24322
Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot РКН: https://vk.cc/cN3VGo
👨💻 Attacking Policy.
• Open Policy Agent — это open-source-инструмент контроля доступа, основанный на политиках, который создан в 2016 году и с тех пор стабильно развивается. Сейчас он входит в каталог дипломированных проектов Cloud Native Computing Foundation (CNCF). Его используют Netflix, Pinterest, TripAdvisor и другие компании.
• В этой статье перечислены определенные векторы атак, которые могут быть вызваны неправильной конфигурацией Open Policy Agent:
• Allowed Repositories;
• Automount Service Account Token for Pod;
• Block Endpoint Edit Default Role;
• Block Services with type LoadBalancer;
• Block NodePort;
• Block Wildcard Ingress;
• Disallow Interactive TTY Containers;
• Step-by-Step Instructions;
• Allow Privilege Escalation in Container;
• Step-by-Step Instructions;
• Privileged Container;
• Read Only Root Filesystem;
• Host Networking Ports;
• App Armor;
• SELinux V2;
• Resources.
#devsecops
Как избавиться от зависимости зарубежных SIEM?
Присоединяйтесь к нашему открытому уроку и узнайте, как заменить коммерческие зарубежные SIEM-системы на решения с открытым кодом в условиях импортозамещения!
🚀 Программа вебинара:
- Что такое SIEM с открытым кодом: Узнайте о ключевых преимуществах и недостатках.
- Популярные SIEM-решения: Обзор Wazuh, ELK и других ведущих систем.
- Как мигрировать с коммерческой SIEM на решение с открытым кодом: Пошаговое руководство и важные нюансы.
🎯 Урок полезен для:
Архитекторов ИБ, инженеров SIEM, архитекторов SOC и руководителей служб информационной безопасности.
💡 Чего вы достигнете после урока:
- Уверенное понимание выбора и внедрения SIEM с открытым кодом.
- Навыки успешной миграции с коммерческих решений на открытые.
Что даст вам курс?
Вы сможете легко разобраться в SIEM-решении любого вендора, принимать участие в проектах внедрения и эксплуатации SIEM-решений для автоматизации сбора и анализа информации о событиях безопасности.
🛡 Зарегистрируйтесь прямо сейчас и двигайтесь к новым высотам: https://otus.pw/yqMy/
👍 Fingerprint.
• Фингерпринт – это чума 21-го века. Беда в том, что от него практически нельзя скрыться. Телеметрию снимают практически все сайты: им же надо знать, кто их аудитория. Java-скрипты используются не только для красивого дизайна, но и для выполнения целевых действий незащищенным браузером. А уж про межсайтовые куки я вообще молчу: поискал телевизор на одном сайте – увидел рекламу этого товара через минуту на другом.
• Хорошо это или плохо – вопрос спорный. Хорошо для бизнеса – продавать стало гораздо удобнее. Плохо для людей: они знают все про ваши потребности, болевые точки и интересы. Не знают только вашего имени. Но найти его – секундное дело. Если вы простой юзер – расслабьтесь и не переживайте. Ничего плохого с вами не случится. Но если вы ведете интересный образ жизни, то вам нужно учиться следы за собой заметать. Так, на всякий случай.
• Сразу говорю, попсу типа Хрома, Огнелиса, Оперы или Яндекс Браузера – даже не рассматриваем. С точки зрения приватности дырок в них больше, чем в швейцарском сыре.
• Могу ли я посоветовать безопасный браузер? Нет, не могу. Почему? Его просто не существует. Есть только условно безопасные, которые можно использовать, но помнить: memento mori (моментально в море).
• Поэтому первый – Brave. Я его использую только для личных дел. Ибо подтекает и не прошел аудит комьюнити. А так – браузер блокирует все, что нужно, красивый, да еще и платит тебе за просмотр рекламы.
• LibreWolf – всем хорош, защищен, прошел аудит. Но я его потыкал и нашел слишком много соединений с Mozilla, на которой он и построен. Ну и еще некоторые сомнительные коннекты при запуске. Мелочь, а неприятно.
• Третий – Mullvad. Он не блокирует фингерпринт, как первые два, а подменяет его на стандартный: все пользователи сайта будут на одно лицо, точнее, на один фингерпринт. Его делала команда Tor и Mullvad VPN. Пока это мой первый выбор.
• Чем пользоваться решать вам. Но помните, абсолютной безопасности не бывает!
#ИБ
🚀 ☁️ Вебинар для: системных администраторов Linux, DevOps-инженеров 🚀 ☁️
👉 Тема: Настраиваем сетевой фильтр с nftables
Присоединяйтесь к бесплатному уроку курса Administrator Linux. Professional
Дата и время: 21.10.2024 в 19.00
На занятии вы узнаете:
- почему nf_tables должен заменить привычный iptables
- рассмотрим принципы настройки сетевого фильтра на базе nf_tables
- поговорим о совместимости и переходе с iptables на nf_tables.
