Media is too big
VIEW IN TELEGRAM
Dev Sec Oops: как инструменты безопасности в гибкой разработке увеличивают поверхность атаки
В рамках всё более ускоряющегося процесса разработки не обойтись без автоматизации максимального количества контролей безопасности. Но что, если сами сервисы и средства безопасности окажутся уязвимыми и могут быть использованы для атаки?
В этом докладе, опубликованном на OWASP Moscow, мы переосмыслили типичные сценарии целенаправленных атак и рассмотрели security-инженеров и их повседневные инструменты в качестве опорной точки для атакующего. В ходе исследования выявлены недостатки конфигурации и баги в популярных security-инструментах (в том числе в инструментах с открытым исходным кодом), которые могут использоваться злоумышленником для компрометации жизненного цикла разработки программного обеспечения и краже интеллектуальной собственности.
В новом контексте тривиальные уязвимости приобретают новую ценность.
В рамках всё более ускоряющегося процесса разработки не обойтись без автоматизации максимального количества контролей безопасности. Но что, если сами сервисы и средства безопасности окажутся уязвимыми и могут быть использованы для атаки?
В этом докладе, опубликованном на OWASP Moscow, мы переосмыслили типичные сценарии целенаправленных атак и рассмотрели security-инженеров и их повседневные инструменты в качестве опорной точки для атакующего. В ходе исследования выявлены недостатки конфигурации и баги в популярных security-инструментах (в том числе в инструментах с открытым исходным кодом), которые могут использоваться злоумышленником для компрометации жизненного цикла разработки программного обеспечения и краже интеллектуальной собственности.
В новом контексте тривиальные уязвимости приобретают новую ценность.
👍12
1337 оттенков главной сцены ZeroNights: выступление-открытие.
Примени навыки OSINT: угадай год и место по фотографии.
Примени навыки OSINT: угадай год и место по фотографии.
🔥8👍3🥰2
Media is too big
VIEW IN TELEGRAM
Исследование "Dev Sec Oops" добралось до большого чаптера OWASP Israel.
А вот тут опубликованы слайды доклада.
А вот тут опубликованы слайды доклада.
👍2
Напоминание для тех, кто охотится за уязвимостями: не ограничивайся обнаруженным скоупом. Продолжай искать новые ресурсы, которые прямо или косвенно связаны с целью.
В качестве примера возьмем бизнес-процесс, который построен с использованием технологии блокчейн. В дополнение к стандартным веб-приложениям, которые включены в скоуп, можно добавить новые цели для поиска проблем:
1. блокчейн инфраструктура: все, что помогает этой технологии в работе (потребуется анализ защищенности нод и хранилищ);
2. смарт-контракт (для аудита пригодится список уязвимостей смарт-контрактов);
3. аппаратный кошелек и мобильные приложения (тут поможет OWASP Mobile Top 10).
В качестве примера возьмем бизнес-процесс, который построен с использованием технологии блокчейн. В дополнение к стандартным веб-приложениям, которые включены в скоуп, можно добавить новые цели для поиска проблем:
1. блокчейн инфраструктура: все, что помогает этой технологии в работе (потребуется анализ защищенности нод и хранилищ);
2. смарт-контракт (для аудита пригодится список уязвимостей смарт-контрактов);
3. аппаратный кошелек и мобильные приложения (тут поможет OWASP Mobile Top 10).
GitHub
List of Security Vulnerabilities
Smart contracts which are formally verified. Contribute to runtimeverification/verified-smart-contracts development by creating an account on GitHub.
❤1👍1🔥1
Снова собрались с друзьями в Яндексе. На этот раз, чтобы обсудить организацию географически распределенных команд.
Когда все стали чаще видеть друг друга в мониторе, чем в оффлайне, то нужно что-то изменять в навыках менеджера и профессиональных привычках каждого участника команды. Об этом и поговорили.
Мероприятие было внутреннее для Я-сотрудников. Но все же я вынес с собой полезные мысли от крутых управленцев в IT. Соберу, упакую и опубликую.
А ты пока посчитай, сколько раз в день разговариваешь с монитором. Проведи ретроспективу: какой навык в коммуникации ты прокачал или изменил с момента начала пандемии?
Когда все стали чаще видеть друг друга в мониторе, чем в оффлайне, то нужно что-то изменять в навыках менеджера и профессиональных привычках каждого участника команды. Об этом и поговорили.
Мероприятие было внутреннее для Я-сотрудников. Но все же я вынес с собой полезные мысли от крутых управленцев в IT. Соберу, упакую и опубликую.
