https://m.habr.com/ru/post/511002/ Так что обновляйтесь господа хорошие
Хабр
Обнаружена опаснейшая уязвимость в Windows DNS Server
Исследователи в области кибербезопасности из компании Check Point раскрыли новую критическую уязвимость, которая затрагивает версии Windows Server 2003–2019 с оценкой критичности 10 из 10 по...
Актуальная тема в борьбе ИБ специалистов с разработчиками веб приложений, когда разработчики застряли в цикле: я прав, если я не прав - я всё равно прав.
Forwarded from Кавычка (Sergey Belov)
Один из классических вопросов на собеседование AppSec специалисту - "Как хранить пароли?". И тут будет потрясающим ответ - "пароли хранить не надо, потому что в 2020 мы не должны запускать сервисы с паролями!". За это можно получить хороший плюс. Но если все-таки вернуться к вопросу, то ожидается ответ в духе:
- Давайте использовать Argon2, PBKDF2, Bcrypt, Scrypt с оптимальным количеством раундов
- И харденинг - например использовать HSM (тут долгие холивары в каком режиме), "pepper" и т.д.
Ответы хранить соленный md5/sha1/sha256/sha512 автоматически ставят жирный минус.
Но также есть еще один вопрос, сложный, и ответ на него мало кто знает - *”А как нам хранить пароли так, что если атакующий получит RCE на бэкендах, в т.ч. root привилегии, то не сможет дампнуть табличку с хэшами?”*
Вопрос ставит в тупик, можно начинать придумывать "security through obscurity" решения, но не надо. Есть очень легкий, понятный и технически верный путь, как решить поставленную задачу. Нам нужно отозвать права "select" у бэкенд юзера на таблицу с хэшами и написать 2 хранимых SQL процедуры:
Вернет «соль» пароля на бэкенд по userId, который пытается войти. Бэкенд возьмет введенный юзером пароль и получит хэш с солью из базы
Возвращает true/false на проверке хэша пароля на предыдущем шаге у user_id
Еще нужна процедура на создание пользователя и смену пароля, но они также не позволяет select'нуть хэши паролей пользователей. Хорошая статья по теме(но там не всё): https://www.secjuice.com/secure-password-handling/
Странно, что ни в одном современном решении - типа WordPress или Django это не реализовано. Да и не надо уже, давайте лучше откажемся от паролей!
- Давайте использовать Argon2, PBKDF2, Bcrypt, Scrypt с оптимальным количеством раундов
- И харденинг - например использовать HSM (тут долгие холивары в каком режиме), "pepper" и т.д.
Ответы хранить соленный md5/sha1/sha256/sha512 автоматически ставят жирный минус.
Но также есть еще один вопрос, сложный, и ответ на него мало кто знает - *”А как нам хранить пароли так, что если атакующий получит RCE на бэкендах, в т.ч. root привилегии, то не сможет дампнуть табличку с хэшами?”*
Вопрос ставит в тупик, можно начинать придумывать "security through obscurity" решения, но не надо. Есть очень легкий, понятный и технически верный путь, как решить поставленную задачу. Нам нужно отозвать права "select" у бэкенд юзера на таблицу с хэшами и написать 2 хранимых SQL процедуры:
getSalt(user_id)
Вернет «соль» пароля на бэкенд по userId, который пытается войти. Бэкенд возьмет введенный юзером пароль и получит хэш с солью из базы
checkPassword(user_id, hashed_password)
Возвращает true/false на проверке хэша пароля на предыдущем шаге у user_id
Еще нужна процедура на создание пользователя и смену пароля, но они также не позволяет select'нуть хэши паролей пользователей. Хорошая статья по теме(но там не всё): https://www.secjuice.com/secure-password-handling/
Странно, что ни в одном современном решении - типа WordPress или Django это не реализовано. Да и не надо уже, давайте лучше откажемся от паролей!
MpCmdRun.exe -DownloadFile -url [ссылка] -path [путь_к_файлу]
Источник: https://www.anti-malware.ru/news/2020-09-03-1447/33576
Источник: https://www.anti-malware.ru/news/2020-09-03-1447/33576
Anti-Malware
Microsoft Defender можно использовать для загрузки вредоносов в Windows
Недавнее обновление встроенного в Windows 10 антивируса Microsoft Defender позволяет загружать на компьютер вредоносные программы и другие файлы.
Наглядный пример того, как Microsoft скрывает все что связано со спец символом $ Так что будьте внимательны используя bat,cmd,vbs скрипты для поиска локальных администраторов. Чем опасно? представьте себе Windows Core без GUI. Скоро Мы выложим статью по верной автоматизации таких процессов в Доменной сети...
Forwarded from Positive Events
Народ! Наконец-то, все покровы сорваны... Эксклюзивно для нашего уютного чатика (шэр, лайк, репост приветствуется) мы представляем абсолютно новый The Standoff. https://standoff365.com/ru. Вы все знаете что с этим делать. Официальный анонс воспоследует на следующей неделе.
Forwarded from Positive Events
🔥Крупнейший киберполигон и онлайн-конференция по информационной безопасности стартует уже завтра!
Тизер
Регистрация
Тизер
Регистрация
YouTube
The Standoff: global cyber-range and online infosecurity conference
12 - 17th of November. Register: standoff365.com/en
The Standoff в самом разгаре
Болейте за нас :) Ссылка на турнирную таблицу https://standoff365.com/scoreboard
Команда Codeby — это международный состав экспертов, которых объединил один из крупнейших русскоязычных форумов по практической информационной безопасности codeby.net. Форум вырастил множество специалистов в различных областях информационных технологий. Его участники выступают на международных конференциях, работают в ведущих компаниях по всему миру.
#кибербитва
Болейте за нас :) Ссылка на турнирную таблицу https://standoff365.com/scoreboard
Команда Codeby — это международный состав экспертов, которых объединил один из крупнейших русскоязычных форумов по практической информационной безопасности codeby.net. Форум вырастил множество специалистов в различных областях информационных технологий. Его участники выступают на международных конференциях, работают в ведущих компаниях по всему миру.
#кибербитва
В этом году организаторы Positive Technologies реализовали интереснейшую площадку для битвы Red-Team и Blue-team команд. Все команды оттачивают свое мастерство и демонстрируют равные результаты в отличии от предыдущих лет. Осталось 65 часов осталось до конца. В общем болеем, смотрим и получаем удовольствие https://standoff365.com/scoreboard
https://www.ptsecurity.com/ru-ru/research/webinar/po-sledam-the-standoff-rassleduem-uspeshnye-ataki-na-gorod/
Разбор полетов атак на ИС The Standoff от организаторов. То ради чего 29 команд участников нападения и 5 команд защитников все это делали. Регистрируемся...
Разбор полетов атак на ИС The Standoff от организаторов. То ради чего 29 команд участников нападения и 5 команд защитников все это делали. Регистрируемся...
ptsecurity.com
По следам The Standoff: расследуем успешные атаки на город
По следам The Standoff: расследуем успешные атаки на город - вебинары Positive Technologies