Все, кто сегодня бежит московский полумарафон, ловите поддержку 🫶
Спойлер для тех, кто бежит свой первый забег: будет жарко! 🔥
Спойлер для тех, кто бежит свой первый забег: будет жарко! 🔥
👍14🔥11
Поздравляю CTF-команду dtl с первым местом в квалификационном этапе соревнования VolgaCTF 2023!
«Волга» регулярно собирает сотни команд со всего мира, а финал в Самаре собирает еще и исследователей с крутыми докладами.
Команда представляет кафедру «Криптология и кибербезопасность» НИЯУ МИФИ. Желаем мифистам успеха в финале!
«Волга» регулярно собирает сотни команд со всего мира, а финал в Самаре собирает еще и исследователей с крутыми докладами.
Команда представляет кафедру «Криптология и кибербезопасность» НИЯУ МИФИ. Желаем мифистам успеха в финале!
🔥12
Отладчик eBPF-программ
В процессе работы с подсистемой eBPF, когда программа вырастает от небольшого срипта до полноценного приложения, разработчик начинает тратить половину своего времени на отладку.
Александр Калинин из команды Advanced Security Research (Huawei) встретился с этой проблемой, не нашел подходящего отладчика, разработал сам и опубликовал.
Инструмент пригодится всем, кто разрабатывает приложения для обеспечения security и observability на основе eBPF.
В процессе работы с подсистемой eBPF, когда программа вырастает от небольшого срипта до полноценного приложения, разработчик начинает тратить половину своего времени на отладку.
Александр Калинин из команды Advanced Security Research (Huawei) встретился с этой проблемой, не нашел подходящего отладчика, разработал сам и опубликовал.
Инструмент пригодится всем, кто разрабатывает приложения для обеспечения security и observability на основе eBPF.
GitHub
GitHub - ph1048/ebpfdbg: eBPF verifier log viewer
eBPF verifier log viewer. Contribute to ph1048/ebpfdbg development by creating an account on GitHub.
🔥9🤝3❤2🎉1
Пять лет разницы на одном фото: первая презентация, проведенная в кампусе Самарского Аэрокосмического Университета на VolgaCTF - мероприятии "для студентов, от студентов", организованном группой энтузиастов. Спустя 5 лет, у VolgaCTF множество спонсоров и партнеров, конференц-залы и трансляция по всему миру. Но это по-прежнему мероприятие, организованное группой энтузиастов с тем же огнем в глазах.
Кстати, с огнем в глазах у нас тоже все в порядке: два года назад наши товарищи по команде заполнили программу докладов, а в прошлом году наши стажеры-джедаи заняли верхние строчки турнирной таблицы.
Кстати, с огнем в глазах у нас тоже все в порядке: два года назад наши товарищи по команде заполнили программу докладов, а в прошлом году наши стажеры-джедаи заняли верхние строчки турнирной таблицы.
👏11🔥2
Системный дизайн и архитектура ПО: заметки архитектора
Архитектор безопасности (security architect) – это роль в команде разработки ПО, которая отвечает за создание и внедрение механизмов безопасности в разрабатываемую систему с целью снижения рисков ИБ.
Невозможно создать что-то и затем внедрить в систему без понимания архитектуры этой системы и ее модели угроз. Поэтому security-архитектор должен разбираться в системном дизайне и понимать объект, с которым он работает (бизнес-процесс, отказоустойчивая платформа, облачное приложение и прочее). Например, выбрать подход аутентификации и авторизации в облачной среде, построенной на базе микросеврисов, невозможно без понимания принципов микросервисной архитектуры.
В комментариях к этому посту буду складывать свои заметки об архитектуре ПО и отказоустойчивой архитектуре, в частности. При этом, если захочешь углубиться в системный дизайн, то рекомендую изучить контент в плейлисте System Design Fundamentals.
Архитектор безопасности (security architect) – это роль в команде разработки ПО, которая отвечает за создание и внедрение механизмов безопасности в разрабатываемую систему с целью снижения рисков ИБ.
