Для тех, кто хочет обмазаться криптой... https://cryptohack.org/

​​Если по работе вам приходится анализировать огромные дампы трафика (та еще боль) или работать с журналами безопасности с Zeek, попробуйте Brim — удобный анализатор трафика, позволяющий за секунды переваривать огромные (4 GB+) дампы трафика, на которые у wireshark или tshark ушли бы минуты. А его возможность работы с журналами Zeek лишь добавляет ему привлекательности.

Удобная фильтрация, экспорт нужного стрима в отдельный файл, профилирование трафика (JA3 и HASSH) и пр.

Git: https://github.com/brimsec/brim
Хорошее overview: https://www.youtube.com/watch?v=InT-7WZ5Y2Y

#reverse

1. Релиз radare2-4.4 — новая версия бесплатного фреймворка для реверса, с общими фиксами и улучшением производительности. Ждем обновление для Cutter >  https://github.com/radareorg/radare2/releases/tag/4.4.0

2. 8-ми часовой курс по базовой форензике, который в период пандемии вместо $495 сейчас раздают бесплатно (подглядел у @in51d3). Курс на английском и будет открыт до 15 мая, так что сильно не откладывайте, 8 часов не так много > https://www.autopsy.com/support/training/covid-19-free-autopsy-training/

3. А еще случайно наткнулся на Youtube-канал одного русского программиста с никнеймом S0ER, где можно найти много полезных видео для начинающих и не только реверсеров, хочется отдать должное и поблагодарить за труд, в рунете не много подобных проектов > https://www.youtube.com/channel/UCe_TcJarfs-HKy3NySy8Kng/videos

Дошли уши до нового подкаста Мимокрокодил, который появился как мне кажется благодаря пандемии, потому что ребята в условиях удаленной работы начали креативить, в общем рекомендую к прослушиванию.

Пилотный выпуск посвящен BugBounty: ребята обсудили особенности BB, болячки платформ типа h1/bugcrowd и подняли актуальную проблему — почему чаще всего bugbounty ассоциируется с h1 и вебом, меньше с appsec и совсем редко с чем-то еще, хотя казалось бы должна закрывать и другие направления в ИБ.

Пожелаем авторам не останавливаться на 3-4 выпусках :)

Яндекс.Музыка | Apple.Podcasts | SoundCloud

Ребята из Guardicore разобрали уязвимость прошлого четверга (CVE-2020-3952) в VMware vCenter 6.7, которая позволяет получить доступ к vCenter с помощью создания привелигированного пользователя VMware. Проблема кроится в службе каталогов VMware Directory Service (vmdir).

В материале описан полный цикл эксплуатации CVE-2020-3952, а также приложен свеженький POC.

Уязвимы vCenter Server 6.7, которые были обновлены с 6.0 или 6.5. Установленный с нуля 6.7 уязвимости не подвержен.

> https://www.guardicore.com/2020/04/pwning-vmware-vcenter-cve-2020-3952/
> https://www.vmware.com/security/advisories/VMSA-2020-0006.html

Материал про использование последовательностей ANSI/VT для обмана терминала

$ echo -e '#!/bin/sh\n\necho "evil!"\nexit 0\n\033[2Aecho "Hello World!"\n' > script.sh
$ chmod 700 script.sh
$ cat script.sh
$ ./script.sh

https://www.infosecmatter.com/terminal-escape-injection/

Если вдруг кто-то прямо сейчас думает или уже готовится к сдаче OSCP и ему не хватает немного уверенности (бывает хочется помучить коллегу или где-нибудь почитать об успешных кейсах, чтобы добавить себе уверенности), так вот на хабре появился неплохой пост о пути к сдаче OSCP, подготовке к нему, и наконец успешной сдаче.

> https://habr.com/ru/company/acribia/blog/497806/

Ребята в прямом эфире рассказывают про атаки на интерфейс USB. Отличный вариант разнообразить воскресенье 🙂

https://www.youtube.com/watch?v=0bMxAdq1adc

​​Небольшое исследование на тему популярности security.txt спустя 3 года после его появления.

