Hack me, если сможешь

В этом выпуске поговорим со специалистами по безопасности распределённых реестров Андреем Бачуриным и Игорем Агиевичем. Вы узнаете:Как стать специалистом по безопасности блокчейна?Каковы наиболее насущные проблемы безопасности, связанные с технологией блокчейн?Что такое смарт-контракты и как они способствуют безопасности технологии блокчейн?Какую роль играет криптография в обеспечении безопасности блокчейн-сетей?Как децентрализация сетей блокчейна повышает их безопасность?Каковы последние тенденции и инновации в кибербезопасности блокчейна?Новости о блокчейне появляются постоянно. Скажу больше, громкие новости об утечках криптобирж, взломах кошельков и отмыванию криптовалюты появляются чуть ли не каждый день. И оборот средств в денежном выражении идет на сотни миллионов долларов. Уверен, что каждый из вас слышал о надежности этой технологии и о том, что за ней будущее. Но как раз такие новости порождают много вопросов. А что с безопасностью в блокчейне? И как стать тем, кто будет эту безопасность улучшать?

Сейчас большинство продуктов безопасности работают так: происходят события безопасности, и специалисты по ИБ расследуют эти события. Все продукты стремятся к высокой точности, но подозрительных действий обычно много, поэтому нужна целая команда, чтобы принимать решения по обнаружению и реагированию.Можно ли автоматизировать детектирование и действия по предотвращению инцидентов и реагированию на них? Да, именно этим занимаются ML-инженеры.Об этой профессии и пойдет речь в выпуске. Гости эпизода — руководитель отдела перспективных технологий Александра Мурзина и старший специалист отдела Артем Проничев — расскажут, как построена их работа в Positive Technologies, какие стеки технологий используются, куда можно развиваться, работая ML-специалистом в ИБ, и как попасть к ним в команду.Важные ссылки.Вакансия: https://www.ptsecurity.com/ru-ru/about/vacancy/320450/Подборка 30+ полезных материалов по ML: https://habr.com/ru/company/pt/blog/650541/Telegram: https://t.me/TheStandoffNews

Специальный и итоговый выпуск подкаста в этом году. Мы пригласили признанных экспертов по информационной безопасности для обсуждения неформальных итогов 2022 года — без цензуры и заранее согласованных вопросов!Среди участников — Алексей Лукацкий (Positive Technologies), Дмитрий Гадарь (Тинькофф Банк), Сергей Голованов (Лаборатория Касперского), Денис Горчаков (VK) и Павел Куликов (СДЭК).Смотреть https://www.youtube.com/watch?v=1Tsv1uOZ6NE

Доклад о части используемых командой PT SWARM техник и тактик, позволяющих успешно закрывать проекты по Red Team в первые недели.Рассказывает Константин Полишин, старший специалист отдела тестирования на проникновение Positive Technologies.Презентация: https://drive.google.com/file/d/1j3TfbZaDHGQNSD87VDzgOWgDieRiiMO4/viewЗапись выступления: https://www.youtube.com/watch?v=b-N8JHcFW0I

Екатерина Никулина, специалист отдела мониторинга информационной безопасности экспертного центра безопасности Positive Technologies (PT Expert Security Center), разбирает наиболее распространённые ошибки атакующих, которые приводят к быстрому и эффективному детекту командой синих.Смотреть выступление: https://www.youtube.com/watch?v=KTB6qKbVdZEПрезентация: https://drive.google.com/file/d/10jdHkYup885SoM1vLUJPTHQi0U1xhL8f/viewПодписывайтесь на наш канал в Telegram: https://t.me/TheStandoffNews

Гостем выпуска стал багхантер, который за пять лет своей деятельности нашел более сотни уязвимостей в различных соцсетях и известных интернет-сервисах вроде Slack, GitLab и даже PornHub, а также попал в зал славы Qiwi, На платформах bug bounty он известен как Circuit. Из подкаста вы узнаете, как наш герой стал этичным хакером, за что платят багхантерам и почему Circuit выбрал светлую сторону.Подписывайтесь на наш канал https://t.me/TheStandoffNewsКанал Circuit https://t.me/zaheck10 способов "угнать" аккаунт https://telegra.ph/10-sposobov-ukrast-akkaunt-11-01

