24322
Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot РКН: https://vk.cc/cN3VGo
Гранд-обзор: все обновления PT Sandbox за год
Декабрь велит нам подводить итоги. Если вы не успели проследить за всеми изменениями, которые произошли с PT Sandbox в этом году, приглашаем на наш уютный вебинар. Вместе вспомним главные вехи развития песочницы:
🚀Как нам удалось повысить производительность в 9!!! раз, не потеряв качество обнаружения
🔎Какие правила, технологии и подходы помогли обеспечить расширенный анализ ссылок
📄Как мы реализовали поведенческий анализ новых типов и форматов файлов
🛠За счет чего расширили возможности кастомизации песочницы и многое другое
Кроме обновлений функциональных и экспертных возможностей обсудим дерзкие планы команды PT Sandbox на 2025 год. Присоединяйтесь!
👾 Изучаем малоизвестный вирус для MS-DOS.
• В начале 1990-х годов, два подростка из одного маленького городка на западе Германии, заинтересовались компьютерами, им было лет по 11, а компьютерные курсы были доступны только выпускникам средних школ.
• Поскольку в то время не было интернета, доступ к информации по определённым темам осуществлялся в основном через руководства к их домашним компьютерам, которые также обучали программированию на языке BASIC, через компьютерные журналы, относительно дорогие книги, которых не было в публичных библиотеках, разрозненную информацию из BBS, а также путём экспериментов.
• 19 апреля 1992 года ознаменовалось их прорывом в создании Proof of Concept (PoC) для компьютерного вируса. До этого ребята много спорили, по силам ли им создание вируса. Но в итоге им удалось заразить исполняемый файл, автоматически встроив туда свой код. Они смогли добиться, чтобы их фрагмент выполнялся до начала выполнения кода исходной программы.
• Интересно, что исходный код вируса сохранился и авторы даже готовы были поделиться им. Но поначалу получение исходного кода казалось сомнительным из‑за потери битов на старых устройствах хранения. Его восстановление превратилось в приключение, включающее реконструкцию старого оборудования для преодоления технологического разрыва, созданного отсутствием поддержки современных технологий устаревших стандартов жёстких дисков, фирменных ленточных накопителей и зашифрованных файловых устройств той эпохи.
• С помощью виртуализации, найденного старого оборудования и адаптеров для современных компьютеров автору этой публикации удалось успешно восстановить исходный код вируса, даже сохранив временные метки оригинальных файлов.
• Это перевод статьи, где подробно описан и проанализирован исходный код данного вируса. Очень интересный материал: https://habr.com/ru/post/836222/
#Разное
Исследователи Fortinet выкатили отчет в отношении новой программы-вымогателя Interlock, главной особенностью которой является наличие версии для FreeBSD помимо шифровальщика Windows.
Первый в своем роде штамм впервые был замечен в начале октября 2024 года, но по всей видимости распространялся намного ранее.
Interlock представлен в двух версиях: для Windows (Vista, 7, 8, 8.1 и 10) и FreeBSD, и традиционно реализует шифрование файлов на компьютерах жертв, заявляя требования по выкупу за их расшифровку с помощью соответствующих записок с меткой «!__README__!.txt».
Начальный вектор заражения Interlock в точности неизвестен.
Однако, как сообщает исследователь Сина Хейрха, на машине жертвы был обнаружен ранее неизвестный бэкдор Supper, через который могла быть развернута ransomware.
После запуска программы-вымогателя она шифрует файлы на компьютерах жертв с помощью алгоритма шифрования AES-CBC и добавляет к зашифрованным файлам расширение «.interlock».
В ходе шифрования реализованы исключения по типу файлов и директориям.
Причем версия программы-вымогателя Interlock для FreeBSD пропускает файлы с расширением «.interlock» из процесса шифрования.
На момент расследования на сайте DLS Interlock было указано шесть жертв, пять из которых находились в США, а одна — в Италии.
Для каждой жертвы на DLS в TOR представлена отдельная страница с описанием организации жертвы и списком украденных файлов.
Однако данные телеметрии потенциально указывают на более широкую виктимологию.
Образцы программы-вымогателя Interlock были замечены в Индии, Италии, Японии, Германии, Перу, Южной Корее, Турции и США.
Костяк жертв приходится на сектора образования, финансов, госуправления, здравоохранения и производства, что указывает на отсутствие у Interlock каких-либо ограничений по части выбора жертв.
Индикаторы компрометации - в отчете.
📶 SSH Honeypot.
• Автор этого материала в течении 30 дней автор собирал статистику со своего запущенного SSH-ханипота. Тема может и заезженная, но почитать будет полезно. Особенный интерес к командам, которые выполняются ботами после логина. Статься тут: https://blog.sofiane.cc/ssh_honeypot/
• А еще, у есть пошаговый мануал по настройке такого SSH-ханипота. Это на тот случай, если захотите повторить исследование и получить определенный опыт: https://blog.sofiane.cc/setup_ssh_honeypot/
#SSH #Honeypot
Исследователи ACROS сообщают о новой 0-day, которая позволяет злоумышленникам обходить проверку безопасности Mark of the Web (MotW) в операционных системах Windows Server 2012 и Server 2012 R2.