Кто не в курсе это .well-known файл, позволяющий в кратчайшие сроки найти способ связаться с службой ИБ исследуемого домена для обсуждения вопросиков.

Если коротко — пока все плохо, но постепенно ситуация начинает улучшаться. Исследователь проанализировал около миллиона сайтов на предмет наличия security.txt, включая различные поля и, например, на топ 1000 сайтов приходится только 10% соответствующих.

https://community.turgensec.com/security-txt-progress-in-ethical-security-research/

Понятно, что на сегодняшний день security.txt не успел стать стандартом со всеми вытекающими и еще находится на стадии интернет-проекта, но ничего не мешает уже сейчас делать интернет чуточку безопаснее и прозрачнее.

Короче JUST DO IT > https://securitytxt.org/

Есть такой проект OSS-Fuzz от Google, платформа непрерывного фазинга, куда Google приглашает проекты с открытым исходном кодом и позволяет искать уязвимости, баги и сообщать о них непосредственно разработчикам.

С момента запуска OSS-Fuzz найдены тысячи уязвимостей, и их количество только увеличивается, естественно многие из них даже не имеют никакого CVE идентификатора, и лишь сотни из них по-настоящему исправляются, большинством никто даже не занимается. Проблема усложняется тем, что для категоризации работы OSS-Fuzz требуется слишком много ресурсов: не все найденные проблемы опасны, и не на все в результате получат CVE и какие-либо исправления.

Этот вопрос сообществу еще предстоит решить, но для проблем, на которые все же обратили внимание, и они стали публичными, есть рекомендации по исправлению.

Короче, ребята из Vulners анонсировали, что интегрировали OSS-Fuzz и теперь можно проверять конкретные версии используемых в разработке пакетов/библиотек на наличие в них известных проблем с безопасностью.

https://vulners.blog/2020/04/17/ossfuzz-from-vulners/

Очень красивый бесплатный курс по OWASP Top 10 с элементами геймификации.

https://application.security/free-application-security-training

Для любителей пострелять по своим веб-сервисам и приложениям делюсь своей подборкой средств для нагрузочного и стресс-тестирования.

Каждый инструмент имеет свои плюсы и минусы, и честно признаться не с каждым мне удалось поработать, поэтому рекомендовать что-то конкретное сложно, но когда есть выбор каждый может найти себе инструмент под необходимую задачу :)

https://yandex.ru/dev/tank/ [Tool | Free]
https://jmeter.apache.org/ [Tool | Free]
http://tsung.erlang-projects.org/ [Tool | Free]
https://gatling.io/ [Tool | Free/$]
https://k6.io/ [Tool | Free/SaaS]
https://locust.io/ [Tool | Free]
https://loader.io/ [SaaS | Free/$]
https://artillery.io [Tool | Free/$]
https://github.com/wg/wrk [Tool | Free]

​​Хм. Ресурс ZecOps опубликовал информацию о найденных уязвимостях в iOS, позволяющих с помощью отправки письма выполнить удаленное выполнение кода на устройстве жертвы. Атаке подвержены только пользователи, работающие с почтой через стандартный почтовый клиент на iOS. Проблема кроется в реализация функции MFMutableData в библиотеке MIME, которая приводит к переполнению буфера кучи.

Забавно, но как заверяют авторы материала, одна из уязвимостей предположительно эксплуатируется начиная с января 2018 еще с iOS 11.2.2 и по сей день, включая iOS 13.4.1.

Есть патч, но пока в формате бета-версии iOS 13.4.5.
Ну и как это обычно бывает на iOS, сами по себе найденные проблемы причинить вред пользователям iOS не могут т.к для получения полного доступа к устройству жертвы потребуется дополнительная ошибка в ядре и утечка информации.