Исследователи безопасности постоянно сообщают о появлении новых техник, используемых злоумышленниками. Важно отметить, что в ходе атаки злоумышленники не ограничиваются одной или двумя техниками, а применяют комбинацию разнообразных методов. Это дает защитникам множество возможностей для обнаружения атак. Более того, существует небольшой ограниченный список техник, которыми пользуются почти все злоумышленники независимо от уровня квалификации. И это дает нам возможности для обнаружения атак даже в том случае, когда данных очень мало. Олег Скулкин, руководитель лаборатории цифровой криминалистики и исследования вредоносного кода Group-IB, проанализировал этот небольшой список техник на основе реальных сценариев атак.Смотреть доклад: https://www.youtube.com/watch?v=OQTgwU4Z4kY

Информация — ценнейший ресурс для развития общества и технологий, а безопасность больших данных должна быть ключевым приоритетом для любой компании. На PHDays 11 тимлид Digital Security и пентестер Вадим Шелест познакомил участников форума с типичными ошибками администрирования, ошибками конфигурации и уязвимостями Hadoop-кластеров и его компонентов. Они позволяют злоумышленникам получить доступ к внутренней инфраструктуре Hadoop — одного из основных инструментов для анализа big data. Он рассказал: «Например, у Sparky есть забавный скрипт Dump Clouds Creds, позволяющий атакующим получить доступ во внутреннюю инфраструктуру компаний в облаках с помощью учетных данных. Необходимые данные можно прочитать из метаданных и пользовательских данных таких сервисов, как AWS и DigitalOcean. Все, что для этого требуется, — значения AccessKey, SecretAccessKey и, если речь идет об Amazon, токен». Смотреть доклад 

В докладе будет освещен опыт применения моделей GAN для генерации различных векторов атак в контексте внедрения SQL-кода. Предлагаемый подход позволяет находить возможные обходы детекторов, основанных на контекстно-свободных грамматиках, и тем самым повышать полноту обнаружения атак. Последующая экспертная валидация полученных результатов позволила выявить принципиально новые конструкции векторов атак с внедрением SQL-кода, отличные от тех, на которых проводилось обучение. Будут рассмотрены особенности сгенерированных векторов с точки зрения работы детектора внедрения SQL-кода, а также подходы к обнаружению с помощью грамматик, их недостатки и перспективы.Спикеры: Николай Лыфенко и Иван Худяшов.Смотреть запись: https://www.youtube.com/watch?v=-Y4rkSGMd3U

Игорь Залевский, руководитель отдела расследования киберинцидентов JSOC CERT компании «Ростелеком-Солар»,  расскажет об инструментарии, тактиках и техниках китайских APT-групп, выявленных JSOC CERT в 2021 году. Также будет рассмотрено использование этими группами очень простой уязвимости в отечественном продукте безопасности, которая позволяла им существенно расширять свое присутствие.Запись трансляции https://www.youtube.com/watch?v=tRsR9w1wUXo

В докладе представлены 20 практических приемов OSINT c применением новых возможностей цифрового мира: например, поиск по фото с использованием нейронных сетей, сбор информации из даркнета, обнаружение утечек в облачных хранилищах, фиксация цифрового следа пользователя по данным его гаджетов (на реальных примерах).Спикер: Андрей Масалович.Запись выступления в нашем канале на YouTubehttps://www.youtube.com/watch?v=Al_pCdEz7UA

В этом выпуске Олег Иванов, руководитель группы автоматизации и эксплуатации Positive Technologies, отвечающий за технический составляющую киберполигона The Standoff расскажет:Как прокачаться в условиях, максимально приближенных к реальным? Зачем компании проводить киберучения? Что такое The Standoff?Как происходит взаимодействие с инфраструктурой полигона The Standoff? Какое железо используется в физическом полигоне? Что будет если аттакующие каким-то образом выведут из строя весь полигон разом?Хотите больше узнать про red teaming?Об оценке защищенности в формате редтиминга5 Мифов о Red TeamingХотите больше узнать о киберполигонах? Пройдите опрос.