💪 Преимущества участия в ОУ: на уроке вы сможете понять ключевые отличия nftables от iptables, научиться применять nftables для защиты системы от сетевых атак.
👉 Зарегистрироваться для участия: https://otus.pw/8tRk/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
👨💻 Attacking Secrets.
• Secrets in private repositories;
- Scenario: An Attacker Scanning a Private Repository for Secrets;
- Example Commands and Codes;
• User Credentials in CI Pipelines;
- Scenario: An Adversary Exploiting CI Pipeline Credentials;
- Example Commands and Codes;
• Azure Key-Vault Authentication Abuse;
- Azure’s Documentation Overview;
• Practical Implementation: Azure’s Authentication Solution;
- Steps for Compromising Azure Key Vault;
• Azure Key Vault RBAC;
• Ansible Vault Secret;
- Generating a Hash for Cracking;
- Cracking the Hash;
- Decrypting the File;
• Vault-Backend-Migrator;
- Threats;
• Kubernetes Sealed Secrets;
• chamber;
• Vault Secrets Operator;
• Buttercup Weak Password;
• teller manipulate files;
• BlackBox;
• Conclusion;
- Attacker's Next Steps.
#devsecops
Ваши знания в области информационной безопасности ограничены? Не знаете, как избежать нарушений и соблюдать требования законодательства?
После открытого вебинара «Механизмы государственного регулирования в ИБ: лицензирование, аккредитация, сертификация и аттестация» вы будете разбираться в ключевых механизмах государственного регулирования, понимать их различия и знать, как применять эти знания в профессиональной деятельности.
Регистрируйтесь на вебинар 24 октября в 20:00 мск и получите все необходимые знания, чтобы стать востребованным экспертом в области ИБ и избежать нарушений.
Прокачайте актуальные навыки и получите скидку на большое обучение: https://otus.pw/2kvM/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
👨💻 Attacking IaC.
• Least Privilege;
• Secrets Management;
• Encryption of Sensitive Data;
• Compliance as code;
• terraform plan;
• pet Infra;
• Storing Terraform State Securely;
• Malicious Terraform Providers or Modules;
• Securing Terraform Executions with Isolation;
• Protecting Sensitive Variables in Terraform Logs;
• Securing API Keys and Archivist URLs in HCP Terraform;
• Use dynamic credentials;
• Terraform Plan vs Terraform Apply;
• Replace blacklisted provider.
#IaC #DevSecOps
Стать сотрудником Яндекса быстрее и проще, чем кажется. Участвуйте в Фаст Треке и получите офер за два дня.
Ближайшие Fast Track мероприятия:
• 26-27 октября — для инженеров по безопасности (Инженеры AppSec, InfraSec, инженеры и аналитики SOC).
Зарегистрироваться
🔒 Заключенные, 2 ПК и взлом тюремной сети.
• Пятеро заключенных из исправительного заведения Марион (Marion Correctional Institution (штат Огайо), далее MCI) тайно собрали два компьютера, спрятали их за подвесным потолком в служебном помещении, взломали сеть тюрьмы, получили возможность проходить в запрещенные для заключенных зоны и занимались нелегальной деятельностью в интернете. Все перечисленное стало возможно благодаря тому, что заключенные работали по программе Green Initiative, где занимались утилизацией различной электроники.
• Администраторы MCI начали замечать нечто странное летом 2015 года: аккаунт, принадлежавший одному из подрядчиков тюрьмы, стал превышать дневную квоту трафика. Затем похожее поведение стали демонстрировать учетные записи других сотрудников, в том числе в выходные дни, когда этих сотрудников вообще не было на рабочих местах. Хуже того, несколько дней спустя эти служащие стали предпринимать попытки уклониться от прокси, которые следили за трафиком. Подозрения администраторов дали старт полноценному расследованию, в ходе которого странную активность удалось отследить до компьютера, который фигурирует в отчете как -lab9-. Это имя совершенно не вписывалось во внутреннюю систему присвоения имен.
• В итоге подозрительный трафик проследили до 16 порта коммутатора, расположенного на территории тюрьмы, а затем обнаружили, что кабель, подключенный к устройству, уходит в один из соседствующих шкафов, а затем за подвесной потолок. За фанерными плитами потолка сотрудники MCI с удивлением обнаружили два работающих компьютера.
• На двух обнаруженных жестких дисках следователи нашли немало интересного: хакерские инструменты, легитимный софт, следы нелегальной активности. Криминалисты пишут, что были обнаружены самоподписанные сертификаты, аккаунты Pidgin, ссылки на различные Tor-сайты и следующий софт:
CC Proxy, Cain, Zed Attack Proxy (ZAP), #Wireshark, #NMap, ZenMap, Webslayer, JanaServer, Yoshi, AdvOr #Tor Browser, THC Hydra, Cavin, Paros, 3CXVoip Phone, #VirtualBox, TrueCrypt, CC Cleaner, VideoLan, Clamwin, phpBB, SoftEther VPN. OpenVPN и другой кастомый софт.