Несмотря на то, что исследователи сообщили об этой проблеме в Microsoft, ошибка до настоящего времени оставалась необнаруженной или, по крайней мере, неисправленной.
Ошибка затрагивает все версии Windows Server 20212, выпущенные за последние два года, присутствует даже на полностью обновленных серверах с расширенными обновлениями безопасности.
При этом поддержка Windows Server 2012 закончилась в октябре 2023 года.
ACROS выпустила собственный микропатч через платформу 0patch для этой ошибки, не дожидаясь пока Microsoft разработает исправления в рамках программы расширенных обновлений безопасности.
Более того, в ACROS Security отметили, что будут раскрывать информацию об уязвимости до тех пор, пока Microsoft их не выпустит.
Сами же разработчики пока никак не комментируют ситуацию.
⚡️Трансляция главного зала HighLoad++ 2024: спикеры из VK, Яндекс, hh.ru, Сбер и других компаний!
🖐️ Подключайтесь к открытой трансляции бесплатно.
HighLoad++ 2024 — это конференция, которая определяет будущее высоконагруженных систем. 2 и 3 декабря 2024 года все желающие могут бесплатно посмотреть онлайн-трансляцию главного зала. Это стало возможно благодаря поддержке генерального партнера конференции — VK.
Среди спикеров:
🔹 Денис Дерюгин (VK, ВКонтакте): расскажет об эволюции хранилища ВКонтакте за 18 лет.
🔹 Алексей Николаевский (Яндекс): представит сравнение транзакций в Apache Kafka и YDB.
🔹 Владимир Комаров (СберТех): расскажет о геораспределённых транзакциях, их теории и практическом применении.
🔹 Станислав Кондратьев (hh.ru): поделится опытом выделения микросервиса из 15-летнего монолита.
Приятного просмотра!
#реклама
О рекламодателе
📰 Security Reports.
• Репозиторий, который включает в себя ежегодные отчеты по кибербезопасности от крупнейших ИТ компаний. Этот репо постоянно поддерживают в актуальном состоянии, что поможет нам узнать много нового и полезного (варианты эксплуатации различных уязвимостей, векторы атак и т.д.).
➡ https://github.com/jacobdjwilson/awesome-annual-security-reports
• В качестве дополнения: обратите внимание на другие источники, за которыми наблюдаю сам и стараюсь всегда делиться с Вами новым материалом:
- Много интересного материала есть у ребят из Лаборатории Касперского, тут можно найти много новой и актуальной информации: https://securelist.ru
- Ребята из BiZone публикуют достаточно интересный материал, который можно найти тут: https://bi.zone/expertise/research/
- Материал от позитивов: https://www.ptsecurity.com/ru-ru/research/analytics/
- У cisoclub есть отдельный раздел с отчетами, но у них информация появляется с большой задержкой. Однако тут можно найти интересные отчеты: https://cisoclub.ru/category/reports/
- Подборка ТОП отчетов от hackerone: https://github.com/reddelexc/hackerone-reports
- Полезный репозиторий, где собраны разборы о фишинговых кампаниях APT группировок, содержащие пример писем и описание инструментов, с помощью которых осуществлялась рассылка: https://github.com/wddadk/Phishing-campaigns
#Отчет #ИБ
Продолжаем отслеживать наиболее трендовые уязвимости и связанные с ними угрозы:
1. Исследователи выяснили, что проблесков маяки на автомобилях экстренных служб вызывают эффект EpileptiCar, фактически ослепляя как коммерческие, так и на открытые системы Advanced Driver-Assistance Systems (ADAS) и способствуя тем самым созданию аварийных ситуаций.
Причем эффект EpileptiCar усиливается в ночное время суток из-за расстояния до автомобилей экстренных служб, а также настроек и возможностей камеры беспилотного автомобиля.
2. SSD Disclosure раскрыла подробности в отношении неисправленной уязвимости локального повышения привилегий в Windows.
Ошибка была продемонстрирована в ходе хакерского конкурса TyphoonPWN 2024 в начале этого года, однако Microsoft посчитала ее дубликатом, заявляя, что она уже исправлена. В свою очередь, исследователи наглядно показали, что эксплойт по-прежнему работает в системах Windows 11.
3. Исследователи Source Incite опубликовали статью, освещая неисправленную до настоящего времени уязвимость в фреймворке Spring Java, которую можно использовать для RCE.
4. ERNW выкатила подробное описание ошибки command injection, которую помогали исправить в Kemp LoadMaster в начале этого месяца. При этом ошибка отслеживается как CVE-2024-7591 и имеет оценку серьезности 10/10.
