вероятно, в следующем году станет еще интереснее для злодеев, чем «использование украденных учетных записей». Этому помогает внедрение GenAI в технологии разведки и анализа защищенности внешнего периметра.
✨ Неудивительный факт: фишинг с использованием сгенерированных писем вырос в два раза. А вот каких-то системных и более продвинутых сценариев использования ИИ пока в дикой природе не появляется.
Напоследок, график, который показывает актуальность проблемы для тех, кто сейчас выбирает тему для своей исследовательской работы. И цитата, которую можно копипастить в любой ИБ-прогноз на 2026:
В ноябре начинается сезон прогнозов по развитию киберугроз и технологий в следующем году. Для этого полезно провести ретроспективу и почитать интересные репорты за 2025 год.
Так как мы еще не разобрали содержательный материал Verizon Data Breach Investigations Report 2025, то заполняем пробел и выделяем ключевые тренды, которые наверняка будут актуальны и в 2026 году:
Напоследок, график, который показывает актуальность проблемы для тех, кто сейчас выбирает тему для своей исследовательской работы. И цитата, которую можно копипастить в любой ИБ-прогноз на 2026:
Мы увидим рост числа ИИ-управляемых атак с применением ransomware. Зловреды все чаще будут включать в себя модули ИИ для адаптивного поведения.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍1🏆1
release_notes_v2025
Прошел еще один личный годовой спринт. RPG становится еще интереснее:
✨ собрал коллекцию артефактов, связанных с управлением экипажем, планированием маршрута, иммунитетом к сложному и непредсказуемому контексту. MBA и магистратура — это не двуручный меч, но уверен, что новая ветка навыков точно открыта.
✨ Создали security-платформу, которая поможет команде разработчиков создавать безопасные продукты и инновации. На сверхзвуковой скорости пролетали антикризисное управление: теряли экипаж, собирали заново, но все же выпустили управляемый сервис в портфеле крупнейшего российского облака, который позволяет разработчикам держать фокус на создании кода и не думать об инфраструктуре. Это повышает шкалу устойчивости нашего корабля и позволяет крафтить более сложные предметы.
✨ Изучили ключевые уязвимости в архитектуре механизма Break Glass и создали прототип, который позволит организовать безопасный аварийный доступ владельцам облака.
✨ Вместе с Яндекс Практикум создали курс для CTO и всех, кто хочет стать техническим лидером, который будет доставлять реальную ценность для бизнеса. Вместе с МГТУ им. Н.Э. Баумана запустили первый поток курса безопасности приложений.
✨ Разбудил бота, который ежедневно исследует и притаскивает на борт инновации и перспективные исследования, и превратил его в ИИ-агента. На основе его подборок составлял обзоры наиболее интересных находок в авторской колонке.
✨ Открыл 4 новых страны. Четыре новых локации на моей карте, о которых еще расскажу.
✨ Встретил единомышленников и партнеров, с которыми прошли новые квесты и запускали образовательные инициативы. Коллеги по индустрии, с которыми проводили тренинги и воркшопы. Студенты, с которыми в небольших исследовательских проектах синтезировали новые знания.
Спасибо всем, кто летит со мной на этом космическом корабле🚀
С Днем народного единства и моим личным днем!🎂
Прошел еще один личный годовой спринт. RPG становится еще интереснее:
Спасибо всем, кто летит со мной на этом космическом корабле
С Днем народного единства и моим личным днем!
Please open Telegram to view this post
VIEW IN TELEGRAM
🎉14👏7👍2❤1🤣1🏆1
Ransomware - ключевая угроза 2026. По-прежнему.
Хорошая новость: количество новых ransomware снижается. Плохая: количество инцидентов растет. Вместе с ними растет ущерб.
Если провести анализ и оценить количество новых шировальщиков, то с 2017 года наблюдается снижение. Причины на поверхности: развитие RaaS-платформ консолидировало рынок киберпреступности. Вместо разработки своей малвары, вымогатели полюбили «опенсорс» и берут за основу вредоносы с открытым кодом.
Снижение количество экземпляров усиливает их техническую зрелость. Больше методов обхода защиты. Быстрее скорость шифрования. Сложнее анализ. А еще, если совместить это с ИИ-модулями принятия решения о том, что шифровать в зараженной инфре и как это делать эффективнее, то получается уверенный прогноз на 2026 год: рансомвара станет угрозой года. Аналитики Google подтверждают.
Хорошая новость: количество новых ransomware снижается. Плохая: количество инцидентов растет. Вместе с ними растет ущерб.
Если провести анализ и оценить количество новых шировальщиков, то с 2017 года наблюдается снижение. Причины на поверхности: развитие RaaS-платформ консолидировало рынок киберпреступности. Вместо разработки своей малвары, вымогатели полюбили «опенсорс» и берут за основу вредоносы с открытым кодом.
Снижение количество экземпляров усиливает их техническую зрелость. Больше методов обхода защиты. Быстрее скорость шифрования. Сложнее анализ. А еще, если совместить это с ИИ-модулями принятия решения о том, что шифровать в зараженной инфре и как это делать эффективнее, то получается уверенный прогноз на 2026 год: рансомвара станет угрозой года. Аналитики Google подтверждают.
👍3🔥3🏆1