1. Брутфорс аккаунта
- прямой (безлимит)
- горизонтальный
- cred stuffing
2. Брут пинкодов
- брут в “лоб”
- брут с ротацией IP
- запрашиваем от 1+кк аккаунтов код и пробуем один и тот же код
3. восстановление акков
- подмена хоста на восстановлении
- смена пароля или емейла без CSRF
- раскрытие токена при восстановлении акка
4. oauth
- привязка без CSRF (state)
5. мобилки
- одинаковая схема
6. session confusion
7. cache deception
8. логические баги (слушайте эфир)
9. доп скопы в oauth
10. юз одного токена к чужому акку

На прошлой неделе у PortSwigger вышел неплохой материал для любителей поковыряться в OAuth2 и OIDC. Рассмотрены три новые уязвимости для демонстрации которых используются опенсорсные реализации OAuth и OpenID Connect — ForgeRock OpenAM и MITREid Connect.

> https://portswigger.net/research/hidden-oauth-attack-vectors

Для большего погружения в тему работы OAuth/OIDC, их реализации, известных атак и безопасности:

https://portswigger.net/web-security/oauth
https://portswigger.net/web-security/oauth/openid
https://www.polarsparc.com/xhtml/OAuth2-OIDC.html
https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1
https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html

​На правах рекламы:
VMware приглашает принять участие в обучающих вебинарах.

Если вы еще думаете, что VMware это про виртуализацию — вы сильно заблуждаетесь, портфель компании давно включает решения в области сетей, информационной безопасности, мониторингу и запуску приложений, облачных технологий, миграции, организации удаленной работы и пр.

Каждый вторник и четверг с 16 марта по 1 июня, в 11:00 по МСК, на вебинарах VMware будут рассказывать:

• какие новые технологии в области виртуализации и информационной безопасности нас ждут;
• про организацию сети предприяти и подход реализации ИБ в SDDC;
• какие инструменты есть у VMware для управления частными и гибридными облаками;
• почему важно следить за использованием ресурсов и при чем здесь инструменты IaC;
• как оптимизировать работу удаленных сотрудников с популярными SaaS сервисами (Teams, Office, *-Drive).

Участие бесплатно, а программу вы можете гибко выбирать под себя и посещать только те вебинары, которые вам интересны.

Общая информация | Регистрация: 1 Часть и 2 Часть

​Делать Infrastructure-as-code (IaC) сейчас модно, главное предварительно ознакомиться с лучшими практиками и не забыть подумать о безопасности. Для последнего существует несколько бесплатных утилит, как для конкретного решения, так и комплексных (например checkov).

Компания Checkmarx, многим известная своим SAST решением для  анализа исходного кода, тоже решила сделать вклад в комьюнити и выпустила собственное opensource решение для статического анализа конфигураций — Keeping Infrastructure as Code Secure (KICS).

Поддерживает: Terraform, Kubernetes, Docker, Ansible, Helm и AWS CloudFormation.

А еще есть неплохая документация и запланированный на 15 апреля вебинар, где обещают рассказать о решении подробнее.

KICS > https://www.checkmarx.com/opensource/kics/
Docs > https://docs.kics.io
Git > https://github.com/Checkmarx/kics
Webinar > https://register.gotowebinar.com/register/3720624616764432144

Article:
Новые взломы на Pwn2Own 2021: побеждены Ubuntu Desktop, Windows 10, Zoom и кое-что еще
> https://habr.com/ru/company/selectel/blog/550182/

Открытое письмо Дениса Баранова исследовательскому сообществу: «Наши ключевые ценности – открытость информации и знаний для сообщества, ответственный подход к разглашению при исследовании систем на наличие уязвимостей и практический подход к кибербезопасности».

На правах рекламы:

Модель безопасности, основанная на нулевом доверии (Zero Trust), продолжает набирать популярность при построении архитектуры и процессов ИБ. Каждый пользователь или устройство должны подтверждать свои данные всякий раз, когда они запрашивают доступ к ресурсу внутри или за пределами сети.

Компания Cisco не осталась в стороне и предлагает собственное облачное решение Cisco Duo, которое уже официально продается в России.

• Удобная многофакторная аутентификация (MFA).
• Аудит устройств (в том числе и BYOD) перед получением доступа к данным.
• Гибкие политики для пользователей и приложений, позволяющие снизить риск нежелательного доступа к ПО и данным вашего бизнеса.
• SSO для всех ваших сервисов и пр.

Компания Инфосэл предлагает вам попробовать, как Cisco Duo поможет решить ваши задачи, и предоставляет 30 дней бесплатно.

Использовать пробную версию Cisco Duo с полной функциональностью и узнать о платформе подробнее можно здесь.

​Партнерский пост:

⚡️ 26 мая состоится масштабное мероприятие по внутренним угрозам корпоративной безопасности — Форум DLP+

Подробности: https://dlp-forum.ru/

❗️ Форум охватит не абстрактные тренды, а практические способы решения наболевших проблем служб информационной, экономической и собственной безопасности

📅 За один день посетители форума познакомятся как с актуальными технологиями, так и с практическими методами защиты компании от внутренних угроз и научатся с их помощью решать потребности бизнеса:

✔️ Информационная безопасность
✔️ Экономическая безопасность
✔️ Кадровая безопасность

🆓 Участие бесплатное для представителей органов государственной власти, финансовых организаций, компаний ТЭК, промышленности, транспорта, ритейла

✅ Регистрация: https://dlp-forum.ru/registration/

Ребята из Яндекса в рамках Positive Hack Days рассказали, как они повышают ИБ-осведомленность своих сотрудников, начиная от мемов, которые размещают в офисных кофе-поинтах и заканчивая обучающей платформой для поиска багов в коде. Последнюю кстати выложили в открытый доступ и на GitHub. Говорят было бы круто, если бы вы помогли в развитии и использовали их наработки у себя, например дописав тесты под свои языки и сценарии.

http://securitygym.ru
https://github.com/yandex/securitygym

​Эту неделю очень хочется начать с минутки мотивации, которой в последнее время мне не хватает чтобы регулярно вести канал.