• Как оказалось, заключенные не просто «выходили в интернет», они перехватывали тюремный трафик, взломали аккаунты сотрудников и скомпрометировали сеть тюрьмы, получив доступ к системе Departmental Offender Tracking System. После этого они получили доступ к внутренним записям о других заключенных и смогли выпустить пропуска для доступа в закрытые зоны MCI.
• В интернете преступников тоже в основном интересовала криминальная деятельность: они читали статьи об изготовлении наркотиков и взрывчатки в домашних условиях, изучали схемы мошенничества с банковским картами и возвратом налогов, а также смотрели порно и общались с родными. Кстати, стоит сказать, чтение не прошло даром, в рамках мошеннической схемы преступники пытались выпустить кредитные карты на имена других заключенных, ведь недостатка в чужих личных данных не было.
• После того как все пятеро хакеров были идентифицированы, их разделили, и теперь они отбывают наказание в разных исправительных учреждениях.
• Источник: https://xakep.ru/2017/04/13/inmates-hackers/
#Разное
🔐 Шифруем данные.
• Шифрование – это последний оплот цифровой свободы. Все почему? Потому что AES256 шифрование считается невозможным к дешифровке. Есть какие-то риски, что это сможет сделать квантовый компьютер. Но пока квантовые компьютеры – это как Палантир – есть только у Саурона. Когда квантовые компьютеры будут стоять у каждого товарища майора, тогда и поговорим. Да и то, на квантовый компьютер появится квантовое шифрование. Так что на каждую хитрую гайку найдется болт с левой резьбой.
• Но пока этого не случилось, как себя обезопасить? Я всем рекомендую VeraCrypt. За ней есть грешки, но постоянные патчи их оперативно устраняют. Можно, конечно, пользоваться олдскульным TrueCrypt (VeraCrypt – это его форк), но он больше не поддерживается. Есть еще ZuluCrypt, так что вариантов на самом деле масса. Выбирайте то, к чему душа больше лежит.
• Теперь о настройке. VeraCrypt нельзя использовать как есть, из коробки. Нужно проставить нужные галочки. В параметрах обязательно установите время размонтировки. Если вы ничего не делали с томом сколько-то времени, он автоматически размонтируется. Это полезно, если вы ушли в туалет и не размонтировали диски, или, не дай Бог, лежите в браслетах на холодном полу.
• Второе – очищать кэш паролей при выходе. Поясняю. Когда вы поработали с томом, не размонтировали его и закрыли крышку ноутбука, отправив его в сон, ваши пароли остаются в кэше и в случае чего их можно вытащить с помощью специального бубна и ритуальных танцев. Я думаю, что именно так силовики «вскрыли» архив одного известного журналиста. Ну или терморектальный криптоанализ. Тут даже квантовый компьютер не нужен.
• Ну и последнее. У VeraCrypt есть горячие кнопки. Можно назначить размонтирование даже на одну кнопку. Поэтому если товарищ майор начал внезапный штурм твоей двери из картона и палок – у тебя будет время превратить все архивы в тыкву.
#Шифрование
Новости к этому часу: Internet Archive (о котором недавно рассказывал) был взломан, что привело к утечке 31 миллиона учётных записей. Утекли следующие данные: хэши паролей пользователей в формате bcrypt, время изменения паролей, email и имена пользователей. Наиболее свежая запись в БД датирована 28 сентября. Компрометацию своих учётных данных можно проверить через сервис haveibeenpwned.com, который содержит сведения из утекшей БД archive.org.
➡ Источник.
Вторая новость: Недавно появилась информация, что на одном из даркнет-форумов продают данные более 5 миллионов клиентов, совершавших заказы из мобильного приложения "БУРГЕР КИНГ". По заверениям продавца им был взломан сервер MSSQL. Утекла следующая информация: номер телефона, эл. почта, ФИО, дата рождения, пол, город, дата заказа. Эта история получила продолжение и теперь все данные попали в открытый доступ, они были слиты сегодня утром в один из телеграм-каналов.
➡ Источник.
#Новости
🧄 Общее введение в I2P.
• I2P, или Invisible Internet Project, — это на сегодняшний день самая анонимная сеть. Здесь мы можем ходить по сайтам и пользоваться сервисами, не раскрывая сторонним лицам ни байта своей информации.
• I2P построен по принципу оверлея, то есть анонимный и защищенный слой работает поверх другой сети — интернета. Одна из главных особенностей I2P — децентрализованность. В этой сети нет серверов DNS, их место занимают автоматически обновляемые «адресные книги». А роль адресов играют криптографические ключи, никак не выдающие реальные компьютеры. Каждый пользователь проекта может получить свой ключ, который невозможно отследить.
• Многие пользователи часто задаются вопросом, зачем использовать I2P, когда есть VPN и #Tor. Если сравнивать I2P с браузером Tor, можно выделить следующие различия:
- Tor использует «луковую» маршрутизацию, отправляя твой трафик через знаменитые восемь прокси, но при этом сам по себе никак не защищает от расшифровки. I2P, наоборот, опирается на шифрование трафика;
- Tor — большой любитель SOCKS, тогда как I2P предпочитает использовать собственный API. Что удобнее — решать тебе.