Невозможно создать что-то и затем внедрить в систему без понимания архитектуры этой системы и ее модели угроз. Поэтому security-архитектор должен разбираться в системном дизайне и понимать объект, с которым он работает (бизнес-процесс, отказоустойчивая платформа, облачное приложение и прочее). Например, выбрать подход аутентификации и авторизации в облачной среде, построенной на базе микросеврисов, невозможно без понимания принципов микросервисной архитектуры.
В комментариях к этому посту буду складывать свои заметки об архитектуре ПО и отказоустойчивой архитектуре, в частности. При этом, если захочешь углубиться в системный дизайн, то рекомендую изучить контент в плейлисте System Design Fundamentals.
Telegram
Makrushin
Обзор подходов к реализации аутентификации и авторизации в микросервисных системах
Контейнеризация, CI/CD, оркестрация, микросервисы и agile-процессы – это облако тегов, которое теперь находится в словаре security-инженеров. Микросервисная модель и сопутствующие…
Контейнеризация, CI/CD, оркестрация, микросервисы и agile-процессы – это облако тегов, которое теперь находится в словаре security-инженеров. Микросервисная модель и сопутствующие…
👍12🙈1
Media is too big
VIEW IN TELEGRAM
Зашел как-то в гости в НИЯУ МИФИ. Товарищи с кафедры встретили, поставили камеру и говорят: "Рассказывай, кто такой архитектор безопасности. И нет, вырезать из записи ничего не будем" 😄
🔥14
JavaScript prototype pollution: практика поиска и эксплуатации
«Если вы следите за отчетами исследователей, которые участвуют в bug bounty программах, то наверняка знаете про категорию уязвимостей JavaScript prototype pollution. А если не следите и встречаете это словосочетание впервые, то предлагаю вам закрыть этот пробел, ведь эта уязвимость может привести к полной компрометации сервера и клиента. Наверняка хотя бы один продуктов вашей (или не вашей) компании работает на JavaScript: клиентская часть веб-приложения, десктоп (Electron), сервер (NodeJS) или мобильное приложение.
Эта статья поможет вам погрузиться в тему prototype pollution (eng-версия статьи). В разделах “Особенности JavaScript” и “Что такое prototype pollution?” вы узнаете как работают объекты и прототипы JavaScript и как особенности их функционирования могут привести к уязвимостям. В разделах “Prototype pollution на сервере” и “Prototype pollution на клиенте” вы научитесь искать и эксплуатировать эту уязвимость на кейсах из реального мира. Наконец вы изучите способы защиты и почему самый распространенный способ защиты можно легко обойти.»
Исследование Никиты Ступина из команды Advanced Security Research (исследовательский центр Huawei), которое включено в «Top 10 web hacking techniques of 2021».
«Если вы следите за отчетами исследователей, которые участвуют в bug bounty программах, то наверняка знаете про категорию уязвимостей JavaScript prototype pollution. А если не следите и встречаете это словосочетание впервые, то предлагаю вам закрыть этот пробел, ведь эта уязвимость может привести к полной компрометации сервера и клиента. Наверняка хотя бы один продуктов вашей (или не вашей) компании работает на JavaScript: клиентская часть веб-приложения, десктоп (Electron), сервер (NodeJS) или мобильное приложение.
Эта статья поможет вам погрузиться в тему prototype pollution (eng-версия статьи). В разделах “Особенности JavaScript” и “Что такое prototype pollution?” вы узнаете как работают объекты и прототипы JavaScript и как особенности их функционирования могут привести к уязвимостям. В разделах “Prototype pollution на сервере” и “Prototype pollution на клиенте” вы научитесь искать и эксплуатировать эту уязвимость на кейсах из реального мира. Наконец вы изучите способы защиты и почему самый распространенный способ защиты можно легко обойти.»
Исследование Никиты Ступина из команды Advanced Security Research (исследовательский центр Huawei), которое включено в «Top 10 web hacking techniques of 2021».
Хабр
JavaScript prototype pollution: практика поиска и эксплуатации
Если вы следите за отчетами исследователей, которые участвуют в bug bounty программах, то наверняка знаете про категорию уязвимостей JavaScript prototype pollution. А если не следите и встречаете это...