Выделили главные тренды кибербезопасности 2021 года и дали прогноз по киберугрозам, которые будут актуальны в 2022-м.Продолжит оставаться актуальным тренд на атаки типа supply chain и trusted relationship. Если злоумышленники выберут целями IT-компании, которые служат точками проникновения в корпоративные сети своих клиентов, то, скорее всего, мы получим инциденты, по масштабности аналогичные SolarWinds и WannaCry. Другая угроза тоже связана с атаками на цепочку поставок: возрастет число атак, связанных с компрометацией или подделкой программного обеспечения с открытым исходным кодом. Сложность таких инцидентов заключается в том, что зачастую никто в компаниях точно не знает, какие компоненты используются в собственных IT-системах. Яркий тренд 2021-го — атаки на облачную инфраструктуру — укрепится в наступившем году. Мы ожидаем появления новых методов атак и образцов вредоносного ПО, нацеленных на системы Linux, средства виртуализации и оркестраторы. Бизнес все больше полагается на облачные сервисы, а значит, киберустойчивость компаний теперь будет зависеть среди прочего от надежности провайдеров, а также от умения специалистов мониторить „облака“ с точки зрения ИБ и оперативно реагировать на специфические атаки

Поговорим об уязвимостях типа race condition, которые были найдены на крупных криптобиржах и давали возможность манипулировать балансом.Рассказывает специалист по ИБ Positive Technologies Ваагн Варданян. Видео

За последние 10 лет выросло целое поколение специалистов, произошло множество интересных событий в мире информационной безопасности, было найдено огромное количество уязвимостей, были отмечены громкие взломы и утечки. Докладчик представит ретроспективный анализ самых громких событий, оценит их стоимость, расскажет, какие были последствия и что изменилось для ИБ.Рассказывает независимый исследователь Владимир Дащенко.Видео

Рассмотрим тренды использования PyInstaller в ВПО за 2020 и 2021 г. Разберем статистику по используемым версиям, разберем механизмы по закреплению в системе, краже данных, шифрованию, связи с C&C. Отдельное внимание докладчик уделит обфускации и тому, как с ней бороться.Рассказывает Станислав РаковскийВидео

Поговорим о проблемах безопасности AI-систем и их разработки. Разберем на примерах различные практики анализа защищенности.Рассказывает победитель многих соревнований по пентесту Омар Ганиев.Видео

Поговорим о финансовых и технических алгоритмах, применяемых в DeFi, и разберем некоторые атаки на них.Рассказывает эксперт в блокчейн и высоконагруженных сервисах Сергей Прилуцкий.Видео

Обсудим все техники повышения привилегий, которые предоставляет Microsoft Active Directory вместе с первоначальной настройкой в локальной сети. Расскажем, почему для пентестера в локальной сети с Active Directory поднять свои привилегии до администратора домена это всего лишь вопрос времени. Перечислим уязвимости в сетях под управлением AD «из коробки», а также поделимся, как администраторам локальной сети под управлением AD защищаться от них.Рассказывает эксперт по безопасности приложение Singleton Security Егор БогомоловВидео

Фаззинг — это способ автоматически находить баги, передавая в программу случайно сгенерированные данные. Докладчик расскажет, как использовать фаззинг для нахождения ошибок в ядре Linux и какие интерфейсы ядра можно фаззить. Он кратко опишет готовые фаззеры, такие как Trinity и syzkaller, но в основном сконцентрируется на написании кода фаззера, генерировании вводных данных и сборке покрытия кода.Рассказывает независимый исследователь безопасности Андрей Коновалов.Видео

В январе 2021 года Александр Попов обнаружил и устранил пять уязвимостей в реализации виртуальных сокетов ядра Linux. Этим уязвимостям был присвоен идентификатор CVE-2021-26708. Докладчик детально расскажет об эксплуатации одной них для локального повышения привилегий на Fedora 33 Server для платформы x86_64. Исследователь продемонстрирует, как с помощью небольшой ошибки доступа к памяти получить контроль над всей операционной системой и при этом обойти средства обеспечения безопасности платформы.Рассказывает разработчик ядра Linux и исследователь безопасности Positive Technologies Александр ПоповВидео 

