Makrushin
3.69K subscribers
240 photos
33 videos
359 links
Денис Макрушин. Здесь, чтобы спасти мир.

Про кибербезопасность, технологии и людей.

По вопросам сотрудничества: @makrushin_bot

Канал в Max: https://max.ru/join/ujHOeKoo_3u03g8bHBzJdGx39G2ETpQkTZk98MOg8fA

makrushin.com
Download Telegram
Вторая открытая лекция в рамках курса безопасности приложений НИЯУ МИФИ: “Безопасность алгоритмов машинного обучения”

Иван Капунин, исследователь команды Advanced Security Research крупного R&D центра (днем - студент факультета ВМК МГУ, ночью - игрок CTF), познакомит слушателей с историей и основными понятиями Adversarial Machine Learning. Иван рассмотрит виды атак и особенности их применения в разных сферах, а также разберет несколько практических примеров, чтобы в итоге сделать выводы о методах и средствах защиты.

Место: трансляция в телеграм-канале @makrushind
Время: 18:00, 2 декабря.

Запрыгивай на лекцию и присоединяйся к обсуждению!
👍6🔥4
Live stream scheduled for
Интересный факт: SQL-инъекция без возможности исполнения произвольного кода в последней версии прошивки Mi Router 3 приводит к подарку от Xiaomi.

И, разумеется, к зарегистрированному номеру в базе MITRE: CVE-2018-19526.
👍6🔥2
Нашел критическую уязвимость, сообщил о ней разработчику, получил отказ в исправлении. Что дальше?
🤔5🔥1
Live stream started
Live stream finished (1 hour)
Интересный ответ на вопрос «Что дальше?» дала языковая модель ChatGPT, которую Омар Ганиев привел в комментарии к записи в Linkedin.

Короткий ответ: если разработчик не исправляет проблему, то информацию нужно публиковать, придерживаясь политики ответственного разглашения.

Важный нюанс: модель также отметила, что над исправлением важно работать вместе с «соответствующими органами власти, чтобы обеспечить принятие всех необходимых мер предосторожности для защиты людей и организаций от уязвимости».
👍5
Доклад о том, как злодеи пополняют ботнеты и эксплуатируют уязвимые IoT-устройства на периметре корпоративных сетей. Выступление в Сеуле на мероприятии “International Symposium on Cybercrime Response”.

Задача мероприятия: обсудить новые методы, которые используют киберпреступники. Задача выступления: напомнить об актуальности старых методов.
👍4👀1
Вот эта штука точно поинтереснее домашнего роутера. Оборудование для биохимического анализа - дорогой девайс, подключенный к сети.

Если помнишь атаки, в которых атакующий закреплялся в корпоративной сети с помощью подключенного принтера, то представляешь, какие бы возможности он для себя открыл в медицинской инфраструктуре.

С этой фотки началось исследование медицинских организаций и устройств.
🔥2🤔1🤯1
Media is too big
VIEW IN TELEGRAM
Иван Капунин познакомил студентов МИФИ и подписчиков нашего канала с темой безопасности алгоритмов машинного обучения.

Ключевые мысли, которые Иван озвучил в своей лекции:

* Любые модели машинного обучения, начиная с простых линейных классификаторов и заканчивая Visual Transformers, подвержены атакам.
* Подбор архитектуры и гиперпараметров модели не будет давать полноценной защиты от adversarial examples.
* Чтобы модель была действительно устойчива к возмущениям, придется пожетвовать или временем обучения, или ресурсами для дополнительной проверки входных данных.
* В действительности мы практически всегда будем иметь дело с ограниченным знанием об устройстве целевой модели, что существенно усложняет эксплуатацию.

Ресурсы, которые были упомянуты в лекции:
* Краткое знакомство / Survey по AML
* Пошаговый туториал с объяснениями, как работают атаки
* Почему атаки работают
* Потенциальные методы защиты (1 и 2)
🔥3👏1
Чтобы привлечь внимание производителей и регуляторов к проблемам кибербезопасности в сфере здравоохранения, было недостаточно отправить отчет с уязвимостями вендору.

