Что эти ребята из Mozilla творят вообще?! Каждую неделю новый сервис!

Теперь они представили свой бесплатный менеджер паролей Lockbox для Android.

К слову на iOS приложение существует уже почти пол года, и успело завоевать определенный уровень доверия среди пользователей.

https://lockbox.firefox.com/

Реверсинг WannaCry с помощью Ghidra, что может быть нагляднее?

https://www.youtube.com/watch?v=Sv8yu12y5zM

Пока прекрасная часть ИБ-сообщества отпускает шутки про отключение от интернета, Xiaomi официально пришла на площадку hackerone и предлагает реальные деньги за поиск уязвимостей в своих продуктах.

Пока скоуп ограничен доменами *.mi.com и *.xiaomi.com, а также продуктовой линейкой: смартфонами Mi/Redmi, Mi Band, Mi Home Webcam, Mi Robot Vacuum, Mi TV Box, Mi Laser Projector, Mi TV и Mi Electric Scooter, но возможно в ближайшем будущем в программу войдут и другие девайсы компании, чего только стоит их огромная база IoT-устройств.

А вообще, когда столь крупный производитель различной электроники начинает задумываться над bug bounty и безопасностью, во мне начинает гореть маленький огонек надежды. <3

https://hackerone.com/xiaomi

Если вы любитель поковырять web-приложения, то рано или поздно приходите к мысли, что хорошо бы разработать собственную методику тестирования, куда войдут только самые необходимые проверки. Для того, чтобы сэкономить время, например можно воспользоваться методикой OWASP:

https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents (там же можно скачать pdf).

А для тех, кому и этого много, а до собственной разработки еще не доросли, можно воспользоваться чужими наработками вроде https://github.com/Voorivex/pentest-guide

​​Держу вас в курсе — на видео сверху, конечно же, творение, созданное с помощью компьютерной графики одним японским моушен-дизайнером. Но патент на похожую доставку грузов у Amazon все-таки есть.

Уже представляю как по земле бегают парни с радиоэлектронными пушками и охотятся за айфонами :D

https://gizmodo.com/amazons-flying-warehouse-idea-looks-like-a-total-disast-1790588667

В Москве буквально час назад завершился OWASP Russia Meetup #8, и пока Лука готовит публикацию на хабр, вот вам OWASP TOP 10 на русском языке. Я знаю, многие из вас очень любят все на русском.

А вот еще русский OWASP TOP 10 Proactive Controls, с техниками, которые должны быть учтены при разработке любого веб-приложения. Распечатайте и положите его на стол своим разработчикам, пусть боятся! :)

Если кто-то до сих пор не придумал себе планы на выходные, то вам на помощь спешат парни из Флориды с их #CTF, который начинается сегодня в час ночи по московскому времени и продлится до понедельника.

Обещают интересные задания разных уровней сложности и направлений: Pwn, Reverse, Smart Contracts, Web, Forensics, Crypto и пр.

Регистрация еще открыта! ;)

https://swampctf.com/

​​Так сложилось, что я очень люблю красивый софт. Знаете, вот прям тащусь когда разработчики, помимо базовой функциональности продукта, уделяют внимание внешнему виду и всяким приятным мелочам. К слову это одна из причин, почему я перешел работать на macOS.

Поэтому для таких же ненормальных как я, порой буду делиться своими находками.

Сегодня вот наткнулся на очень симпатичный перехватывающий прокси для приложений - Proxyman. Полезно, бесплатно, а главное - красиво! :)

Web: https://proxyman.app
GitHub: https://github.com/ProxymanApp/Proxyman

​​Забавные находки с GitHub сейчас не редкость. То креды от облака засветятся, то пароль от тестовой БД (хорошо, если тестовой). И всё ИБ сообщество сидит и ехидно хихикает.

Но человеческий фактор может сыграть злую шутку с каждым из нас, и это сложно отрицать. А ведь достаточно просто проверять, а еще лучше ничего не хранить там, что вы планируете отправлять в репозитории.

Поэтому, чтобы по ночам вас не мучали кошмары, возьмите и просканируйте свой репозиторий на наличие чувствительной информации в конце концов! Вот вам набор утилит для этого: https://geekflare.com/github-credentials-scanner/

Регулярность - первый шаг к безопасности!

Небольшой CTF для изучения безопасности Android. После регистрации участникам предлагается решить 7 задач разного уровня сложности. Каждое задание — это самостоятельный .apk файл, содержащий флаг. Так что вооружайтесь каким-нибудь Androl4b и вперед, на барикады!

CTF: https://challs.reyammer.io/
Androl4b: https://github.com/sh4hin/Androl4b

Ресерчеры из Chronicle Security (это дочерняя компания Гугла) с помощью своего нового инструмента для поиска одинаковых кусков кода в разной малвари, показали прямую связь между самыми хитрыми шпионскими программами прошедших лет:  Stuxnet, Flowershop и Flame. Судя по всему разработчики этих систем не только работали в одной области но и обменивались частями кода. Или вообще, как метко заметил один умный человек, собирались из единого репозитория :) напомню, все эти малвари предположительно разрабатывались NSA и другими правительственными службами для слежки на территории Африки и восточной Европы.