5. Злоумышленник смог воспользоваться уязвимостью на официальном портале Microsoft Partner. Microsoft раскрыла атаку на этой неделе после того, как выпустила исправление. Какие-либо дополнительные подробности об атаке не раскрываются.
6. Исследователи Nozomi Networks обнаружили около двух десятков уязвимостей безопасности в промышленных точках беспроводного доступа Advantech EKI, некоторые из которых могут быть использованы для обхода аутентификации и выполнения кода с повышенными привилегиями.
6 из 20 уязвимостей (от CVE-2024-50370 до CVE-2024-50375 с CVSS: 9,8) были признаны критическими, позволяя получить постоянный доступ к внутренним ресурсам путем внедрения бэкдора, вызвать DoS и даже перепрофилировать зараженные конечные точки в рабочие станции Linux для обеспечения горизонтального перемещения.
Еще одна CVE-2024-50376 (CVSS: 7,3) может быть связана с CVE-2024-50359 (CVSS: 7,2) для выполнения произвольного кода по беспроводной сети.
7. Разработчики Jenkins анонсировали обновления безопасности для основного кода и двух плагинов.
👩💻 Бесплатный курс: Docker для начинающих + практический опыт.
• Курс разделен на девять модулей, всего — 44 урока, 76 тестов и 3,5 часа видео. С помощью упражнений можно практиковаться в Docker Compose, командах Docker, разработке образов с использованием Dockerfiles. Среди прочих тем — Docker Compose и создание стека приложений с его использованием, Docker Swarm и Docker Registry. Курс предназначен для новичков в #DevOps.
➡️ https://stepik.org/course/123300/
#Docker #Курс
Исследователи ESET обнаружили первый UEFI-буткит, нацеленный на ядра Linux, который его создали из BlackCat назвали Bootkitty.
Пока нет никаких доказательств использования Bootkitty в реальных атаках исследователи рассматривают его в качестве PoC, также отслеживая как IranuKit.
На платформу VirusTotal был загружен 5 ноября 2024 года.
Основная цель буткита - отключение функции проверки подписи ядра и загрузка двых пока неизвестных двоичных файлов ELF через процесс инициализации Linux (который является первым процессом, выполняемым ядром Linux при запуске системы).
Следует отметить, что Bootkitty подписан самоподписанным сертификатом и поэтому не может быть запущен в системах с включенной UEFI Secure Boot, если только контролируемый злоумышленником сертификат еще не установлен.
Независимо от статуса UEFI Secure Boot, буткит в основном предназначен для загрузки ядра Linux и исправления в памяти ответа функции для проверки целостности перед выполнением загрузчика GNU GRand Unified Bootloader (GRUB).
В частности, он продолжает перехватывать две функции из протоколов аутентификации UEFI, если включена безопасная загрузка таким образом, что проверки целостности UEFI обходят. Впоследствии исправляет три различные функции в легитимном загрузчике GRUB, чтобы обойти другие проверки целостности.
ESET отмечает, что расследование буткита также привело к обнаружению, вероятно, связанного с ним неподписанного модуля ядра, способного развернуть двоичный файл ELF, получивший название BCDropper, который загружает другой пока неизвестный модуль ядра после запуска системы.
Модуль ядра, также имеющий BlackCat в качестве имени автора, реализует другие функции, связанные с руткитом: сокрытие файлов, процессов и открытие портов.
Несмотря на упоминания на данном этапе нет никаких доказательств, указывающих на связь с группой шифровальщиков ALPHV/BlackCat.
Независимо от того, является ли это проверкой концепции или нет, Bootkitty знаменует собой серьезный сдвиг на ландшафте киберугроз, ведь ранее считалось, что современные буткиты UEFI являются угрозами, присущими исключительно Windows.
⚡️ Стажёры, призываем вас!
👨💻 ИТ-холдинг Т1 завершает набор на полугодовую оплачиваемую стажировку для 1С-разработчиков. У тебя есть шанс получить ценный опыт и построить карьеру в крупнейшей ИТ-компании страны (по версии RAEX и CNews 2023).
⚡️ Зачем участвовать?
— уникальный рыночный опыт и масштабные ресурсы
— сертификация от вендора
— офис в центре Санкт-Петербурга с приставкой, фрешами и массажным креслом
— возможность перейти на удаленку
— поддержка и большое сообщество Т1, где можно учить английский и китайский, стать частью киберкоманды, техногильдии или киноклуба 😍
По итогам стажировки тебя ждет перевод на бессрочный трудовой договор, карьерный фаст-трек из джуна в мидла за 1,5 года и бонусы аккредитованной ИТ-компании: ДМС, обучение, митапы, программы развития и многое другое.
Ждем студентов последних курсов и выпускников тех. специальностей, которые имеют опыт разработки на любом языке программирования от 1 года и понимают, что такое СУБД и SQL.