👍7
JS PP + CVE = PHDays BHHub
С помощью описанного в исследовании алгоритма поиска уязвимости JS PP, Никита обнаружил 3 баги в парсере multi-ini и одну в npm-пакете merge-deep:
* CVE-2020-28449
* CVE-2020-28450
* CVE-2020-28460
С зарегистрированными CVE все прошло гладко, а вот с багой merge-deep вышла забавная ситуация. После отправки репорта мейнтейнер долго не выходил на связь, и в итоге эту же уязвимость нашли исследователи GitHub Security Lab, сумели выйти на мейнтейнера раньше и зарегистрировали GHSL-2020-160. И это был хороший урок для нашей команды: нельзя затягивать с подготовкой репорта.
Мы собрали три наших исследования (JS PP, обзор архитектурных паттернов, и введение в фаззинг бинарных приложений) и при поддержке Тимур Юнусова организовали Bug Hunting Village - выделенную секцию на PHDays, посвященную поиску и эксплуатации уязвимостей.
С помощью описанного в исследовании алгоритма поиска уязвимости JS PP, Никита обнаружил 3 баги в парсере multi-ini и одну в npm-пакете merge-deep:
* CVE-2020-28449
* CVE-2020-28450
* CVE-2020-28460
С зарегистрированными CVE все прошло гладко, а вот с багой merge-deep вышла забавная ситуация. После отправки репорта мейнтейнер долго не выходил на связь, и в итоге эту же уязвимость нашли исследователи GitHub Security Lab, сумели выйти на мейнтейнера раньше и зарегистрировали GHSL-2020-160. И это был хороший урок для нашей команды: нельзя затягивать с подготовкой репорта.
Мы собрали три наших исследования (JS PP, обзор архитектурных паттернов, и введение в фаззинг бинарных приложений) и при поддержке Тимур Юнусова организовали Bug Hunting Village - выделенную секцию на PHDays, посвященную поиску и эксплуатации уязвимостей.
🔥5
This media is not supported in your browser
VIEW IN TELEGRAM
⭐️
Оставлю эту сторис здесь. Пусть будет напоминалкой для тех, кто изучает новую область и берется за новое дело.
Оставлю эту сторис здесь. Пусть будет напоминалкой для тех, кто изучает новую область и берется за новое дело.
❤4🤩4
Итоги ПМЭФ 2023: второе место в финале Международного Киберчемпионата
Наша команда “You Shall Not Pass” защитила инфраструктуру виртуального города от атак и с отставанием в один балл заняла второе место в рейтинге.
Инфраструктура киберполигона интегрирована с настоящим оборудованием, которое используется в реальной инфраструктуре предприятий. Это значит, что сценарии атак в этой среде вполне реальные.
Наша статистика:
1. атакующий осуществил 0 успешных атак во внутренней части защищаемой инфраструктуры и не смог пробраться дальше DMZ;
2. мы написали примерно 100 строчек кода (несколько скриптов автоматизации и конфиг auditd);
3. съели 9 пицц.
Поздравляем победителей и крепко жмем руку организаторам соревнования! Поднимаем кружку чая на кухне нашего Security Operations Center и возвращаемся к работе.
Наша команда “You Shall Not Pass” защитила инфраструктуру виртуального города от атак и с отставанием в один балл заняла второе место в рейтинге.
Инфраструктура киберполигона интегрирована с настоящим оборудованием, которое используется в реальной инфраструктуре предприятий. Это значит, что сценарии атак в этой среде вполне реальные.
Наша статистика:
1. атакующий осуществил 0 успешных атак во внутренней части защищаемой инфраструктуры и не смог пробраться дальше DMZ;
2. мы написали примерно 100 строчек кода (несколько скриптов автоматизации и конфиг auditd);
3. съели 9 пицц.
Поздравляем победителей и крепко жмем руку организаторам соревнования! Поднимаем кружку чая на кухне нашего Security Operations Center и возвращаемся к работе.
👍16🔥9⚡1
В гостях у друзей из Kaspersky вместе с коллегами из Ozon и Avito обсуждаем тему поиска талантов в ИТ и ИБ. Записываем, монтируем и скоро выпустим.
Спасибо Владимиру Дащенко за приглашение, откровенные вопросы и футболку с того самого Defcon!
