​​Поговаривают, что представленный сегодня Яндекс Телефон поставляется с пожизненной подпиской на ФСБ. Но это они шутят, конечно.

Кстати, а вот характеристики:
• LCD-экран на 5,65 дюймов (1080×2160 точек)
• Snapdragon 630
• 4 ГБ ОЗУ
• 64 ГБ + microSD
• Камера — 16 и 5 МП, Фронтальная 5 МП со вспышкой
• NFC
• Батарея 2970 мАч
• Android 8.1 Oreo

https://phone.yandex.ru/

Материал про исследование сервиса HubSpot и крупную находку в виде RCE.

HubSpot - это сервис для маркетологов и сейлов, позволяющий автоматизировать многие процессы, будь это email рассылка, создание сайта или подготовка отчетности - не важно. Инструментарий у сервиса действительно широкий, а раскрутить все до RCE поспособствовал собственный язык разметки HubL.

https://www.betterhacker.com/2018/12/rce-in-hubspot-with-el-injection-in-hubl.html

​​Совершенно случайно наткнулся на довольно любопытную игру от лондонской студии Semaeopus, известной своими инди-проектами.

Off Grid — это стелс-игра от третьего лица, в которой данные — ваше самое мощное оружие. Взлом, социальная инженерия, манипуляция людьми - все то, что мы так любим. Действительно, зачем нам дробовик, если нам принадлежат конфиденциальные данные компании?

На кикстертер ребята уже собрали необходимую сумму, так что выход запланирован на 2019 год. Распространять значимость информационной безопасности это хорошо, одобряю :)

https://www.kickstarter.com/projects/richmetson/off-grid-data-is-your-most-powerful-weapon/description

Если кто вчера участвовал в QCTF, вот первые writeups подъехали. Пока сумбурно и на коленке, но у кого горит узнать, как же решались некоторые задания - вполне ок.

К слову, организация подкачала, многие задания то поднимались, то безвозвратно катились в бездну, а часть задач так и остались не решенной, несмотря на то, что организаторы позиционировали соревнования, как "для новичков".

https://medium.com/@d3fl4t3/qctf-starter-2018-2-%D1%80%D0%B0%D0%B7%D0%B1%D0%BE%D1%80-c30da1d22720

А тем временем видео с ZeroNights подъехали
https://www.youtube.com/channel/UCtQ0fPmP4fCGBkYWMxnjh6A/videos

​​#реклама
Уже в следующий понедельник (17 декабря) Qiwi устраивает свою бесплатную конференцию make-IT-real. Планируют рассказывать про свои микросервисы, БигДату, автоматизацию, и вот это все. Обещают даже рассказать, как им получилось сделать Windows секьюрной, прям киберутопия какая-то.

Идем холиварить? Регистрация и программа по ссылке: https://makeitreal.works/

P.s а еще там будет бар 😏

​​#Docker #DevSecOps #SDLC
Сегодня, побывав на конференции Make IT Real от компании QIWI, окунулся с головой в мир IT, микросервисов, SDLC и баз данных... Кажется автоматизировать все, что попадает под руку - это про киви. К сожалению не получилось дождаться секцию про безопасность windows, нужно было уезжать, но очень надеюсь, что вам все же удалось разузнать, как там эти "окна" правильно настраивать.

Я долго мучал безопасников QIWI, отважно защищающих свой стенд, о том, как эта самая безопасность у них там устроена изнутри. Как защищают свои веб-аппы, чем проверяют код, как собирают события безопасности, да и вообще, раз уж они такие большие любители микросервисов, как устроен процесс с точки зрения ИБ.

Так о чем это я? А! Сегодня как раз наткнулся на крутой цикл статей по DevSecOps о построении стратегии безопасной контейнеризации на базе Докера. Автор рассказывает об основных шагах, начиная с изучения документации Докера о том "как надо”, дополнительными мерами вроде сканирования контейнеров, установки на хосты HIDS/HIPS и заканчивая процессом мониторинга и патчинга. Полезно.

https://nullsweep.com/building-a-docker-security-program/

​​#Mobile #Frida #Reverse
Сегодня небольшой экскурс в исследование мобильных приложений, на который меня натолкнула одна простенькая статейка. Давайте начнем с простого, как перехватить и проанализировать https трафик между Android-приложением и сервером, обойдя SSL Pinning?

Для этого нам понадобится рутованый смартфон (или его эмулятор), Frida, Burp, немного времени и вот эта статья: http://omespino.com/tutorial-universal-android-ssl-pinning-in-10-minutes-with-frida/

К слову Frida очень удобный и популярный интрумент в своих кругах, по сути эта штука способна внедрять сторонний код в уже запущенное приложение на смартфоне (в том числе и на iOS).

Для полного погружения в материал советую еще изучить:

• Статья на Хакере: https://xakep.ru/2018/03/19/android-frida/

И вот этот очень качественный материал из 3 частей от ребят с @R0_Crew:

• Введение в Frida https://forum.reverse4you.org/showthread.php?t=3054
• CrackMe 1 https://forum.reverse4you.org/showthread.php?t=3057
• CrackMe 2 https://forum.reverse4you.org/showthread.php?t=3058

Доброго утра, дорогие мои хорошие. Праздники позади и надеюсь вы простите мое столь долгое отсутствие, нужна была вынужденная перезарядка, сами понимаете.