🤓 Принимаем заявки до 29 ноября на сайте
Реклама. ООО "Т1". ИНН 7720484492.
🦮 Kerberos для специалиста по тестированию на проникновение.
• Cпециалисту по тестированию на проникновение инфраструктуры на базе Active Directory важно понимать общее устройство протокола Kerberos. Вот лишь несколько причин почему:
- Знание устройства протокола Kerberos необходимо для понимания ряда классических атак.
- Периодически появляются новые атаки, но прежде чем приступать к их эксплуатации, необходимо разобраться к каким последствиям они могут привести. Без знания Kerberos это порой затруднительно, либо вовсе невозможно.
- Личная чуйка, что если человек называет себя специалистом, то он должен обладать несколько более глубокими знаниями, чем название инструмента или кнопки, на которую надо нажать.
• В этом цикле статей автор попытался разобрать, как в теории устроен протокол Kerberos и какие атаки с его использованием можно осуществить на практике в Active Directory. Также будут приведены некоторые рекомендации по противодействию рассматриваемым атакам.
• Часть 1. Теория:
- Требования к протоколу Kerberos;
- Список терминов;
- Аутентификация с использованием Kerberos;
- Житейская аналогия;
- По верхам в общем виде;
- Разбор аутентификации в Kerberos согласно RFC;
- Алгоритм формирования ключа;
- Kerberos в Active Directory;
- Доменная аутентификация пользователя к рабочей станции в Active Directory.
• Часть 2. Классические атаки:
- Атака на подбор имен пользователей;
- Распыление пароля;
- AS-REQ roasting;
- AS-REP roasting;
- Kerberoasting;
- Pass-the-key / Overpass The Hash;
- Pass-the-Ticket (PtT) / Pass-the-Cache;
- PtT + AnySPN;
- Silver Ticket;
- Golden Ticket.
• Часть 3. Неограниченное делегирование:
- История и виды делегирования;
- Устройство неограниченного делегирования;
- Общая схема атаки при неограниченном делегировании;
- Поиск учетных записей с неограниченным делегированием;
- Атака “Извлечение из памяти сервера”;
- Атака с использованием учетной записи без сервера;
- Общая схема вариантов проведения атак;
- Рекомендации.
• Часть 4. Ограниченное делегирование:
- Ограниченное делегирование с использованием только Kerberos (S4U2Proxy);
- Ограниченное делегирование со сменой протокола (S4U2Self и S4U2Proxy);
- Классическая атака на ограниченное делегирование;
- Про другие атаки.
• Часть 5. Делегирование, ограниченное на основе ресурсов:
- Устройство ограниченного на основе ресурсов делегирования;
- Классическая атака на RBCD;
- Как получить учетную запись с SPN;
- Атака без контроля над учетной записью с SPN;
- Изменение msDS-AllowedToActOnBehalfOfOtherIdentity с помощью ACL;
- Изменение msDS-AllowedToActOnBehalfOfOtherIdentity через Relay-атаки.
• Часть 6. PKINIT:
- Криптография с открытым ключом;
- Электронная цифровая подпись;
- Центр сертификации;
- PKINIT в Kerberos Active Directory;
- Физическое хранение закрытых ключей;
- NTLM в PKINIT;
- Key Trust;
- PassTheCertificate;
- UnPAC the Hash;
- Shadow Credentials;
- Enterprises Key Admin.
#Kerberos #AD #Пентест
🗣 Лев Матвеев, «СёрчИнформ»: Сервис информационной безопасности должен быть таким же доступным, как такси
Лев Матвеев, председатель совета директоров «СёрчИнформ», рассказал порталу Cyber Media о том, каких изменений ждать игрокам рынка информационной безопасности в ближайшие пять лет, почему проблема импортозамещения еще далека от разрешения, а также, почему ИБ-аутсорсинг становится все более востребован среди заказчиков.
❓Зачем программисту нужна математика?
Многие считают, что если предметная область не требует знаний математики, то она не нужна. Тем не менее существуют много фундаментальных ограничений, прямо вытекающих из математической теории, которые оказывают непосредственное влияние на код.
✅ Приглашаем вас на открытый урок «Распространенные заблуждения в программировании или чем может помочь математика»
Покажем как математика позволяет давать ответы на запутанные вопросы и улучшать понимание программирования и качество кода.
Урок посвящен курсу «Математика для программистов» от Otus — лучшие практики, после изучения которых вы сможете быстрее изучать новые языки программирования и фреймворки.
👉 Регистрация
https://otus.pw/pauy/Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
👨💻 Дорожная карта ИБ специалиста.
• Актуальная дорожная карта от специалистов Positive Technologies, которая наглядно демонстрирует схему развития ИБ специалиста в определенных направлениях:
- Защита информации КИИ;
- Комплаенс-менеджмент;
- Исследование безопасности (R&D);
- Администрирование средств защиты информации;
- Security operations center (SOC);
- Управление уязвимостями;
- Безопасная разработка приложений;
- Преподавание кибербезопасности.