Из-за быстрого распространения интернета вещей производители при разработке продуктов сосредоточены на скорости внедрения и стоимости, а не на информационной безопасности. Рассмотрим реальные проекты, реализованные направлением цифровых технологий компании ICL. Контроль оборотного плуга для производителя сельхозтехники, поиск инвалидных колясок в аэропорту и мониторинг инцидентов на канализационной инфраструктуре — где здесь место для информационной безопасности? Рассмотрим различные подходы к защите IoT.

Речь пойдет об уязвимостях в роутере Smart Box достаточно известного вендора. Основная цель — напомнить пользователям о том, что нужно обновлять роутеры, а если они больше не поддерживаются, то менять оборудование на более актуальное.Рассказывает Павел Степанов.Смотреть

Глубокие нейронные сети произвели революцию и улучшили нашу повседневную жизнь. Кроме того, нейросети удивительным образом очень уязвимы к малым возмущениям входных данных (adversarial attacks). Эти злонамеренные и хорошо продуманные крошечные изменения аккуратно вычислены и способствуют большим ошибкам нейросетей. Они могут целиться, чтобы классификатор выдавал какой-то конкретный класс (targeted attacks) или любой класс, отличающийся от правильного (untargeted attack). Эти атаки могут быть направлены на беспилотные автомобили, системы распознавание речи и идентификации лиц. Докладчик продемонстрирует способ обмана предсказания top-k на датасетах Imagenet и CIFAR-10.Рассказывает Нурислам Турсынбек.Смотреть

Практика показывает, что тестового сервера, веб-сайта с .git-каталогом в открытом доступе или открытого порта Redis, или Kubernets API достаточно, чтобы взломать компанию. Даже при встроенных процессах управления обновлениями, уязвимостями и изменениями все равно могут возникнуть непредвиденные ситуации. Давайте послушаем, как не стать жертвой программы-вымогателя, как находить уязвимости на всех уровнях, от портов до конфигураций, в коде, контейнерах в CI/CD.Рассказывает директор по кибербезопасности RAMBLER&CO И OKKO Илья Зуев.Видео 

К сожалению, пользователю без должного опыта в ИБ невозможно определить, будет ли игра безопасна для его данных и его игрового устройства. Даже учитывая, что разработчики стараются сделать их игровое приложение безопаснее, это не гарантия того, что хакеры не смогут его атаковать.Независимый исследователь кибербезопасности Артем Бачевский, разрабатывая и автоматизируя процессы AppSec, обратил внимание на проблемы безопасности видеоигр. В своем докладе Артем рассказал о наиболее уязвимых типах игр (промо-игры, браузерные игры), распространенных уязвимостях и атаках (небезопасность протоколов, ошибки в коде, ботоводство и читерство) и о способах защиты от них. Одна из уязвимостей приводила к тому, что игра никогда не заканчивалась.Рассказывает независимый исследователь Артем Бачевский Смотреть

Несанкционированные HTTP-запросы (HTTP Request Smuggling) — это давно известная атака на обратные прокси-серверы, к которой снова возник интерес после выступления Джеймса Кеттла на Black Hat USA в 2019 году. В этой области было сделано много новых открытий, как например новые методы обнаружения уязвимостей и новые методы эксплуатации рассинхронизации HTTP. Докладчик расскажет, как обнаружить обратный прокси-сервер HTTP, уязвимый для этой атаки, методы автоматизации обнаружения, векторы эксплуатации и возможные последствия атак.Рассказывает независимый исследователь безопасности и участник CTF-команды Bushwhackers Эмиль Лернер

Что делать, если вы узнали о том, что контур безопасности пробит целенаправленной атакой одной из APT-группировок. А если это произошло месяц назад, но вы узнали об этом только сейчас?..Рассказывает Антон Юдаков из Ростелеком-Солар