- Туннели I2P однонаправленные в отличие от Tor.
- Tor хоть и обладает свойствами пиринговой сети, но при этом централизованный. I2P полностью децентрализован.
• Это лишь основные отличия I2P от Tor. Но даже исходя только из них можно смело заявить о том, что I2P — более безопасный и анонимный вариант.
• Если вы никогда не сталкивались с I2P, эта статья — начало вашего пути к по-настоящему приватной и анонимной коммуникации; если вы бывалый энтузиаст скрытых сетей, этот обзор наверняка заполнит пробелы и поможет упорядочить уже имеющиеся знания. Содержание следующее:
- Отличие традиционной сети от скрытой;
- Базовое понимание криптографии;
- Общие принципы работы I2P;
- Построение туннелей;
- Модель взаимодействия;
- Практическое использование;
- Разработка протокола;
- Сравнение с другими сетями;
- Послесловие.
➡️ https://habr.com/ru/articles/552072/
#i2p #Анонимность
🌐 Wi-Fi и LoRa: гибридная технология, которая позволит расширить радиус действия Wi-Fi за счет протокола сети дальнего действия LoRa.
• Учёные разработали гибридную технологию - WiLo (Wi-Fi + LoRa), которая продемонстрировала на 96% успешную передачу данных на расстоянии до 500 метров. Преимуществом такой технологии станет возможность её работы на уже существующем оборудовании. Однако для одновременной работы Wi-Fi и эмуляции сигналов LoRa устройства потребляют больше энергии. Учёные планируют решить эту проблему, оптимизировав энергоэффективность, скорость передачи данных и устойчивость WiLo к помехам.
• Видимо следующим шагом станет дальнейшая оптимизация системы, а также тестирование WiLo в различных условиях IoT, в том числе систем датчиков для умных городов, где требуется передача данных на большие расстояния с минимальным энергопотреблением.
➡️ https://ieeexplore.ieee.org/document/10680638
• Напомню, что в сентябре компания Morse Micro установила новый мировой рекорд дальности действия Wi-Fi, используя стандарт HaLow (802.11ah). В ходе эксперимента в сельском национальном парке Джошуа-Три удалось установить связь на расстоянии 15,9 км.
#Разное
Митап для DevOps-инженеров от МТС
10 октября | 19:00
Офлайн в Москве | Онлайн
О чем поговорим:
• О ключевых аспектах доставки чувствительных данных в Kubernetes из системы хранения секретов Vault;
• Об организации тренировок по устранению инцидентов, кризисном менеджменте и выстраиванию коммуникаций;
• Углубимся в Service Mesh. Разберем, как выбирать инструменты, как проходит процесс опромышлевания решения, обсудим подводные камни и личный опыт.
Для участия зарегистрируйся по ссылке.
🐍 Python для сетевых инженеров.
• В книге рассматриваются основы #Python с примерами и заданиями построенными на сетевой тематике. Задача книги – объяснить понятным языком основы Python и дать понимание необходимых инструментов для его практического использования. Всё, что рассматривается в книге, ориентировано на сетевое оборудование и работу с ним. Все примеры показываются на примере оборудования Cisco, но, конечно же, они применимы и для любого другого оборудования.
• Основы Python:
- Подготовка к работе;
- Использование Git и GitHub;
- Начало работы с Python;
- Типы данных в Python;
- Создание базовых скриптов;
- Контроль хода программы;
- Работа с файлами;
- Полезные возможности и инструменты.
• Повторное использование кода:
- Функции;
- Полезные функции;
- Модули;
- Полезные модули;
- Итераторы, итерируемые объекты и генераторы.
• Регулярные выражения:
- Синтаксис регулярных выражений;
- Модуль re.
• Запись и передача данных:
- Unicode;
- Работа с файлами в формате CSV, JSON, YAML.
• Работа с сетевым оборудованием:
- Подключение к оборудованию;
- Одновременное подключение к нескольким устройствам;
- Шаблоны конфигураций с Jinja2;
- Обработка вывода команд TextFSM.
• Основы объектно-ориентированного программирования:
- Основы ООП;
- Специальные методы;
- Наследование.
• Работа с базами данных:
- Работа с базами данных.
• Дополнительная информация:
- Модуль argparse;
- Форматирование строк с оператором %
- Соглашение об именах;
- Подчеркивание в именах;
- Проверка заданий с помощью утилиты pyneng;
- Проверка заданий с помощью pytest.
• Продолжение обучения:
- Написание скриптов для автоматизации рабочих процессов;
- Python для автоматизации работы с сетевым оборудованием;
- Python без привязки к сетевому оборудованию.
#Книга
🏳 CTF chall write-ups, files & scripts.
• CTF — один из наилучших методов приобрести необходимые навыки взлома различных систем или получить уникальные знания в различных аспектах информационной безопасности.