• Скачать можно отсюда: https://static.ptsecurity.com/docs/navigating-the-cybersecurity-career-path.pdf
• P.S. А еще есть вот такая карта - https://dfedorov.spb.ru/edu/, она более объемная и включает в себя больше различных аспектов. Поможет Вам определить необходимый пул требований \ знаний для различных специальностей в сфере ИБ. Схема составлена на основе анализа текущих вакансий.
#Roadmap
🔐 10 способов обхода Windows Defender.
• В этой статье автор подробно рассказывает о 10 способах и техниках обхода Windows Defender с целью выполнения произвольного кода. Содержание статьи следующее:
- In-Memory AMSI/ETW patching;
- Обфускация кода;
- Обфускация во время компиляции;
- Обфускация бинарных файлов;
- Зашифрованная инъекция шеллкода;
- Загрузка шеллкода;
- Пользовательские инструменты;
- Инсценировка полезной нагрузки;
- Рефлексивная загрузка;
- Сборки P/Invoke C#.
#Windows #AV #Пентест
😎Хотите освоить имитационное моделирование? Присоединяйтесь к открытому уроку и создайте свою первую модель в AnyLogic!
📗На занятии вы познакомитесь с методами работы в AnyLogic, разберётесь с подбором параметров и настройкой «экспериментов» для реальной модели пункта выдачи. Узнаете, как менять переменные и видеть, как модель реагирует на разные параметры.
🧩Моделирование процессов — ключ к успешным проектам и оптимизации бизнес-процессов. Овладейте этим инструментом и добавьте ценные навыки в своё портфолио!
👨💻Спикер Никита Власов — инженер по имитационному моделированию с опытом работы в международных компаниях.
🚀Урок пройдет 5 декабря в 19:00 мск, регистрируйтесь прямо сейчас и получите практические знания и скидку на курс «Имитационное моделирование на базе AnyLogic»: https://otus.pw/jPTHb/?erid=LjN8KbMey
#реклама
О рекламодателе
Аналитики составят топ лучших систем защиты от инсайдеров.
Компания Piccard проводит опрос об используемых в организациях системах защиты от внутренних угроз. Примите участие в анонимном оплачиваемом исследовании.
Опрос займёт 15–20 минут. Вознаграждение 1100 рублей.
>> Участвовать в опросе
#реклама
О рекламодателе
#новости
⚡️ В канун Нового года на Северный Полюс совершена серия загадочных атак, которые ставят под угрозу доставку новогодних подарков.
Сегодня, администрацией Деда Мороза было обнаружено, что центральная система распределения подарков взломана. Кто-то оставил сообщение с угрозой:
“Если до 29 декабря злоумышленников не найдут, никто не получит подарков” 🎁
👩💻 Linux Live CD.
• Если вы захотите использовать #Linux сейчас, современные варианты установки весьма просты: скачайте файл ISO или образ диска на карту MicroSD. Все очень легко, достаточно зайти на DistroWatch. Но в 1990-х годах, когда Linux только начинал набирать популярность как ОС общего пользования, протестировать его было не так просто. Прежде чем приступать к работе, нужно было установить систему на жёсткий диск. Но новые пользователи очень переживали по поводу этого и не хотели устанавливать что-то незнакомое на жёсткий диск, боясь его повредить. Если Linux хотел завоевать внимание большой аудитории потенциальных пользователей, нужно было презентовать свой продукт так, чтобы обычный человек мог попробовать эту новую систему без риска навредить своему компьютеру.
• Была только одна проблема — подходящей технологии ещё не существовало. Оригинальный альфа-релиз Yggdrasil Linux/GNU/X можно считать первым live CD, созданным специально под Linux. Он был создан ещё до того, как появился термин «live CD». Для его установки требовалось 8 МБ ОЗУ, а в то время такой объём ОЗУ было недоступен на большинстве компьютеров. Yggdrasil быстро оказался в забвении. Это означало, что неохваченных пользователей все еще можно было заинтересовать.
• Технический прогресс пошел на пользу Linux. В 2000 году у многих дома был Pentium III и совсем недавно вышел Pentium 4. Кэдди для дисков уже ушли в прошлое, а скорость дисковода CD-ROM составляла 52x. Скорость вращения составляла 6000 оборотов в минуту, а скорость чтения данных — 6 МБ в секунду. Также начали появляться первые DVD-диски, скорость которых была 1,25 МБ в секунду. DVD становились более популярными и могли вмещать значительно больше данных. Здесь возник вопрос о распространении — как сделать так, чтобы эти live CD попали в руки тысяч пользователей?