А ты пока посчитай, сколько раз в день разговариваешь с монитором. Проведи ретроспективу: какой навык в коммуникации ты прокачал или изменил с момента начала пандемии?
👍10🔥2👾1
Инструменты безопасности для разработчика смарт-контрактов.
Если упомянули анализ защищенности блокчейн-технологий, то перечислим утилиты, которые разработчик должен включить в SDLC:
* Smartcheck
* Octopus
* Mythril
Они помогут найти очевидные уязвимости еще до того, как смарт-контракт окажется в распоряжении пентестера или злоумышленника. Потому что пентестеры используют эти же инструменты.
Если упомянули анализ защищенности блокчейн-технологий, то перечислим утилиты, которые разработчик должен включить в SDLC:
* Smartcheck
* Octopus
* Mythril
Они помогут найти очевидные уязвимости еще до того, как смарт-контракт окажется в распоряжении пентестера или злоумышленника. Потому что пентестеры используют эти же инструменты.
👍4🔥1
Операционная система для создания облачной инфраструктуры OpenStack принесла новые возможности для развития технологий центров обработки данных, частных облаков и облачных приложений. Она позволяет контролировать огромные пулы вычислительных ресурсов и хранилищ данных. И она позволяет делать это злоумышленнику, если неправильно настроена.
Обратная сторона OpenStack на карте: 1700 панелей управления доступны онлайн и более половины из них (54%) содержат уязвимости в сторонних компонентах (список CVE на скриншоте справа).
Обратная сторона OpenStack на карте: 1700 панелей управления доступны онлайн и более половины из них (54%) содержат уязвимости в сторонних компонентах (список CVE на скриншоте справа).
👍4
Мир, автоматизированный_Труд, Май!
Для фанатов автоматизации, которые оставили свои алгоритмы трудиться, а сами отправились в оффлайн, подготовил подборку исследований в области безопасности машинного обучения:
* на прошедшей в апреле конференции RSA Conference 2023 в секции “Innovation Sandbox” победил стартап HiddenLayer, который занимается разработкой решения Machine Learning Detection and Response (MLDR). В разделе “Research“ на сайте этой компании можно найти много интересных исследований в направлении безопасности AI/ML.
* Начать изучение темы безопасности ML, можно с видео-записи лекции, которую мы вместе с Иваном Капуниным провели для студентов факультета информационной безопасности НИЯУ МИФИ. И со статьи «Безопасность алгоритмов машинного обучения. Атаки с использованием Python».
* “Adversarial Attack and Defense: A Survey” - статья, в которой описывается актуальное состояние атак на системы машинного обучения и техники защиты. Пригодится для понимания ландшафта угроз.
Для фанатов автоматизации, которые оставили свои алгоритмы трудиться, а сами отправились в оффлайн, подготовил подборку исследований в области безопасности машинного обучения:
* на прошедшей в апреле конференции RSA Conference 2023 в секции “Innovation Sandbox” победил стартап HiddenLayer, который занимается разработкой решения Machine Learning Detection and Response (MLDR). В разделе “Research“ на сайте этой компании можно найти много интересных исследований в направлении безопасности AI/ML.
* Начать изучение темы безопасности ML, можно с видео-записи лекции, которую мы вместе с Иваном Капуниным провели для студентов факультета информационной безопасности НИЯУ МИФИ. И со статьи «Безопасность алгоритмов машинного обучения. Атаки с использованием Python».
* “Adversarial Attack and Defense: A Survey” - статья, в которой описывается актуальное состояние атак на системы машинного обучения и техники защиты. Пригодится для понимания ландшафта угроз.
👍8🔥1
Когда твой телефон поймает сеть пятого поколения, то вспомни, что за значком «5G» стоит экспертиза этой команды инженеров-исследователей, которая разработала технологии безопасности и повышения производительности для базовой сети 5G Cloud Core.
Вот несколько историй, которые мы прошли в процессе исследований:
* Как мы изучали возможности компилятора Rust для создания быстрых и безопасных сетевых функций
* Как мы контрибьютили новые фичи в проект OpenStack
* Как мы выбирали систему аутентификации и авторизации для микросервисной архитектуры
* Как мы разработали систему симуляции атак (breach and attack simulation) для облачной инфраструктуры и получили корпоративную награду “Innovation of the Year 2021” (ага, тут ссылки нет, потому что результаты этого исследования мы не публиковали).