Впереди новый год, куча интересных материалов и новых идей. Надеюсь вы составили себе список целей на 2019, как это сделал я, потому что предстоящий год обещает быть интересным во всех отношениях. Но меньше лирики, вы же сюда не за этим пришли, верно?

Начнем с простого, с PowerShell скриптов, с помощью которых можно выгружать актуальные черные списки IP адресов, чтобы потом сформировать фиды для вашей SIEM системы.

Как говорится, Threat Intelligence это хорошо, а бесплатно — еще лучше ;)

https://www.secjuice.com/threat-intelligence-siem-free/

Просто игра, обучающая основам реверс-инжениринга. Это так мило 🙂

https://squallygame.com/

Splunk без объяснения причин официально прекращает все отношения с российскими организациями, в том числе с дочерними. Поддержка в рамках действующих контрактов, конечно, сохранится.

Ситуация не из приятных, ведь за splunk'ом могут последовать и другие вендора, а у российских заказчиков вероятно начнет обостряться фобия зарубежного ПО.

https://www.splunk.com/blog/2019/02/18/shifting-priorities-in-our-global-strategy.html

Если вам знакомы такие аббревиатуры, как КСЗ, НКЦКИ, ФинЦЕРТ, ГосСОПКА, операционные риски и пр., то вот вам 30-ти минутное изложение основных тем информационной безопасности финансовой отрасли с прошедшего на той неделе XI Уральского форума в исполнении Алексея Лукацкого.

Смело ставьте скорость воспроизведения на 1,5-1,75 и погружайтесь в тренды российского беспощадного финансового комплайнса на ближайшие пару лет. Тогда возможно и правда уложитесь в 15 минут :)

https://www.youtube.com/watch?v=zxXcItuTuow

Make Cybershit Great Again!
Соскучились? Я тоже! :)

На днях наткнулся на кучу опенсорсного (и не только) софта для Редтиминга. Для тех, кто не знает, Read Team это процесс, имитирующий реальную атаку на инфраструктуру. Чем-то напоминает пентест, но поверьте, споры на этот счет не прекращаются и по сей день. Если совсем просто, то по факту Read Team представляет собой целенаправленную APT атаку, которая начинается с разведки и заканчивается управлением и закреплением в системе.

Сейчас придумали еще модный термин "Киберучения", где задача красной команды атаковать, а синей - обнаружить и предотвратить. Такая своеобразная игра в прятки.

Так о чем это я? Ах да, нашел полезный материал для красных — https://github.com/infosecn1nja/Red-Teaming-Toolkit

P.s. Синие, ну а вы там это, созидайте :)

Ухты! Mozilla представила собственный сервис безопасного обмена файлами с end-to-end шифрованием — Send.

https://send.firefox.com/

Есть возможность указывать срок действия ссылки для скачивания, количество разрешенных загрузок и дополнительный пароль.

До 1 ГБ без авторизации и до 2.5 ГБ с бесплатным Mozilla аккаунтом.

Форензикам на заметку или о том, как браузеры хранят информацию о скаченных файлах в скрытых (и не очень) атрибутах ОС.

https://habr.com/ru/post/443694/

Там у Ачата новый web-такс вышел, отличный повод провести выходные за поиском уязвимостей.

https://forum.antichat.ru/threads/469355/

​В Cloudflare выпустили утилитку для инспекции HTTPS, которая способна по набору собственных сигнатур (фингерпринтов) понять участвуют ли в вашем TLS соединении дополнительные прокси вроде WAF, антивируса,  какой-нибудь зловредный рекламный софт или нет. Вообще в статье поднимается актуальная проблема деградации шифрования, когда в общую схему вмешиваются дополнительные узлы, ведь зачастую они не поддерживают самые последние наборы шифров и особо не беспокоятся на этот счет.

[ENG][Full] https://blog.cloudflare.com/monsters-in-the-middleboxes/
[RU] https://habr.com/ru/company/globalsign/blog/444496/

Ничего особенного, просто терминал в аэропорту Китая, который распознает пассажиров по лицу и информирует о рейсе и местонахождении выхода на посадку. Такие дела.

​​Знаете, как говорят — «На каждого Макара найдется своя Хавронья», вот и прошедшее в Ванкувере мероприятие Pwn2Own это лишний раз наглядно доказало. Ребята из команды Fluoroacetate поломали продукты компаний Apple, Oracle, VMware, забрали суммарный куш в 160 тысяч долларов, сложили все это в багажник поломанной ими же Tesla Model 3 и не спеша покинули мероприятие.

Умеют же там в этих заграницах развлекаться!

[RU] https://xakep.ru/2019/03/25/pwn2own-2019/
[ENG] https://mspoweruser.com/no-one-is-safe-in-pwn2own-2019-as-edge-firefox-safari-and-tesla-fall/

Мои друзья в Европе сегодня оденутся в черное: европарламент принял обе статьи новых законов, которые рушат всю идеалогию нынешнего интернета. Теперь и налог на ссылки, и фильрация всех загружаемых файлов - реальность.

Напомню, Article 11 позволяет сайтам НА которые вы сылаетесь требовать от вас денег, а Article 13 (17) заставляет сайты с UGC самостоятельно отслеживать файлы, потенциально копирайченые кем-либо. Теперь у государств евросоюза есть 2 года на то, чтобы внедрить эти законы в локальные законодательства http://www.theverge.com/2019/3/26/18280726/europe-copyright-directive