• С этого момента на сцене появляется загрузочная визитка. К слову, CD не обязательно должен был быть стандартным диском круглой формы с диаметром 12 см. Он мог иметь абсолютно любую форму, главное, чтобы он вращался в дисководе и лазер мог его считать. Благодаря этому появились CD-диски различных размеров. Например, mini-CD, которые были размером всего 80 миллиметров и могли вмещать до 24 минут аудио или 210 мегабайтов данных. Этот формат был очень популярен в Японии, и его часто использовали для записи CD-синглов, практически по той же технологии, что и виниловые синглы. И одним из возможных вариантов была форма визитки. В 1999 году группа сотрудников компании Linuxcare решила сделать дистрибутив такого размера, чтобы он мог поместиться на этом крошечном диске.
• В статье 2000 года на Linux.com Рассел C. Павличек отмечает, что они быстро завоевали расположение более технически продвинутых пользователей. «Эти CD быстро стали главной темой обсуждения на мероприятиях, посвящённых Linux, и были самыми желанными подарками на выставках LinuxWorld и Atlanta Linux Showcase», — сообщает Рассел. Визитка стала редким образцом предмета для хвастовства, который при этом был невероятно полезным и мог использоваться в ежедневной работе. Благодаря этому возрос интерес общества к идее live CD. Существовала вероятность, что после того, как пользователи попробуют систему, они разберутся с утилитами и начнут использовать весь потенциал ОС Linux.
• Всего через пару лет появилось больше дистрибутивов в форме визитной карточки, включая их прямого потомка LNX-BBC, о котором можно узнать больше в Internet Archive. Вскоре после этого для каждого нового дистрибутива Linux начали использовать диски CD-ROM и DVD-ROM в формате «live CD». После появления и развития технологии флэш-накопителей Linux продолжил стремительно набирать популярность, так как новые технологии сделали процесс тестирования операционной системы более комфортным.
➡ https://tedium.co/2021/05/07/linux-live-cd-history/
#Linux #Разное
👩💻 Attacking Nginx.
• Nginx — это веб-сервер, на котором работает треть всех сайтов в мире. Но если забыть или проигнорировать некоторые ошибки в настройках, можно стать отличной мишенью для атакующих:
• Missing Root Location in Nginx Configuration:
- Explanation;
- The Missing Root Location Issue.
• Attack Scenario: Exploiting the Missing Root Location:
- Mitigating the Risk.
• Unsafe Path Restriction in Nginx:
- Explanation;
- Potential Bypass Techniques;
- Attack Scenario: Exploiting Path Restriction Bypass;
- Mitigation Strategies.
• Unsafe variable use / HTTP Request Splitting:
- Unsafe Use of Variables: $uri and $document_uri;
- Regex Vulnerabilities;
- Safe Configuration;
- Attack Scenarios and Detection Techniques;
- CRLF Injection and HTTP Request Splitting;
- Bypassing Path Restrictions Using Encoded Characters;
- Examples of Vulnerable Configurations.
• Raw Backend Response Reading:
- Example Scenario: Exposing Raw Backend Responses;
- Example uWSGI Application;
- Nginx Configuration;
- Example Invalid HTTP Request;
- Example Output for Invalid Request;
- Attack Scenario;
- Mitigation Strategies.
• merge_slashes set to off:
- merge_slashes Directive;
- Malicious Response Headers;
- map Directive Default Value;
- DNS Spoofing Vulnerability;
- proxy_pass and internal Directives.
• proxy_set_header Upgrade & Connection:
- Vulnerable Configuration;
- Vulnerability;
- Attack Scenario;
- Mitigation;
- Additional Attack Scenarios and Commands.
#Nginx
• Компания WinRAR поделилась в Twitter (X) информацией, что продают каждый месяц по 10 000 лицензий. А Вы что думали?😁 Оказывается, это прибыльный продукт ))
#Разное
👩💻 Как турецкий муниципальный район перешёл на Linux.
• Эюп — район, расположенный в европейской части Стамбула. Площадь района составляет 242 км². В средние века здесь часто происходили стычки между крестоносцами и византийцами, а сегодня Эюп это место, где местная районная администрация полностью перешла на свободное программное обеспечение Pardus.
• Pardus — это дистрибутив операционной системы GNU/Linux, разработка которой началась в 2003 году, а первая стабильная версия была выпущена 27 декабря 2005 г. Он разработан Ulakbim, дочерним государственным исследовательским институтом Совета по научным и технологическим исследованиям Турции. Pardus основан на Debian GNU/Linux, но он переработан для использования в соответствии с практикой и привычками пользователей в Турции.
• После муниципальных выборов, состоявшихся в 2014 году, новая администрация осознала (через отчеты внутреннего финансового анализа), что на лицензирование проприетарного программного обеспечения тратятся большие суммы денег (порядка миллиарда долларов). Стремясь сократить расходы, руководство попросило провести исследование для поиска решений. Как ИТ-отдел муниципалитета Эюп, специалисты рекомендовали заменить Microsoft Windows на Pardus. Они описали предпочтение перехода на свободное программное обеспечение как «желание быть независимыми от техкомпаний, а также экономию, которую можно получить за счёт сокращения огромных лицензионных сборов».