Вот несколько историй, которые мы прошли в процессе исследований:
* Как мы изучали возможности компилятора Rust для создания быстрых и безопасных сетевых функций
* Как мы контрибьютили новые фичи в проект OpenStack
* Как мы выбирали систему аутентификации и авторизации для микросервисной архитектуры
* Как мы разработали систему симуляции атак (breach and attack simulation) для облачной инфраструктуры и получили корпоративную награду “Innovation of the Year 2021” (ага, тут ссылки нет, потому что результаты этого исследования мы не публиковали).
🔥10👍1
Обзор подходов к реализации аутентификации и авторизации в микросервисных системах
Контейнеризация, CI/CD, оркестрация, микросервисы и agile-процессы – это облако тегов, которое теперь находится в словаре security-инженеров. Микросервисная модель и сопутствующие технологии привели к многообразию подходов в реализации архитектуры безопасности современных решений, и единого подхода к ее построению пока еще не видно. Зато есть технологические лидеры в области микросервисной разработки, есть известные недостатки конфигурации и уязвимости в реализации разных архитектурных подходов, и есть огромное количество «лучших практик» для построения надежной архитектуры.
В этом исследовании мы разбираем типовые архитектурные подходы к реализации аутентификации и авторизации в микросервисных системах, их преимущества и недостатки. И делаем это для того, чтобы у архитекторов безопасности была возможность сфокусироваться на реализации требуемой модели, а не на многочасовых поисках нужной информации.
Материалы:
1. “Authentication and Authorization in Microservice-Based Systems: Survey of Architecture Patterns” - статья, опубликованная в научном издании «Вопросы Кибербезопасности» (включен в Российский Индекс Научного Цитирования);
2. “Microservices based Security Arch Doc Cheat Sheet” - шпаргалка для архитектора, которая включена в коллекцию OWASP Cheat Sheets Series;
3. “Справочник security-архитектора: обзор подходов к реализации аутентификации и авторизации в микросервисных системах” - перевод и адаптация материала на Хабре;
4. “Architect of threat landscape: How to secure your microservice-based system” - выступление Александра Барабанова на OWASP Israel по мотивам исследования.
Контейнеризация, CI/CD, оркестрация, микросервисы и agile-процессы – это облако тегов, которое теперь находится в словаре security-инженеров. Микросервисная модель и сопутствующие технологии привели к многообразию подходов в реализации архитектуры безопасности современных решений, и единого подхода к ее построению пока еще не видно. Зато есть технологические лидеры в области микросервисной разработки, есть известные недостатки конфигурации и уязвимости в реализации разных архитектурных подходов, и есть огромное количество «лучших практик» для построения надежной архитектуры.
В этом исследовании мы разбираем типовые архитектурные подходы к реализации аутентификации и авторизации в микросервисных системах, их преимущества и недостатки. И делаем это для того, чтобы у архитекторов безопасности была возможность сфокусироваться на реализации требуемой модели, а не на многочасовых поисках нужной информации.
Материалы:
1. “Authentication and Authorization in Microservice-Based Systems: Survey of Architecture Patterns” - статья, опубликованная в научном издании «Вопросы Кибербезопасности» (включен в Российский Индекс Научного Цитирования);
2. “Microservices based Security Arch Doc Cheat Sheet” - шпаргалка для архитектора, которая включена в коллекцию OWASP Cheat Sheets Series;
3. “Справочник security-архитектора: обзор подходов к реализации аутентификации и авторизации в микросервисных системах” - перевод и адаптация материала на Хабре;
4. “Architect of threat landscape: How to secure your microservice-based system” - выступление Александра Барабанова на OWASP Israel по мотивам исследования.
ResearchGate
(PDF) Authentication and Authorization in Microservice-Based Systems: Survey of Architecture Patterns
PDF | Objective. Service-oriented architecture and its microservice-based approach increase an attack surface of applications. Exposed microservices... | Find, read and cite all the research you need on ResearchGate
🔥9
Все, кто сегодня бежит московский полумарафон, ловите поддержку 🫶
Спойлер для тех, кто бежит свой первый забег: будет жарко! 🔥
Спойлер для тех, кто бежит свой первый забег: будет жарко! 🔥
👍14🔥11
Поздравляю CTF-команду dtl с первым местом в квалификационном этапе соревнования VolgaCTF 2023!
«Волга» регулярно собирает сотни команд со всего мира, а финал в Самаре собирает еще и исследователей с крутыми докладами.
Команда представляет кафедру «Криптология и кибербезопасность» НИЯУ МИФИ. Желаем мифистам успеха в финале!
«Волга» регулярно собирает сотни команд со всего мира, а финал в Самаре собирает еще и исследователей с крутыми докладами.
Команда представляет кафедру «Криптология и кибербезопасность» НИЯУ МИФИ. Желаем мифистам успеха в финале!
