​​17-18 июня в Москве состоится профильная конференция OFFZONE 2019.

Никакого бизнеса, костюмов, галстуков и бабочек, только ресерчи, только хардкор. А пока программа мероприятия еще в разработке, у вас есть уникальный шанс принять участие и выступить с собственным докладом.

Тематики: offensive и defensive, а вообще, главное, чтобы контент был качественный! Кстати, для 45-минутных докладов организаторы даже готовы оплатить перелет и проживание!

Дедлайн по приему заявок — 28 апреля в 23:59.

Ознакомиться с правилами и регламентами подачи заявки можно на официальном сайте мероприятия:

https://www.offzone.moscow/ru/2019-call-for-papers/

SEE YOU!

Исследование прошивки роутера на примере ASUS RT-AC51U с использованием трюка с переменной LD_PRELOAD, позволяющей указать загрузчику, что необходимо подгрузить первым. Например загрузив свою библиотеку перед другими, вы сможете перехватывать вызовы других функций.

https://breaking-bits.gitbook.io/breaking-bits/vulnerability-discovery/reverse-engineering/modern-approaches-toward-embedded-research

И не ограничивайтесь только этой статьей, на сайте автора много полезных материалов на тему реверса.

​​Вам знакома ситуация, когда на удаленной тачке нужно забрать pcap для анализа на своем десктопном Wireshark? Та еще боль, особенно если у вас консольное подключение без возможности дернуть файлик по scp.

Теперь все проще, знакомьтесь — Termshark. Ваш личный Wireshark со всеми знакомыми фильтрами прямо в терминале, без необходимости куда-то что-то копировать.

Site: https://termshark.io/
GitHub: https://github.com/gcla/termshark

​​Люблю май за тепло, праздники и традиционную конференцию PHDays, где безопасность, люди и взлом сливаются во едино и несут важность ИБ в мир.

В этом году мероприятие стало форумом и пройдет на новой площадке в «Крокус Экспо» 21 и 22 мая.

Посетителей ждут доклады от экспертов области, новые конкурсы и уже ставшее традиционным противостояние The Standoff, где примут участие почти 200 человек. Кстати в прошлом году на The Standoff победила дружба и жвачка, посмотрим, кто окажется сильнее в этот раз! ;)

Чатик по The Standoff с хакерами: @TheStandoff
Новый формат "Конкурсы":https://www.phdays.com/ru/program/contests/
Основная программа: https://www.phdays.com/ru/program/schedule/

А еще у ребят сейчас проходит квест по форензике. Легенда тут: https://bit.ly/2UDWT0Q Точка входа через телеграм: @jaxhunt_bot

SEE YOU?! 😊

Взлом инфраструктуры Docker Hub
Пользователи Docker Hub, официального каталога контейнеров для системы Docker, получили уведомление о взломе инфраструктуры проекта. В результате атаки в руки злоумышленников попала база учётных записей, включающая сведения о 190 тысячах пользователей сервиса, включая хэши их паролей и токены для доступа к репозиториям на GitHub и Bitbucket.

Если ваша разработка плотно сидит на Kubernetes у меня для вас плохие новости, кажется в ближайшем будущем вас ждет новый класс решений, что-то вроде фаерволов для систем оркестрации.

Про принцип работы сетевых политик в Kubernetes, организацию трафика между pod'ами и примеры того, что уже можно сделать сегодня — свежая статья на хабре https://habr.com/ru/company/flant/blog/443190/

В какое удивительное время мы живем, вот например рекламное видео нового терминала Windows https://www.youtube.com/watch?v=8gw0rXPMMPE

Вкладки, рендеринг текста, эмоджи и кастомизация вашего терминальчика в 2к19 от Microsoft.

Летом обещают залить в магазин приложений, а официальный релиз состоится ближе к концу года. Код для "поиграться" доступен уже сейчас: https://github.com/microsoft/terminal

​Ну теперь понятно, как защищаться от угроз сети.

​​Начнем понедельник с «О Наболевшем».

Из-за специфики работы многие безопасники имеют за собой грешок и хранят конфиденциальную информацию, либо имеют к ней доступ (например по VPN) со своих личных компьютеров, и конечно, будучи самыми крутыми специалистами своей области, они не задумываются о защите этих устройств. Первое что приходит на ум, когда начинаешь задумывать о безопасности Windows — GPO. Для таких случаев у Microsoft есть отличный инструментарий Microsoft Security Compliance Toolkit.

К слову с помощью данного набора утилит вы:

• Получаете Security baselines для актуальных ОС с последними патчами безопасности.
• Можете проверить текущие GPO (как локальные, так и доменные) и привести их в соотвествии с рекомендациями вендора.
• Сравнивать GPO на разных устройствах.