• По ссылке ниже можно найти очень полезным репо, который содержит в себе актуальные инструменты, скрипты, платформы и видеоматериал по прохождению CTF. Сохраняйте в избранное и пользуйтесь:
➡️ https://github.com/Crypto-Cat/CTF
#CTF
🧩 По полочкам. Кэширование.
• Логически кэш представляет из себя базу типа ключ-значение. Каждая запись в кэше имеет “время жизни”, по истечении которого она удаляется. Это время называют термином Time To Live или TTL. Размер кэша гораздо меньше, чем у основного хранилища, но этот недостаток компенсируется высокой скоростью доступа к данным. Это достигается за счет размещения кэша в быстродействующей памяти RAM. Поэтому обычно кэш содержит самые “горячие” данные.
• Если тема для вас показалось интересной, то вот очень объемная статья о том, как работает кэширование. Всё по полочкам, с картинками и примерами.
➡️ https://pikuma.com/blog/understanding-computer-cache
#cache
👾 Эпический баг прошлого: очень умный ксерокс!
• Как вам ксерокс, который при копировании заменяет цифры в оригинале? Вам кажется, что такое невозможно? К сожалению, в современной гонке за оптимизацией алгоритмов работы офисной техники такой фантастический вариант стал реальностью.
• Мы привыкли к тому, что ксерокс, хоть и технологичное устройство, но в общем его функции достаточно банальны — сделать копию с оригинала. Интуитивно мы предполагаем, что ксерокс работает как связка сканера с принтером: отсканировали изображение, получили картинку и отправили её на принтер. Именно так, видимо, и работали ранние ксероксы.
• Но устройства усложнялись, появились МФУ, в которых уже была встроена довольно сложная программная начинка. Видимо, в этом и заключалась причина ошибки, которую в 2013 году обнаружил немец Дэвид Крисель в МФУ фирмы Xerox.
• Совершенно случайно Дэвид заметил, что при ксерокопировании некоторых документов с цифрами устройство периодически заменяло цифру «6» на «8», а цифру «2» на «1». Согласитесь, что это крайне странное поведение для ксерокса. Тем более, что в нём был отключён алгоритм распознавания текста и пользователь выполнял простое ксерокопирование.
• Оказалось, что в устройстве использовался алгоритм компрессии графики JBIG2. Этот алгоритм фактически выполняет распознавание текста и заменяет графическое изображение на символы. При появлении схожих символов алгоритм подбирал им замену из библиотеки уже распознанных букв и цифр.
• Понятно, что распознавание текста позволяет существенно сжать исходный файл. Другой вопрос, зачем этот алгоритм применялся при простом ксерокопировании. Интересно, что при недостаточном качестве сканирования алгоритм может заменить ещё и «2» на «7» или даже «1» на «3».
• Компания Xerox повела себя аналогично Intel — не сразу признала свою ошибку. Поупиравшись какое-то время, Xerox всё-таки выпустили обновлённую прошивку для своих устройств. Но многочисленные пользователи должны её скачать и установить, а это делают далеко не все.
• Кроме того, этот же алгоритм используется не только в большинстве современных устройств фирмы Xerox, но и в устройствах и программах других фирм. Так что проверяйте свои ксерокопии...
#Разное
Критическая уязвимость в Kubernetes может привести к несанкционированному доступу по SSH к виртуальной машине, на которой запущен образ, созданный с помощью Kubernetes Image Builder.
Согласно рекомендациям по безопасности, критическая уязвимость затрагивает образы виртуальных машин, созданные с помощью поставщика Proxmox в Image Builder версии 0.1.37 или более ранней.
Проблема отслеживается как CVE-2024-9486 и обусловлена использованием учетных данных по умолчанию, которые включены в процессе создания образа и не отключаются впоследствии.
Злоумышленник, зная об этом, может подключиться по SSH-соединению и использовать эти учетные данные для получения доступа с привилегиями root к уязвимым виртуальным машинам.
Решением является пересборка затронутых образов виртуальных машин с помощью Kubernetes Image Builder версии v0.1.38 или более поздней, который устанавливает случайно сгенерированный пароль во время процесса сборки, а также отключает учетную запись сборщика по умолчанию.
Если в данный момент обновление невозможно, временным решением является отключение учетной записи сборщика с помощью команды: usermod -L builder.
Более подробную информацию о мерах по смягчению последствий и о том, как проверить, затронута ли ваша система, можно найти на GitHub.
Причем та же проблема характерна и для образов, созданных с помощью Nutanix, OVA, QEMU или raw, но она имеет средний уровень серьезности из-за дополнительных требований для успешной эксплуатации.
Уязвимость также идентифицирована как CVE-2024-9594.
В частности, она может быть использована только в процессе сборки и требует, чтобы злоумышленник получил доступ к виртуальной машине, создающей образ, и выполнил определенные действия для сохранения учетных данных по умолчанию, что позволит получить доступ в будущем.
Те же самые рекомендации по исправлению и смягчению последствий применимы и к CVE-2024-9594.
🔐 Шифруем данные. Часть 2.