Спасибо Владимиру Дащенко за приглашение, откровенные вопросы и футболку с того самого Defcon!
👍10❤1
Media is too big
VIEW IN TELEGRAM
Где взять квалифицированных ИБ-специалистов?
Пятый выпуск подкаста ОБИБЭ посвящён острейшей теме кадрового голода и тому, как с этим вызовом справляются в МТС RED, «Лаборатории Касперского», Озоне и Авито.
Есть ли альтернатива релокации, какие основные сложности при найме, что нравится кандидатам, и надо ли готовить сотрудников со школьной скамьи?
Пятый выпуск подкаста ОБИБЭ посвящён острейшей теме кадрового голода и тому, как с этим вызовом справляются в МТС RED, «Лаборатории Касперского», Озоне и Авито.
Есть ли альтернатива релокации, какие основные сложности при найме, что нравится кандидатам, и надо ли готовить сотрудников со школьной скамьи?
🔥7👍2⚡1
«Наступательный ИИ» в руках атакующего
Концепция «наступательного ИИ» заключается в использовании технологий машинного обучения для осуществления вредоносных действий. Эти действия разделяются на два множества:
1. атаки на системы, использующие ИИ или «adversarial ML», которым мы с Иваном Капуниным посвятили отдельную лекцию;
2. атаки с использованием ИИ для совершенствования техник атакующего.
Авторы лаборатории Offensive AI подготовили интересный обзор сценариев применения ИИ в наступательных целях. Инсайты:
* авторы насчитали 33 техники, в которых атакующий может использовать ИИ, и разделили их на блоки: automation, campaign resilience, credential theft, exploit development, information gathering, social engineering, stealth;
* все сценарии атак могут быть разделены по следующим задачам: Предсказание, Генерация, Анализ, Извлечение, Принятие решения.
Для меня наиболее примечательными являются две задачи: Предсказание и Принятие решения. Посмотрим, какие исследования существуют в этом направлении.
Концепция «наступательного ИИ» заключается в использовании технологий машинного обучения для осуществления вредоносных действий. Эти действия разделяются на два множества:
1. атаки на системы, использующие ИИ или «adversarial ML», которым мы с Иваном Капуниным посвятили отдельную лекцию;
2. атаки с использованием ИИ для совершенствования техник атакующего.
Авторы лаборатории Offensive AI подготовили интересный обзор сценариев применения ИИ в наступательных целях. Инсайты:
* авторы насчитали 33 техники, в которых атакующий может использовать ИИ, и разделили их на блоки: automation, campaign resilience, credential theft, exploit development, information gathering, social engineering, stealth;
* все сценарии атак могут быть разделены по следующим задачам: Предсказание, Генерация, Анализ, Извлечение, Принятие решения.
Для меня наиболее примечательными являются две задачи: Предсказание и Принятие решения. Посмотрим, какие исследования существуют в этом направлении.
👍7🤔1
Задачи «наступательного ИИ»: Предсказание и Принятие Решения
Авторы упомянутой работы, привели примеры сценариев, в которых ИИ помогает атакующему совершенствовать свои техники, делать прогноз развития атаки или принимать решение в процессе ее реализации:
1. Локализация уязвимостей в ПО. Например, помощь в разборе результатов фаззинга. И вот тут открывается возможность для совершенствования технологий автоматической генерации эксплойтов (automatic exploit generation).
2. Определение чувствительных атрибутов пользователя на основе публичной информации из социальных сетей, которые можно использовать для автоматизации атак с использованием методов социальной инженерии. Таким образом ИИ позволяет атаковать большее количество организаций с высокой точностью и меньшим количеством ресурсов со стороны атакующего.
3. Поиск наиболее значимой информации в процессе шпионажа. Например, ИИ может выделять ценные данные из массива и тем самым снижать объем передаваемой информации на стадии эксфильтрации данных. Кража данных может производиться быстрее и незаметно для средств мониторинга.
Для реализации задач категории «Принятие решения» в процессе анализа защищенности разработан инструмент AutoPentest-DRL, который использует алгоритмы глубинного обучения с подкреплением (deep reinforcement learning, DRL) для определения наиболее подходящего пути атаки в заданной сети. Результат работы этого фреймворка может быть передан в инструменты эксплуатации (например, Metasploit) для автоматизации работы пентестера. В графе возможных атак этот инструмент позволяет определить оптимальный путь и сократить время атакующего от момента закрепления в сети до продвижения к цели.