🔥12
Отладчик eBPF-программ
В процессе работы с подсистемой eBPF, когда программа вырастает от небольшого срипта до полноценного приложения, разработчик начинает тратить половину своего времени на отладку.
Александр Калинин из команды Advanced Security Research (Huawei) встретился с этой проблемой, не нашел подходящего отладчика, разработал сам и опубликовал.
Инструмент пригодится всем, кто разрабатывает приложения для обеспечения security и observability на основе eBPF.
В процессе работы с подсистемой eBPF, когда программа вырастает от небольшого срипта до полноценного приложения, разработчик начинает тратить половину своего времени на отладку.
Александр Калинин из команды Advanced Security Research (Huawei) встретился с этой проблемой, не нашел подходящего отладчика, разработал сам и опубликовал.
Инструмент пригодится всем, кто разрабатывает приложения для обеспечения security и observability на основе eBPF.
GitHub
GitHub - ph1048/ebpfdbg: eBPF verifier log viewer
eBPF verifier log viewer. Contribute to ph1048/ebpfdbg development by creating an account on GitHub.
🔥9🤝3❤2🎉1
Пять лет разницы на одном фото: первая презентация, проведенная в кампусе Самарского Аэрокосмического Университета на VolgaCTF - мероприятии "для студентов, от студентов", организованном группой энтузиастов. Спустя 5 лет, у VolgaCTF множество спонсоров и партнеров, конференц-залы и трансляция по всему миру. Но это по-прежнему мероприятие, организованное группой энтузиастов с тем же огнем в глазах.
Кстати, с огнем в глазах у нас тоже все в порядке: два года назад наши товарищи по команде заполнили программу докладов, а в прошлом году наши стажеры-джедаи заняли верхние строчки турнирной таблицы.
Кстати, с огнем в глазах у нас тоже все в порядке: два года назад наши товарищи по команде заполнили программу докладов, а в прошлом году наши стажеры-джедаи заняли верхние строчки турнирной таблицы.
👏11🔥2
Системный дизайн и архитектура ПО: заметки архитектора
Архитектор безопасности (security architect) – это роль в команде разработки ПО, которая отвечает за создание и внедрение механизмов безопасности в разрабатываемую систему с целью снижения рисков ИБ.
Невозможно создать что-то и затем внедрить в систему без понимания архитектуры этой системы и ее модели угроз. Поэтому security-архитектор должен разбираться в системном дизайне и понимать объект, с которым он работает (бизнес-процесс, отказоустойчивая платформа, облачное приложение и прочее). Например, выбрать подход аутентификации и авторизации в облачной среде, построенной на базе микросеврисов, невозможно без понимания принципов микросервисной архитектуры.
В комментариях к этому посту буду складывать свои заметки об архитектуре ПО и отказоустойчивой архитектуре, в частности. При этом, если захочешь углубиться в системный дизайн, то рекомендую изучить контент в плейлисте System Design Fundamentals.
Архитектор безопасности (security architect) – это роль в команде разработки ПО, которая отвечает за создание и внедрение механизмов безопасности в разрабатываемую систему с целью снижения рисков ИБ.
Невозможно создать что-то и затем внедрить в систему без понимания архитектуры этой системы и ее модели угроз. Поэтому security-архитектор должен разбираться в системном дизайне и понимать объект, с которым он работает (бизнес-процесс, отказоустойчивая платформа, облачное приложение и прочее). Например, выбрать подход аутентификации и авторизации в облачной среде, построенной на базе микросеврисов, невозможно без понимания принципов микросервисной архитектуры.
В комментариях к этому посту буду складывать свои заметки об архитектуре ПО и отказоустойчивой архитектуре, в частности. При этом, если захочешь углубиться в системный дизайн, то рекомендую изучить контент в плейлисте System Design Fundamentals.
Telegram
Makrushin
Обзор подходов к реализации аутентификации и авторизации в микросервисных системах
Контейнеризация, CI/CD, оркестрация, микросервисы и agile-процессы – это облако тегов, которое теперь находится в словаре security-инженеров. Микросервисная модель и сопутствующие…
Контейнеризация, CI/CD, оркестрация, микросервисы и agile-процессы – это облако тегов, которое теперь находится в словаре security-инженеров. Микросервисная модель и сопутствующие…
👍12🙈1
Media is too big
VIEW IN TELEGRAM
Зашел как-то в гости в НИЯУ МИФИ. Товарищи с кафедры встретили, поставили камеру и говорят: "Рассказывай, кто такой архитектор безопасности. И нет, вырезать из записи ничего не будем" 😄
🔥14