Рассмотрим типовые атаки на АСУ ТП, общий подход к обеспечению мониторинга ИБ, особенности работы с событиями ИБ (источники и сценарии детектирования), особенности работы с копией трафика в технологической сети и пример подключения изолированного сегмента АСУ ТП. Автор разберет общие вопросы, с которыми сталкивается каждая компания при построении SOC для АСУ ТП.Рассказывает Андрей Прошин, руководитель направления АСУ ТП Solar JSOC, «Ростелеком-Солар»

Поговорим о расследованиях махинаций сотрудников, об инцидентах «по неосторожности» и о том, как учет и контроль рабочего времени идет на пользу сотрудникам. Рассказывает Дании Бориславский

Взлом спутников — интересная тема для энтузиастов ИБ. Атаки на спутники проводятся через радиочастоты или взлом стеков приложений. Обычно атаки направлены не на сам спутник, а на прикладные программы, управляемые им. Рассмотрим виды атак, которые направлены на получение полного доступа к спутнику. Рассказывает исследователь ИБ из XEN1THLABS Таной Бозе. Видео

Разработчики уделяют большое внимание дизайну программных продуктов для гаджетов, стараясь сделать их максимально удобными. Люди охотно устанавливают мобильные приложения и регистрируются в них. А что насчет безопасности данных, которые мы доверяем производителям этих приложений? Как научиться создавать безопасные приложения? Сегодня рассказываем про безопасную разработку. Наши коллеги из Яндекса, Алексей Мещеряков и Анна Максимова поделятся опытом в обучении разработчиков и продемонстрируют систему, позволяющую тренироваться в поиске и исправлении уязвимостей. Каждое задание в этой системе состоит из кода, содержащего уязвимости. Задача разработчика найти заложенную проблему и ее исправить. Докладчики расскажут, как разработать задания, актуальные для использующихся в компании технологий.

Сегодня практически все крупные корпорации запустили свои программы для вознаграждения исследователи за найденные уязвимости — bug bounty. Изначально они были ориентированы на веб-уязвимости и на ошибки в ПО, но в последнее время они стали распространяться и на аппаратное обеспечение. Вознаграждения за аппаратные уязвимости составляют десятки, а иногда и сотни тысяч долларов, что часто превышает размер выплат за другие классы ошибок. Но у hardware bug bounty есть свои особенности: в отличие от ошибок в ПО, уязвимости в «железе» или прошивке иногда невозможно исправить, а период ответственного разглашения может растянуться на годы (например, как это было с известными уязвимостями в процессорах Intel). Докладчик расскажет о своем опыте участия в таких программах и подводных камнях, которые были выловлены при взаимодействии с разработчиками аппаратных платформ. Рассказывает независимый исследователь безопасности Максим Горячий

Microsoft Exchange и Outlook являются важной частью инфраструктуры любой компании, вне зависимости от ее размеров. Microsoft Exchange Server — это желанная цель для многих злоумышленников, ведь в случае эксплуатации уязвимостей или некорректной настройки компонентов атакующий может получить доступ к электронным письмам компании, поднять свои привилегии до администратора сети, а также осуществлять фишинговые атаки от лица сотрудников компании. Злоумышленники могут закрепиться в системе несколькими методами. Давайте обсудим все эти методы и пути закрепления злоумышленника в системе. Поговорим, как обнаружить его присутствие. Рассказывают Теймур Хеирхабаров и Антон Медведев из BI.ZONE. Видео

Рассмотрим несколько простых (на первый взгляд) сценариев для обнаружения зловредного действия: получение списка процессов в системе, создание задач и служб, снятие скриншота рабочего стола. Поговорим о сложностях, возникших при выявлении следующего поведения: рекогносцировка в системе, обобщенный process hollowing, запуск кода через DLL hijack, закрепление в системе с использованием подписок на события через WMI. Приведем примеры вредоносного ПО, для обнаружения которого актуальны упомянутые техники и подходы к их обнаружению. Рассказывает Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО Positive Technologies