• Муниципальная администрация одобрила проект, и в январе 2015 года муниципалитет Эюп начал использовать бесплатные программные приложения, такие как LibreOffice (например, Writer, Calc, Impress и т. д.). Перед внедрением для персонала учреждения было проведено базовое обучение пользователей LibreOffice. Со временем пользователей постепенно и неуклонно перенаправляли на бесплатные системы и, что примечательно, не вызывали негативной реакции со стороны пользователей.
• Миграция операционной системы Pardus, проведенная муниципалитетом Эюп, подала пример и, следовательно, вдохновила другие муниципалитеты. Примечательно, что с тех пор весь накопленный опыт был передан другим муниципалитетам, таким как Ускюдар и Пендик.
• Возможность запускать, копировать, распространять, изучать, изменять и улучшать свободное программное обеспечение предоставляет уникальную возможность каждому, кто решит его использовать. Бесплатное программное обеспечение имеет много преимуществ, включая гибкость, высокую производительность, значительную экономию средств за счёт лицензионных сборов, независимость от какой-либо конкретной компании и соответствие стандартам совместимости. Таким образом, переход муниципалитета Эюп на бесплатное программное обеспечение принёс как стратегические, так и практические преимущества. В ближайшем будущем большему количеству организаций потребуется понять философию свободного программного обеспечения и возможности, которые предоставляет свободное программное обеспечение.
• В муниципальном бюджете высвободились деньги в результате перехода от проприетарного программного обеспечения к бесплатному. Экономия средств по статье «лицензии на проприетарное программное обеспечение» бюджета была использована в округе в виде новых проектов. Деньги теперь идут, в том числе, на увеличение количества новых парков и садов, велосипедных дорожек и камер видеонаблюдения в парках.
• Кроме того, увеличив количество классов, которые проводятся по технической подготовке, муниципалитет начал проводить занятия по робототехнике и вычислениям для молодежи. В настоящее время муниципалитет Эюп расширяет возможности учащихся для дальнейшего развития их личности, способностей, целей и самопознания. Он знакомит молодых людей с новыми технологиями.
#Разное
По данным опроса ГК InfoWatch за последние 3 года в 32% компаний утечки данных произошли более 1 раза. Используемые методы защиты данных уже не отвечают современным требованиям. Даже при выборе такого простого софта, как браузер, необходимо учитывать множество нюансов. Ведь браузер может стать уязвимым местом в системе безопасности, являясь входной точкой для кибератак.
Что должен уметь браузер, чтобы данные компании оставались под защитой:
— Защита от утечек корпоративных данных, фишинга и кибератак на всех платформах.
— Централизованное администрирование: конфигурации браузера, состава корпоративных вкладок и расширений.
— Контроль внеофисных сотрудников: мобильный браузер обеспечивает безопасный доступ к корпоративным ресурсам даже с личных устройств сотрудников.
Все это уже есть в Яндекс Браузере для организаций, который также обеспечивает комфортный и быстрый переезд и полный перенос данных, чтобы не нарушать привычную работу для сотрудников и оптимизировать процессы управления.
📶 Сетевой протокол DECnet.
• Давайте расскажу про семейство сетевых протоколов одного производителя — Digital Equipment Corporation (сегодня даже саму компанию уже никто не помнит). Семейство DECnet появилось в середине 1970-х для передачи данных между мини-компьютерами. В отличие от Apple, разработчик с определенного момента сделал свои стандарты открытыми, поддерживая реализации на сторонних платформах, и до конца 1980-х годов они действительно развивались, но потом все же уступили место TCP/IP.
• Сегодня DECnet продолжают использоваться только в паре закрытых хобби-сетей, например: http://mim.stupi.net/hecnet.htm Для подключения придется связываться и договариваться с администраторами, так что эти сети нельзя назвать «доступными широкой общественности». Можно сказать, что из жизни масс протокол исчез, вероятно, навсегда.
• Технологии продолжают эволюционировать. Как знать, может уже через 10 лет самые актуальные на сегодняшний день протоколы отправятся на задворки истории. Но это не значит, что про них нужно забыть. Устаревает реализация, но не идеи, заложенные в основу. Как правило, новые стандарты базируются на тех же принципах, просто несколько в другом качестве — на более высоких скоростях, широких частотных полосах и т.п. Так что будем помнить «героев», которые стояли у истоков передачи данных по сетям!
#Сети
• В Таиланде задержали гражданина Китая, который катался по городу на фургоне оснащенном устройством для рассылки фишинговых SMS-сообщений. По итогу нашему герою удалось разослать более 1 000 000 сообщений, которые содержали ложную информацию и ссылку на фишинговый ресурс:
«Срок действия ваших 9268 баллов истекает! Поспешите воспользоваться подарком прямо сейчас».