Знакомьтесь, Кельвин Сиу (Kelvin Siu) из Гонконга, который за 12 месяцев получил 14 сертификаций. Пусть набор сертификатов странный, кажется Кельвин решил не мелочиться и сложить все яйца в одну корзину, но факт, что парень просто взял и за год закрыл такой объем сертификаций, малую часть которого многие закрывают годами.

Если вдаваться в детали, конечно там не так все просто — у него уже было 7 лет опыта в индустрии, а подготовка заняла куда больше времени, чем сама сдача (по 2-3 месяца подготовки на каждый экзамен). Судя по linkedin работает Кельвин аудитором в компании из большой четверки, а зная какие там бывают нагрузки мне вся ситуация кажется вообще легендарной.

Предлагаю порадоваться за Кельвина и пойти работать. Усерднее(!). Всем хорошей недели.

https://www.linkedin.com/pulse/thank-you-all-support-here-answers-your-questions-kelvin-siu/

Если вы еще не интегрировали MITRE ATT&CK в свои процессы, вот вам отличный повод еще раз понять, как применять фреймворк на практике — CISA выпустило свое краткое руководство, где с помощью общих инструкций и на примере трояна TrickBot показали как работать с MITRE ATT&CK и сопоставить поведение злоумышленника.

https://us-cert.cisa.gov/sites/default/files/publications/Best%20Practices%20for%20MITRE%20ATTCK%20Mapping.pdf

Кто пропустил, вчера Microsoft выкатила июньские обновления безопасности в рамках Patch Tuesday.

Коротко обзор:
[RU] https://news.microsoft.com/ru-ru/update-tuesday-microsoft-security-updates-jun2021/
[EN] https://krebsonsecurity.com/2021/06/microsoft-patches-six-zero-day-security-holes/

​Идея обучения своих сотрудников вопросам ИБ не является чем-то новым, но последнее время стремительно набирает популярность.

Поэтому в рамках этого партнерского материала хочу вам рассказать про своих знакомых из компании Secure-T, которые мне предложили разыграть среди подписчиков бесплатную проверку социалкой на 150 человек.

Ребята не первый год на рынке и уже обучают и тестируют более 10 тысяч сотрудников крупных организаций.

Вот немного статистики из их последних двух фишинговый рассылок:
1-й кейс — 46% сотрудников перешли по ссылке в открытом письме, а 14% ввели свои учетные данные в поддельные формы;
2-й кейс — 50% сотрудников перешли по ссылке в письме, а 28,5% ввели свои учетные данные в поддельные формы.

В рамках проверки они подготовят фишинговые шаблоны и проверят знания сотрудников в вашей организации. По завершении работ вам будет предоставлен отчет.

Условия для участия простые:
1. Быть подписанными на канал
2. Тыкнуть на кнопку «Я участвую»

Тянуть не будем, розыгрыш состоится уже в эту пятницу, результаты будут в 19:00. С победителем розыгрыша я дополнительно свяжусь.

Ну а для тех, кто хочет побольше узнать о деятельности ребят:
Сайт компании: https://secure-t.ru/
Сайт продукта: https://edu.secure-t.ru/

Для участия в розыгрыше нажмите на «Я участвую»

В Kaspersky решили не мелочиться и сделать VR игру для знакомства топ-менеджмента с рисками ИБ.

Такой Standoff на минималках)

https://www.kaspersky.com/blog/vr-interactive-simulation/40188/

Вообще идея создания подобной карточной ИБ-игры преследует меня уже давно. Хочется и чтобы на конференциях можно было зарубиться, и не погруженным в мир ИБ было интересно. Мы с другом даже делали прототип, но дальше тестов к сожалению ничего не уехало :(

На самом деле там не все так просто

До начала юбилейной, десятой ZeroNights осталось всего 19 дней!

По традиции посетителей будет ждать насыщенная техническая программа со знакомыми многим Defensive Track, Web Village и Hardware Zone.

В этот раз ребята выбрали новый формат — все активности будут пр­ходить на свежем воздухе в фор­мате open-air, а в случае непогоды участников будут ждать кры­тые три­буны. Место встречи — пространство «Севкабель Порт» в Петербурге.

Программа каждой из секций уже на сайте > https://zeronights.ru/program/

See you soon!

​Партнёрский материал

Эксперты из Solar JSOC завтра проведут вебинар, на котором расскажут, кто и что угрожает российским организациям — субъектам КИИ.

По данным центра, интерес к промышленным, энергетическим и другим компаниям, которые относятся к субъектам КИИ, за последний год многократно вырос, при этом каждая 10-я организация в России уже скомпрометирована различными семействами ВПО.

В программе вебинара:

1. Обзор уязвимостей, которые чаще всего встречаются на внешнем периметре инфраструктур организаций – субъектов КИИ
2. Результаты внешних и внутренних пентестов, проведенных командой Solar JSOC
3. Особенности ВПО, популярного среди злоумышленников, атакующих субъекты КИИ
4. Методы защиты

Спикер — руководитель направления аналитики внешних угроз Solar JSOC компании «Ростелеком-Солар» Александр Ненахов

Дата и время: 15 июня, 14:00

Участие в вебинаре бесплатное.

Регистрация