Threat intelligence (TI) — это информация об актуальных угрозах и группировках киберпреступников, которая позволяет организациям изучить цели, тактику и инструменты злоумышленников и выстроить эффективную стратегию защиты от атак.  На PHDays мы собрали поставщиков и потребителей TI за одним столом, чтобы обсудить особенности применения TI, сложности при работе с ним, а самое главное какие преимущества дает TI. Бонусом мы приведем примеры когда только благодаря TI удалось избежать колоссальных проблем или наоборот их пропустить. Рассказывают Алексей Новиков, Владимир Кусков, Сергей Кузнецов и Максим Жевнерёв

Что такое небезопасная десериализация? Почему исследователи продолжают находить новые векторы атак и успешно эксплуатировать форматы данных, считавшиеся защищенными долгое время? Михаил Щербаков, PhD в теоретической информатике, расскажет что это,  приведет реальные примеры уязвимостей, раскроет недостатки, лежащие в корне проблемы небезопасной десериализации. Затронет вопрос построения модели угроз, разберет, какие инструменты и подходы существуют для поиска и эксплуатации новых уязвимостей.

Атаки с использованием программ-вымогателей стали одной из самых актуальных проблем для многих компаний по всему миру. Несмотря на то, что в наши дни такие атаки чаще всего осуществляются операторами и имеют сравнительно сложный жизненный цикл, некоторые вендоры все еще фокусируются непосредственно на самих программах и даже предлагают осуществлять их проактивный поиск в сети. В выступлении Олег Скулкин рассмотрел современные атаки с использованием программ-вымогателей и дал советы по сбору киберразведывательных данных, которые помогут вашим командам как при реагировании на инциденты, так и в проактивном поиске угроз.

Последние несколько лет Дмитрий Скляров участвовал в совместных исследованиях с экспертами ИБ Марком Ермоловым и Максимом Горячим. В основном, объектом изучения была подсистема Intel ME. Но не только. Без глубоких технических деталей он расскажет о целях исследований, о том, как они начинались и развивались.

Мы проанализировали актуальные киберугрозы I-го квартала 2021 года и зафиксировали рост числа атак с помощью программ-вымогателей, появление множества новых шифровальщиков, а также отметили, что разработчики вредоносного ПО все чаще стали адаптировать его под атаки на средства виртуализации. Главными целями злоумышленников являются персональные и учетные данные, а при атаках на организации к ним добавляется еще и коммерческая тайна. Куда идем и чего ждать рассказывает аналитик отдела информационной безопасности Positive Technologies Яна Юракова

В 2019 году монетизировать несанкционированный доступ к финансовой организации можно было с помощью «дропов». В 2020 году COVID-19 внес в эту устоявшуюся схему корректировки: выросло количество программ-вымогателей. Теперь 2021 год принес целую россыпь CVE, и некоторые из них обеспечили криминалистов работой на несколько месяцев вперед. В этом подкасте главный эксперт Лаборатории Касперского Сергей Голованов расскажет о самых впечатляющих мероприятиях по реагированию на инциденты за последние два года с акцентом на APT и анализ модной, стильной, современной, виртуальной, удаленной инфраструктуры.

Исследуем методы поиска открытых разделов в облачных хранилищах, сканирование незащищенных баз на основе PostgreSQL, MongoDB и Elastic Search, восстановление секретных данных по глобальным логистическим базам, сбор данных по закрытым профилям в социальных сетях, деанонимизация пользователей мессенджеров и др.

Рассмотрим приемы OSINT, которые позволяют эффективно добывать приватную и даже секретную информацию, не прибегая к взлому. Исследуем методы поиска открытых разделов в облачных хранилищах, сканирование незащищенных баз на основе PostgreSQL, MongoDB и Elastic Search, восстановление секретных данных по глобальным логистическим базам, сбор данных по закрытым профилям в социальных сетях, деанонимизация пользователей мессенджеров и др. Все приемы будут продемонстрированы «вживую», на реальных примерах.

Подкаст о современных киберугрозах и защите от них. Минимум рекламы и максимум полезных знаний в неформальном общении «пиджаков» и «футболок».