• Еще немного про шифрование. Кашу маслом не испортишь, как не испортишь безопасность шифрованием. Но так ли это и на что еще обратить внимание, когда шифруешь файлы?
• Первое правило клуба шифровальщиков: никому не говори о клубе шифровальщиков. Ну кроме того, кому ты собираешься передать данные. Он то должен знать. Поэтому нужно шифровать все важные данные, которые вы передаете по открытой сети. Все дело в доверии. Доверяете ли вы Телеге? А Гуглу? А Протону? Никто не мешает нашим любимым операторам связи одной рукой устанавливать P2P соединение и называть это анонимностью, а другой – читать наши переписки. Бэкдоры они такие. Чтобы ваши данные попали в руки третьих лиц – шифруйте содержимое.
• Используйте ключевые файлы. Это как абсолютно надежный ключ от двери. Без него, даже зная пароль, архив не откроешь. Даже квантовым компьютером. Даже квантовым компьютером с паяльником. Его обычно транспортируют отдельно от архива. Создается этот ключ самой VeraCrypt. Вы можете выбрать его длину (в том числе случайную), а также количество. Хоть один, хоть сто, хоть двести. И спрятать можно его где угодно: ему можно присвоить любое расширение.
• Используйте PIM. Считайте, это дополнительный ПИН-код для вашего архива. Если шагнуть в сторону от математики, используя PIM нужно не только угадать ваш пароль, но и повторить его определенное количество раз. Это как если бы дверь открывали не всем, а только тем, кто стучит четыре раза в ля-бемоле. Штука удобная и крайне полезная. Взломостойкость повышается в разы. Быстродействие, конечно, падает, но если архив не терабайтный, то вы этого не особо заметите.
• Так что шифруйте, и да пребудет в сами сила криптографии!
#Криптография #VeraCrypt #PIM
Исследователь HaxRob из Doubleagent сообщает об обнаружении новой версии вредоносного ПО FASTCash для Linux, которая помогает красть деньги из банкоматов, заражая платежные системы финансовых учреждений и обеспечивая снятие наличных.
Все задокументированные предыдущие версии FASTCash были нацелены на системы Windows и IBM AIX (Unix) в отличие от новой, нацеленной на дистрибутивы Ubuntu 22.04 LTS.
Впервые о схеме по обналу через банкоматы FASTCash поведала CISA еще в декабре 2018 года, приписав эту деятельность северокорейской хакерской группе, известной как Hidden Cobra.
При этом злоумышленники использовали FASTCash в своих операциях как минимум с 2016 года, похищая десятки миллионов долларов за каждый инцидент в ходе синхронизированных атак с снятием наличных через банкоматы в 30 и более странах.
Позже в 2020 году американские спецслужбы вновь стали рапортовать об угрозах активицизации деятельности FASTCash 2.0, связав дейчтельность с APT38 (Lazarus).
Год спустя в отношении трех граждан Северной Кореи, причастных к реализации схем, были выдвинуты обвинения в хищении более 1,3 млрд долларов из финансовых организаций по всему миру.
Новейший вариант ПО был впервые представлен VirusTotal в июне 2023 года и имеет большое функциональное сходство с предыдущими версиями для Windows и AIX.
Он поставляется в виде общей библиотеки, которая внедряется в запущенный процесс на сервере-коммутаторе платежей с помощью системного вызова «ptrace», подключая его к сетевым функциям.
Коммутаторы выступают посредниками, обеспечивающими связь между банкоматами/терминалами PoS и центральными системами банка, маршрутизируя запросы на транзакции и ответы.
Вредоносная ПО перехватывает и манипулирует транзакционными сообщениями ISO8583, используемыми в финансовой отрасли для обработки дебетовых и кредитных карт.
В частности, вредоносное ПО нацелено на сообщения, касающиеся отклонения транзакций из-за недостатка средств на счете держателя карты, и заменяет ответ «отклонить» на «одобрить».
Поддельное сообщение также содержит случайную сумму денег в размере 350–875 долларов США для авторизации запрошенной транзакции.
После того, как модифицированное сообщение отправляется обратно в центральные системы банка с кодами одобрения (DE38, DE39) и суммой (DE54), банк пропускает транзакцию, а дроп снимает наличные в банкомате.
На момент обнаружения Linux-версия FASTCash не детектировалась на VirusTotal, что означает, что она могла обойти большинство стандартных средств безопасности, что позволяло злоумышленникам беспрепятственно выполнять транзакции.
HaxRob также предупреждает, что сентябре 2024 года на VT была представлена новая версия для Windows, что свидетельствует об активной работе хакеров по совершенствованию своего арсенала.
⚙ Privacy tools.
• В современных условиях сохранение анонимности и приватности становится редкой привилегией для избранных — богатых или технически подготовленных граждан, которые могут поднять свой сервер и VPN, умеют настроить #Linux, шифровать файлы, использовать менеджеры паролей, браузер Tor и так далее.
• Но право на безопасные и приватные коммуникации должно соблюдаться в отношении не только техноэлиты, но и обычных людей.