Подробности: https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/

OWASP спустя 6 лет (только вдумайтесь где был вебчик 6 лет назад и сейчас!) наконец обновило свое руководство по тестированию безопасности веб-приложений — OWASP Web Security Testing Guide v4.1.

Из основного — обновили внешний вид, добавили несколько новых разделов и уже набросали план для будущей 5 версии документа. Правда несмотря на то, что сейчас документ неплохо обновили, фундаментальных изменений все таки стоит ждать только в следующей версии руководства.

https://owasp.org/www-project-web-security-testing-guide/

Компания Cisco опросила руководителей ИБ и ИТ в различных индустриях по всему миру и выпустила отчет с текущими тенденциями, рекомендациями и прогнозами на 2020 год.

Технической информации не ждите, отчет построен на базе ответов CISO, поэтому присутствует очень много бизнес-аналитики, рассуждений на тему эффективности ИБ и минимизации рисков.

В целом проблема актуальная и интересная, руководитель службы не всегда способен доносить и адаптировать свои идеи руководству, отсюда и проблема с ценностью ИБ в организациях, которая вроде как и не нужна, лучше мы нормального админа возьмем, который все настроит.

Интересно, если бы опрашивали исключительно российских CISO, такой отчет получилось бы сделать?

Ребята из Positive Technologies прямо сейчас рассказывают про внутрянку PHDays, и в частности про то, как изнутри устроен Standoff.

https://www.youtube.com/watch?v=0T6WI1Jbm9A

Все мы любим свеженькие Proof of Concepts, но часто ли мы проверяем их код перед эксплуатацией, хотя бы бегло?

Очень увлекательный материал, где исследователь выложил на GitHub несколько "фейковых" PoC под разные CVE, которые при эксплуатации во время полезной нагрузки отбивали на его C&C-Honeypot, и возвращали ответ, создавая иллюзию, что эксплуатируемый находится на уязвимом хосте.

Какого было удивление, когда интерес к PoC на GitHub начал распространяться по всему интернету, а на Honeypot посыпались первые данные. Понятно, что сработало это не для всех, но ситуация очень забавная и лишний раз демонстрирует неосторожность и некомпетентность многих представителей разноцветных шляп.

https://medium.com/@curtbraz/exploiting-the-exploiters-46fd0d620fd8

​​Релиз YARA 4.0.0

https://github.com/VirusTotal/yara/releases/tag/v4.0.0
https://yara.readthedocs.io/en/stable/

На экзамены Palo Alto PCCSA, PCNSA и PCNSE сейчас действует скидка в 50% по промокодам PANWOP50 (для нескольких экзаменов) и PANW50WEB (для одного).

Экзамен нужно запланировать до 30 июня, а сдавать можно онлайн дома при наличии камеры и микрофона, правда придется поставить еще спец. ПО, которое позволит экзаменаторам убедиться, что вы честны.

Особые умельцы сообщают, что коды можно суммировать и тем самым получить один полностью бесплатный экзамен. Стоимость PCNSE, например, составляет 160$.

https://www.paloaltonetworks.com/services/education/certification

GitHub на своей онлайн-конференции Satellite анонсировали несколько интересных нововведений.

1. Функция сканирования кода на базе CodeQL теперь может быть включена по-умолчанию, но только для открытых репозиториев.
2. Сканирование секретов (чувствительной информации) стало доступно для частных репозиториев.
3. Анонсировали GitHub Private Instances, сервис для корпоративных клиентов, позволяющий запускать инстансы GitHub у себя в частном облаке, включающие расширенные требования безопасности и комплайнса. Цен еще нет.
4. Показали бета-версию своей IDE для совместной разработки, основанную на Visual Studio Code Online - GitHub Codespaces. Пока бесплатно.
5. Анонсировали новый раздел GitHub Discussions.

Описание всех фич: https://github.blog/2020-05-06-new-from-satellite-2020-github-codespaces-github-discussions-securing-code-in-private-repositories-and-more/
Полная запись выступлений: https://githubsatellite.com/