Почитайте статью обязательно, даже если это не ваша тема. Кажется на этой конференции Касперских будет ещё много интересных анонсов. https://motherboard.vice.com/en_us/article/d3maw7/researchers-uncover-new-version-of-the-infamous-flame-malware

Был взломан протокол обмена мгновенными сообщениями matrix.

Но удивителен не сам факт взлома, а то что взлоумышленник выложил на гитхаб свой секьюрити-репорт. Редкость!

https://github.com/matrix-org/matrix.org/issues/created_by/matrixnotorg

​​Любопытные, конечно, там дискуссии разворачиваются, но к сожалению все происходит под четким контролем со стороны команды разработки matrix, все неугодные комментарии сразу же летят в корзину, а это определено вызывает недоверие к команде и компании в целом.

Вот еще один интересный тред по теме взлома нашел на hackernews > https://news.ycombinator.com/item?id=19642554

А вообще было бы здорово обсуждать подобные инциденты в публичном ключе, где каждый мог поделиться своими best practices и указать на конкретные недочеты в коде или конфигурации.

Многие меня поправляют на счет matrix и правильно делают, поэтому давайте расставим все точки над и:

• Атака была не на протокол, а на организацию matrix.org, известная как раз своим одноименным протоколом. Посыпаю голову пеплом, спешил.
• Данные все-таки утекли, но их объем пока не уточняется.
• Камнем преткновения послужили слишком высокие привелегии в продакшене и непропатченный CI-сервер Jenkins (вспоминается известная шутка про "хуяк-хуяк").
• Скомпроментированы были данные пользователей, GPG ключи и другой незашифрованный контент, включая личные сообщения, хэши паролей и токены доступа.
• Не затронуты — исходный код, пакеты, серверы Modular.im и сервер идентификации.

Вся последовательность мыслей злоумышленника здесь: https://pastebin.com/3rzCqrFk (спасибо читателю)
Официальный репорт с обновлениями тут: https://matrix.org/blog/2019/04/11/security-incident/

Всем спасибо, хорошей пятницы! 😉

​​Сегодня ехал в метро и заметил программу лояльности по карте Тройка — «Город», мол регистрируйте карту, показывайте на кассах, получайте бонусы. При регистрации карты сайт просит указать 2 станции, где вы были за последний месяц, а также персональную информацию, включая привязку к номеру телефона.

Казалось бы, о народе думают, приятно. Но как они станции будут проверять, не по базе ли СКУД метрополитена? Идеальное преступление — сделать самую популярную транспортную карту скидочной, чтобы привязать к персональным данным граждан и с помощью данных с турникетов московского транспорта следить за их передвижениями. Не это ли гениально?

Паранойя? — Может быть и так, но согласитесь, звучит красиво :)

​​Каждый из нас время от времени задумывается о получении сертификации. Кто-то спит и видит OSCP с его лабораторными, другие мечтают о CISSP по 8 доменам, а кто-то просто ботает CCNA Security и не парится. И сколько бы скептики не кричали о ненужности сертификатов, рынок начинает брать свое — из года в год специалистов ИБ становится больше, HR совершенствуют критерии отбора, а хорошие специалисты все еще остаются редкостью. Первое, что приходит на ум — сертификация. Зачем?

Ну во-первых прокачать себя, стать компетентнее и навести порядок в голове (хотя в случае с CCNA скорее все наоборот), во-вторых стать привлекательнее на рынке и подтвердить свой статус специалиста, в-третьих помочь работодателю выигрывать тендеры на проведение сертифицированных работ. На самом деле этот список можно продолжить, но как по мне, например, тот же CISSP отлично ложится на любого специалиста, хотя бы потому, что содержит в себе знания по каждому направлению ИБ. Безусловно для хорошего инженера этого будет мало, но для понимания местной философии — идеально, особенно менеджерам. Да и вообще, кто сказал, что нужно выбрать что-то одно?

Сегодня публикую подборку для подготовки к Certified Information Security Systems Professional, в простонародье — CISSP.

Все основные материалы и краткое содержание каждого домена: https://github.com/so87/CISSP-Study-Guide
Об экзамене на русском: https://habr.com/ru/company/gaz-is/blog/415085/
Тут куча людей каждый день сдают/не сдают экзамен, а также делятся своими лайфхаками и мыслями: https://www.reddit.com/r/cissp/
Мобильный трейнинг: https://www.pocketprep.com/exams/isc2-cissp/

Вот вам еще седьмое издание популярной CISSP All-in-One Exam Guide от Шон Харрис. Сейчас есть уже 8 издание, но 7 все еще считается эталонным, хотя бы потому что Шон тогда еще была жива :(

Кто еще не успел прочесть субботнюю статью на хабре про папиного бродягу, маминого симпатягу и тысячи украденных кредитных карт?

https://habr.com/ru/post/448810/

Наглядный пример, демонстрирующий незрелость права в сфере киберпреступлений. В комментариях до их пор холиварят на тему классификации действий автора статьи и злоумышленника.