Ну чем не must have?

https://www.microsoft.com/en-us/download/details.aspx?id=55319

И вообще добавьте себе раздел Security на сайте Microsoft в закладки, и досконально изучите!

https://docs.microsoft.com/en-us/windows/security/

​​Понадобилось мне тут значит продать свой старенький ПК. Удалил разделы, разметил диски по-новому, поставил свеженькую ОС. Дай думаю попробую данные восстановить каким-нибудь кустарным способом, и о чудо, все что хочешь: фото, документы, красота!

Ближе к делу, со своей задачей отлично справилась простая в использовании и бесплатная Darik's Boot and Nuke (также известная как DBAN). Есть даже несколько методов очистки на выбор.

https://dban.org/

Нам нужно больше золота!

Там Offensive Security анонсировали свое новое онлайн обучение Advanced Web Attacks and Exploitation (AWAE) с последующей сдачей OSWE. Стоимость включая сам курс, лабы и сдачу экзамена — 1400$.

https://www.offensive-security.com/offsec/awae-certification-exam-now-online/

Перечень тем впечатляет: https://www.offensive-security.com/documentation/awae-syllabus.pdf

На очереди курс по реверсу?

«Q1 2019 Cybercrime Tactics and Techniques report» от Malwarebytes

Снова все очень плохо.

Обнаружены новые типы side-channel атак на процессоры Intel, которые дополнили список из уже известных Meltdown, Spectre и Foreshadow. Как и предыдущая троица, новые атаки основаны на Microarchitectural Data Sampling (MDS) и используют преимущества спекулятивного исполнения, которую Intel добавила в свои процессоры для ускорения скорости обработки данных. Все атаки позволяют в той или иной степени получить доступ к данным, хранимым в различных внутренних буферах ЦП.

Знакомьтесь: ZombieLoad, Fallout и RIDL.

CVE-2018-12126 (Fallout)
CVE-2018-12127 (RIDL)
CVE-2018-12130 (RIDL и ZombieLoad )
CVE-2019-11091 (RIDL)

Подробнее:
RIDL и Fallout: https://mdsattacks.com/
ZombieLoad: https://zombieloadattack.com/
EN: https://www.zdnet.com/article/intel-cpus-impacted-by-new-zombieload-side-channel-attack/
RU: https://www.opennet.ru/opennews/art.shtml?num=50684

Конечно же ZombieLoad :)

А еще про вчерашнюю критическую CVE-2019-0708 в службах удалённого рабочего стола (RDS), ранее известных как службы терминалов. Уязвимость позволяет выполнить RCE без взаимодействия с пользователем, просто отправив нужный запрос по RDP.

Патчи появились даже на неподдерживаемые версии ОС: https://support.microsoft.com/ru-ru/help/4500705/customer-guidance-for-cve-2019-0708

Источники:
https://habr.com/ru/company/solarsecurity/blog/451864/
https://habr.com/ru/company/jetinfosystems/blog/451852/

Уязвимости спекулятивного исполнения в современных процессорах свалились как снег на голову, но, кажется, худшее уже позади🙂

Хотя атаки типа Spectre и останутся с нами навсегда, чтобы уберечь нас от таких уязвимостей Intel CPU как Meltdown и Foreshadow, были внедрены различные меры. В свою очередь, разработчики браузеров внедрили изоляцию процессов, а у Intel даже есть кремниевые исправления в своих последних CPU.

Вы чувствуете себя в безопасности? 😈

Себастьян Остерлунд и Стефан Ван Шейк, члены исследовательской группы VUSec, выступят с подробным докладом о новых уязвимостях Intel на OFFZONE 2019.
#ridl #mds

Подробнее: https://offzone.moscow/ru/news/sebastian-sterlund-and-stephan-van-schaik-will-give-an-in-depth-talk-on-the-intel-s-new-vulnerabilit/

Reverse for beginners.

Чувак с помощью Ghidra показывает и рассказывает, как решать простенькие crackme-задачки по реверсу.

https://www.youtube.com/channel/UCzw-AibbXjw7gcdaeN3Y6kA

​​Первый день PHDays уже завтра!

Надеюсь вы успели составить программу посещения лекций, сдуть пыль со своих Alfa адаптеров и освободить место для новых стикеров на ноутбуках. С последним, кстати, мы с удовольствием поможем :)

Желаем организаторам - терпения, участникам сил, а посетителям хорошего времяпровождения. До встречи на PHDays! ❤️

Пока красные ждут рабочий PoC под CVE-2019–0708, синие уже перевели свои SOCи и SIEMы в режим полной боевой готовности и написали всевозможные правила детекта под все, что только можно: MITRE ATT&CK, Sigma, Elastic и ArcSight.

Вооружайтесь, несмотря на то, что в Вестеросе с королем определились, PoC is coming...

https://medium.com/@ab_65156/proactive-detection-content-cve-2019-0708-vs-mitre-att-ck-sigma-elastic-and-arcsight-22f9ebae7d82

Начинаем раздавать читателям наклеечки. Ищите парня в клетчатой рубашке у легендарной DeLorean. #stickerhunting