• Приватность — безусловное право человека. Если какое-то отдельное государство пытается ограничить это право для своих граждан, то граждане могут сделать соответствующие выводы.
• По ссылке ниже можно найти полезные инструменты, которые помогут сохранить вашу конфиденциальность и приватность:
➡ https://github.com/cqcore/Privacy-Infosec-Tools-Resources
#Приватность #Tools
🖥 Жизнь после мейнстрима: WEP.
• WEP - это алгоритм шифрования, который активно использовался в старых стандартах беспроводных сетей Wi-Fi. Он появился в конце 1990-х годов и за прошедшие десятилетия не раз был объектом внимания в скандалах, связанных со взломом. Первые данные об уязвимостях были опубликованы еще в 2000 году.
• Есть мнение, что именно эта шумиха препятствовала развитию беспроводных сетей в компаниях — слишком силен был стереотип, что данные «по воздуху» передавать не безопасно.
• Хотя у WEP есть модификация, поддерживающая длинный ключ, с существующими вычислительными мощностями и большим количеством «дыр» в самом алгоритме для его взлома достаточно нескольких минут, поэтому в Wi-Fi рекомендуется использовать альтернативный алгоритм (WPA). Эта рекомендация появилась в 2004 году и с того момента WEP официально признан устаревшим.
• Проблема в том, что WEP-шифрование спустя 18 лет все еще поддерживается огромным количеством устройств, а некоторая старая техника не знает никакой альтернативы. По статистике, WEP-шифрование все еще используют около 3% устройств в мире. Так что стандарт все еще в строю, несмотря на почти два десятилетия антирекламы.
• На фоне других устаревших стандартов WEP очень живуч. Но определенные шаги к отказу от него все-таки выполняются. Например, Microsoft объявила о прекращении поддержки WEP-шифрования в Windows 11 (а вместе с ним и техники, которая не поддерживает ничего иного, кроме WEP и TKIP).
#Разное
☝ Факты о Linux. Часть 2.
• Знаете ли вы, что Linux побывал на Марсе? Операционная система Linux была использована в марсоходе Perseverance от NASA, который успешно приземлился на Красную планету в феврале 2021 года. Этот марсоход, оснащенный по последнему слову техники, включает в себя вычислительный модуль на базе процессора PowerPC 750 с тактовой частотой 200 МГц под управлением ОС Linux. Специально адаптированная версия дистрибутива Linux обеспечивает работу всех бортовых систем марсохода, включая управление, навигацию, сбор и анализ научных данных.
• Выбор Linux для столь ответственной миссии не случаен. Открытость исходного кода, возможность модификации и проверки системы, а также высокая стабильность и надежность Linux стали решающими факторами.
• Помимо космических далей, Linux успешно применяется и в земных высокоскоростных транспортных системах. Знаменитые японские поезда-пули (на фото) используют Linux для управления системой автоматического контроля и безопасности движения.
• Центральная система управления движением поездов построена на базе кластера серверов под управлением Linux. Эта система в реальном времени отслеживает местоположение всех поездов, контролирует скорость, расписание и интервалы движения, а также управляет стрелочными переводами. От надежности и быстродействия этой системы зависят жизни тысяч пассажиров: поезда-пули движутся со скоростью до 320 км/ч и перевозят более 150 миллионов человек в год.
• Интересно, что компания-оператор японских железных дорог JR Group не только использует Linux в своих системах управления, но и активно участвует в разработке самого ядра Linux. Специалисты JR Group регулярно отправляют патчи и улучшения в основную ветку ядра, тем самым внося свой вклад в развитие Linux в целом.
• В общем и целом, Linux прекрасно подходит для применения в критически важных системах реального времени, где требуется высочайший уровень надежности и быстродействия. Вот такие вот факты...
#Разное #Linux
🕊 Голубиная почта.
• Автор YouTube-канала Джефф Гирлинг провёл необычный эксперимент. Он прикрепил три флэш-накопителя SanDisk Extreme PRO ёмкостью 1 ТБ к почтовому голубю и отправил его в канадский центр обработки данных. Энтузиаст утверждает, что голубь смог передать 3 ТБ данных на расстояние до 800 км быстрее, чем гигабитная оптоволоконная сеть.
• По словам блогера, интернет-провайдеры, как правило, позиционируют широкополосные интернет-соединения как предлагающие гигабитные скорости. Таким образом, данные должны передаваться со скоростью не менее 125 МБ/с, но у ютубера этот показатель не превышал 75 МБ/с.
• При этом голубю потребовалась минута, чтобы добраться до места назначения, которое находилось в 1,6 км от него. Герлинг добавил к этому показателю время, необходимое для переноса данных с флэш-накопителей в локальное хранилище, и сравнил его с передачей 3 ТБ данных через интернет-соединение.
• Он обнаружил, что перенос 3 ТБ на расстояние примерно до 800 км с помощью голубя займёт меньше времени. Затраченное время зависит от расстояния, которое голубю придётся преодолеть, тогда как на передачу данных через Интернет Герлингу потребовалось 10 часов и 54 минуты.