Безусловно, одной из талантливых APT удалось вписать в инфосек новый вид атак, который позволил ей успешно поразить цель в Вашингтоне, взломав Wi-Fi компании, находившейся в соседнем здании, который затем задействовался для взлома интересующей сети.
Атака посредством ближайшего соседа (Nearest Neighbor Attack) была раскрыта исследователями Volexity и теперь обрела широкую известность, и конечно же, признание, в сообществе.
Как оказалось, в отличие от подключений из Интернета, для соединения по Wi-Fi достаточно было пароля, без MFA.
👩💻 Материал для освоения и закрепления базовых навыков по настройке и управлению Linux.
• Настройка и управление Linux-сервером на своём собственном железе/хостинге становится вымирающим видом искусства. На самом деле это крайне полезный профессиональный скилл. Основы администрирования Linux и огромная библиотека софта для установки на своём сервере — одна из самых полезных вещей, которые может освоить девопс и разработчик, особенно в начале карьеры. Эти знания открывают целый новый мир возможностей. Они дают понимание, как всё работает на самом деле, как использовать железо с максимальной эффективностью.
• Для освоения и закрепления базовых навыков можно рекомендовать следующие ресурсы:
- Книга «Эффективная консоль»;
- Руководство по безопасности Linux-сервера;
- Упражнения для девопсов (сейчас 2624 упражнений и вопросов). Наверное, полезно также при подготовке к собеседованиям;
- Управление Linux, подборка репозиториев на Github;
- ++ 101 Linux commands - книга (CheatSheet) для изучения командной строки Linux.
• Управление Linux-сервером — это базовый навык, который останется актуальным спустя годы и десятилетия. Скорее всего, на протяжении всей вашей карьеры. #Bash, #SSH, nginx/Apache и даже сам Linux — ничто из этого не устареет в обозримом будущем. Подумайте, что ещё такого долговечного есть в IT-индустрии? Чем раньше освоить эти инструменты — тем лучше.
#Linux #DevOps
• В январе немецкая железнодорожная компания GULP разместила в Twitter (X) интересную вакансию на должность системного администратора с обязательным знанием Windows 3.11 и MS-DOS. Сотрудник, которого ищет GULP, должен отвечать за очень старые компьютерные системы. Их основа — процессор с частотой 166 МГц и ОЗУ объёмом 8 Мб. т. е. речь идёт о вычислительных платформах, которым уже лет 30, а ОС и того больше.
• Вероятно, что многим может показаться несколько странным то, что подобные раритеты применяются сейчас, причём масштабно. Но не стоит забывать, что если критичные системы работают, их предпочитают не менять, особенно если модернизация требует большого объёма ресурсов — от финансов до времени ценных специалистов.
• Есть показательные примеры. Так, американская автоматизированная стратегическая система управления ядерными силами (SACCS) лишилась дисководов для 8-дюймовых дискет, которые использовались для обмена информацией между терминалами и загрузки софта, лишь в июне 2019 года.
• Что касается специалистов, которых искала компания, то им нужно работать с программной платформой, отвечающей за систему отображения информации машинистам поездов как национального, так и регионального движения. Малейшая неполадка такой системы и может произойти катастрофа, так что платформа для машинистов является критически важной, а значит, и специалисты, которых искала компания, тоже незаменимы.
• Соответственно многие зарубежные компании придерживаются такой практики, что если система хорошо работает и ей ничего не угрожает в части информационной безопасности, никто не рвётся менять работающие системы, проверенные временем, на нечто новое.
#Разное
Оказалось, что разобраться в экосистеме китайских APT без бутылки отчасти все-таки можно.
Вероятно, после изрядной дегустации Байцзю подробный отчет с анализом киберландшафта Поднебесной выкатили исследователи Orange, которые отследили все взаимосвязи с охватом более чем 300 субъектов.
Авторы отмечают, что наступательные кибервозможности Китая фактически поддерживаются сложной и многоуровневой экосистемой, включающей широкий спектр государственных и негосударственных субъектов, а также ведущие университеты.
Исследование фокусируется на участии основных субъектов угроз в структурированной кибердеятельности APT-групп.
При этом изучение финансово мотивированных киберпреступников и хактивистов, ограничено в контексте их связей с APT.
Всего в отчете 5 разделов, посвященных обзору ключевых государственных субъектов, влияния частных компаний и научных учреждений в кампаниях APT, алгоритмам кооперации в исследованиях уязвимостей, а в заключении представлена интерактивная карта ландшафта.
По содержательной части и объективности - достаточно взглянуть на перечень источников, чтобы понять достоверность инфографики: Минюст США, Минфин США, Financial Times, Atlantic Council, Twitter, Recorded Future и далее другие методисты вашингтонского обкома.