Инструкция для исследователя:
1. Обнаружить уязвимость.
2. Подготовить отчет и отправить производителю.
3. Дождаться исправления и проверить патч.
4. Отправить отчет в CERT (в зависимости от масштабов обнаруженной проблемы).
5. Дождаться ответа CERT и опубликовать отчет.
6. Рассказать о публикации: подготовить доклад для отраслевых мероприятий, в котором описать объект исследования, методы исследования, полученные результаты и рекомендации для исправления проблем.
7. Организовать турне с докладом и отчетом: выбрать профильные и индустриальные мероприятия.
8. Подать заявки для доклада (абстракт).
9. Выступить, опубликовать материалы доклада.
10. Повторить.
👍31
Если кто-то скажет тебе, что исследователь безопасности ничего не создает в этом мире, бери мысль на вооружение:

мы двигаем мир в безопасное место, чтобы ты мог создавать.
❤‍🔥5🤔1🤡1🤣1
На прошлой неделе состоялась крупная конференция Black Hat Europe. Как обычно: много контента, много актуальных тем, много идей. Выделил несколько докладов:

1. Confidence in Chaos: Strategies for World-Class Security Operations

* Mitre представила набор документов, понятных для C-level руководителей и описывающих стратегические цели, задачи и структуру Security Operation Center. Документы буду полезны всем, кто строит свой SOC или кто выбирает SOC для своих задач.
* Notional SOC structure - ключевой слайд, на котором изображен жизненный цикл и ключевые элементы SOC.

2. Dirty Vanity: A New Approach to Code Injection & EDR Bypass

* Представлена техника обхода EDR, которая основана на использовании Windows Fork API:
1) атакующий создает целевой процесс;
2) атакующий форкает (клонирует) этот процесс и создает его дочерний процесс с шеллкодом;
3) EDR не видит шеллкод в дочернем процессе
* Для защиты нужно детектить использотвание Fork API и, в частности, детектить примитивы "fork", "fork & execute"

3. Real-World Detection Evasion Techniques in the Cloud

* Автор провел обзор вредоносов для облачной инфраструктуры и техник их сокрытия. Практически вся малвара из обзора преследует цели майнинга крипты.
* Новых и ранее неизвестных техник в докладе не анонсировано: DNS over HTTPs, удаление содержимого темповых директорий, timestomping (подделка временных атрибутов своих компонентов в файловой системе для запутывания процессов форензики).
👍5👏1
И если Дед Мороз спросит, как ты вел себя в этом году, отвечай: «Этично и ответственно». Затем покажи ему свои «благодарности» и сертификаты от вендоров.

На этот случай я приберег для Деда сертификат от Интерпол за проведение тренинга по расследованию инцидентов в корпоративных сетях.
🔥13👍7🫡7🏆21
Декабрь 2021 года. Мероприятие YaTalks. Вместе с технологическими лидерами компаний Яндекс, VK и Ozon мы рассуждаем о ключевых элементах «анти-хрупкости» для построения устойчивой IT-инфраструктуры.

Декабрь 2022 года. Тема мероприятия YaTalks: «Люди превыше всего». Вот он - ключевой элемент.
👍3👏1
Шаг 1: вставить JS-код на этапе регистрации в OpenEMR - системе управления медицинскими картами с открытым исходным кодом.
Шаг 2: открыть страницу с внедренным кодом в режиме киоска.
Шаг 3: собрать аккаунты пользователей медицинской системы.
Шаг 4: повысить привилегии в системе в случае получения учетки с правами админа.

Шаг 5: отправить информацию владельцам репозитория, зарегистрировать уязвимость CVE-2019-6449.
🔥5👀1
CVE-2019-6449: почти 500 экземпляров уязвимой версии OpenEMR доступны онлайн. Некоторые из них наверняка являются ханипотами, но даже в таком случае, в открытом доступе находятся гигабайты медицинских данных.
Media is too big
VIEW IN TELEGRAM
YaTalks 2021: секция "Технологии: Backend".

Антихрупкость - ключевая тема обсуждения. Лидеры компаний, меняющих мир - участники дискуссии. Информационная безопасность - фундамент, на котором строится стратегия устойчивых процессов в IT.
🔥2👀1
Интересно обнаружить сервис мониторинга Docker, который доступен без авторизации любому пользователю местного wi-fi. Кажется, что панель управления контейнерами где-то в этой же сети. В этом же поезде.
👍3👀1
Просто напоминание: знай свой предел, а затем игнорируй его.
С Новым Годом!
🎉17🔥61👍1
«В будущем эти уязвимости могут использоваться для изменения и стирания воспоминаний или для причинения физического вреда» - ключевая мысль статьи, опубликованной в ZDNet.

По мотивам нашего совместного исследования с Группой Нейрохирургии Оксфордского Университета.
👍3🤯1