Авторы упомянутой работы, привели примеры сценариев, в которых ИИ помогает атакующему совершенствовать свои техники, делать прогноз развития атаки или принимать решение в процессе ее реализации:
1. Локализация уязвимостей в ПО. Например, помощь в разборе результатов фаззинга. И вот тут открывается возможность для совершенствования технологий автоматической генерации эксплойтов (automatic exploit generation).
2. Определение чувствительных атрибутов пользователя на основе публичной информации из социальных сетей, которые можно использовать для автоматизации атак с использованием методов социальной инженерии. Таким образом ИИ позволяет атаковать большее количество организаций с высокой точностью и меньшим количеством ресурсов со стороны атакующего.
3. Поиск наиболее значимой информации в процессе шпионажа. Например, ИИ может выделять ценные данные из массива и тем самым снижать объем передаваемой информации на стадии эксфильтрации данных. Кража данных может производиться быстрее и незаметно для средств мониторинга.
Для реализации задач категории «Принятие решения» в процессе анализа защищенности разработан инструмент AutoPentest-DRL, который использует алгоритмы глубинного обучения с подкреплением (deep reinforcement learning, DRL) для определения наиболее подходящего пути атаки в заданной сети. Результат работы этого фреймворка может быть передан в инструменты эксплуатации (например, Metasploit) для автоматизации работы пентестера. В графе возможных атак этот инструмент позволяет определить оптимальный путь и сократить время атакующего от момента закрепления в сети до продвижения к цели.
Telegram
Makrushin
«Наступательный ИИ» в руках атакующего
Концепция «наступательного ИИ» заключается в использовании технологий машинного обучения для осуществления вредоносных действий. Эти действия разделяются на два множества:
1. атаки на системы, использующие ИИ или «adversarial…
Концепция «наступательного ИИ» заключается в использовании технологий машинного обучения для осуществления вредоносных действий. Эти действия разделяются на два множества:
1. атаки на системы, использующие ИИ или «adversarial…
🙈1
Выходные в Сербии: CTO Day
С закрытого мероприятия, которое прошло в Белграде и которое ежегодно собирает технических директоров IT-компаний, вынес с собой следующие мысли:
* Каждый измеряет эффективность своей разработки по-своему. И размер R&D на ответы не влияет: крупные компании вроде Google, Huawei, Intel или небольшие стартапы используют свои, иногда противоречивые, показатели производительности. Кто-то измеряет в фичах, кто-то в коммитах, кто-то вообще отслеживает только «неэффективность». Все еще есть пространство для внедрения новых методов и инструментов в процесс разработки.
* Про управление временем руководителя: «управлять нужно не временем, а энергией» и «в интеллектуальном труде вдохновение гораздо важнее времени».
* ML-модели продемонстрировали свою эффективность в автоматизации процесса он-бординга и позволили сэкономить 30 из 50 часов работы опытного сотрудника на каждого нового сотрудника за счет генерации обучающего контента на основе требований к позиции и внутренних материалов.
С закрытого мероприятия, которое прошло в Белграде и которое ежегодно собирает технических директоров IT-компаний, вынес с собой следующие мысли:
* Каждый измеряет эффективность своей разработки по-своему. И размер R&D на ответы не влияет: крупные компании вроде Google, Huawei, Intel или небольшие стартапы используют свои, иногда противоречивые, показатели производительности. Кто-то измеряет в фичах, кто-то в коммитах, кто-то вообще отслеживает только «неэффективность». Все еще есть пространство для внедрения новых методов и инструментов в процесс разработки.
* Про управление временем руководителя: «управлять нужно не временем, а энергией» и «в интеллектуальном труде вдохновение гораздо важнее времени».
* ML-модели продемонстрировали свою эффективность в автоматизации процесса он-бординга и позволили сэкономить 30 из 50 часов работы опытного сотрудника на каждого нового сотрудника за счет генерации обучающего контента на основе требований к позиции и внутренних материалов.
👍8🔥3🥰2