• В 2009 году южноафриканская фирма провела аналогичный эксперимент с голубем и накопителем ёмкостью 4 ГБ, сравнив его скорость с показателями самого быстрого интернет-провайдера Telkom. Компании удалось передать данные с помощью голубя на расстояние 96,5 км за 1 час и 8 минут, в то время как службе провайдера удалось выполнить только 4% загрузки.
#Разное
👩💻 Powershell для пентестера.
• Интересный набор быстрых команд на Powershell:
- Захват нажатий клавиш;
- Извлечение профилей и паролей Wi-Fi;
- Извлечение сохраненных паролей браузера;
- Работа с сетью и выгрузка конфигураций;
- Выгрузка системной информации;
- Подробная выгрузка информации запущенных процессов;
- Доступ к журналам событий;
- Выполнение скриптов с указанного URL-адреса;
- Мониторинг изменений файловой системы;
- Отключение Защитника Windows....
➡️ https://redteamrecipe.com/powershell-tips-tricks
#Powershell
Исследователи F.A.C.C.T. во второй половине сентября 2024 года задетектили атаку на российскую компанию с использованием ранее неизвестного Mythic-агента, написанного на PowerShell.
Обнаруженный агент получил название QwakMyAgent, поскольку после получения команды для завершения работы, он отправляет уникальную строку Qwak! на C2.
QwakMyAgent - это модульный агент Mythic, который выполняет команды от C2, взаимодействуя с ним через зашифрованные в BASE64 запросы, реализуя сбор данных с зараженных систем, выполнение PowerShell-команд и отправку результатов на сервер.
Причем, если агент не смог выполнить подключение к С2 заданное количество раз, агент начнет выполнять попытки подключения к следующему C2-адресу.
В случае успешной регистрации, процесс исполнения агента переходит к цикличному опросу C2 для получения и выполнения команд.
Изначальный вектор заражения остается неизвестным, но после компрометации хост-систем администраторов злоумышленники подключаются через системную службу WinRM и выполняют доступные по URL-ссылкам HTA-сценарии с помощью системной утилиты mshta.exe.
HTA-сценарий в контексте своего исполнения создает два файла desktop.js и user.txt путем выполнения cmd.exe команд.
Первый - это JavaScript-сценарий, который выполняет запуск PowerShell-сценария, расположенного в файле user.txt, который, в свою очередь, реализует загрузку и запуск следующей стадии с удаленного узла - вредоносного ПО QwakMyAgent.
В ходе исследования был найден дополнительный PowerShell-сценарий, который доставлялся на зараженную систему аналогичным QwakMyAgent способом.
Однако, в отличие от агента, данный сценарий имеет иные функциональные возможности.
В связи с тем, что тип запроса к C2, выполняемый сценарием, соответствует тем, которые выполняются в модулях команд QwakMyAgent, ресерчеры полагают, что данный сценарий может являться интерпретацией одной из команд, получаемых от сервера.
Подробности атаки и индикаторы компрометации — в отчете.
👩💻 60 Linux Commands.
• Отличный видеоматериал, который содержит описание и примеры команд Linux для начинающих: https://youtu.be/gd7BXuUQ91w
#Linux
📶 How Container Networking Works: a Docker Bridge Network From Scratch.
• Вероятно, что это самое понятное руководство, которое описывает работу контейнеров с сетью. Слева читаете, копируете команды, а справа наблюдаете за консолью:
➡️ https://labs.iximiuz.com/tutorials/container-networking-from-scratch
#Docker #Сети
Новое исследование BI.ZONE показывает, как злоумышленники пытаются пройти мимо систем защиты, экспериментируя с малопопулярными инструментами.
Злоумышленники часто используют такие фреймворки постэксплуатации, как Cobalt Strike, Metasploit, Sliver.
В последние месяцы наряду с этими средствами в атаках встречается менее популярный инструмент - Havoc.
По мнению специалистов, группировки все чаще пытаются обойти средства защиты, которые могут не детектировать активность малоизвестного ПО как вредоносную.
Например, таким образом действовала Mysterious Werewolf, используя в одной из кампаний фреймворк Mythic.
При этом благодаря широте поверхности атаки фишинговые электронные письма остаются наиболее популярным средством получения первоначального доступа.
В новом отчете исследователи BI.ZONE рассмотрели несколько наблюдаемых кампаний, в которых злоумышленники применяли Havoc Framework.
Атаки построены по одному сценарию: жертва получает фишинговое письмо с документом-приманкой и вредоносным LNK.
При открытии второго файла запускался процесс, который приводил к внедрению в систему имплантата Havoc Framework.
Havoc включает в себя широкий спектр модулей для пентестеров и хакеров, позволяющий выполнять команды и шелл-код в системе, управлять процессами, загружать дополнительные данные, манипулировать токенами Windows.
Все это делается через панель управления, позволяющую видеть все скомпрометированные устройства, события и выходные данные задач.
Подробный разбор кампаний и IoC - в отчете.
