Pull to refresh
0
0

Пользователь

Send message

Охота на атаки MS Exchange. Часть 1. ProxyLogon (CVE-2021-26855, 26858, 27065, 26857)

Reading time 15 min
Views 22K


Авторы статьи: Антон Медведев, Демьян Соколин, Вадим Хрыков


Microsoft Exchange — один из самых распространенных почтовых серверов, который используют сотни тысяч компаний по всему миру. Популярность и доступность из интернета делают его притягательной целью для злоумышленников.


С конца 2020 года мы наблюдаем резкий рост количества инцидентов, так или иначе связанных с компрометацией сервера MS Exchange и его различных компонентов, в частности OWA (Outlook Web Access). Учитывая 24-летнюю историю сервера MS Exchange, сложность его архитектуры, расположение на периметре и возросший к нему интерес со стороны исследователей по безопасности, можно предположить, что количество найденных уязвимостей в популярном почтовом сервере со временем будет только расти. Свидетельство тому — недавно обнаруженная исследователями из DEVCORE цепочка критических уязвимостей, известная под общим названием ProxyLogon.

Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Comments 2

Технические средства мониторинга ИБ

Reading time 18 min
Views 17K

Мониторинг событий информационной безопасности автоматизируют с использованием различных средств защиты: LM/SIEM, UBA/UEBA, IRP/SOAR, TIP, IDS/IPS, NTA, EDR. Объединение решений по классам одновременно и удобно, и условно. Системы одного типа отличаются не только количеством функций, но и своей философией. Вернёмся к этой идее позже.  

Эти решения давно есть на рынке, но при внедрении мне, как сотруднику интегратора ИБ с большим практическим опытом, приходится сталкиваться с проблемами. Непонимание принципов работы этих инструментов приводит к попыткам «приготовить» их неправильно. Даже успешный пилот – не гарантия успешного внедрения.

Все участники рынка со стороны исполнителя – интеграторы, дистрибьюторы, сервис провайдеры (далее просто «интеграторы») и производители – коммерческие компании. Но конкуренция растёт и для беспечной старости уже недостаточно, как в нулевых, «как-то» закрыть прибыльный проект и убежать в закат. Техническая поддержка, модернизация и развитие, смежные проекты – основной источник дохода в наши дни. И он не существует без нахождения в едином понятийном поле, обмена знаниями и принятия стратегий совместно с заказчиками.

Этой статьёй я хочу внести свои пять копеек в решение проблемы. Перед тем как перейти к технической составляющей, рассмотрим два связанных с ней вопроса.

Continue?
Total votes 4: ↑3 and ↓1 +2
Comments 4

Zabbix как сканер безопасности

Reading time 11 min
Views 29K

Привет! Все мы знаем и любим такие продукты для vulnerability assessment процессов как Nessus, Qualys, Max Patrol и всякие прочие OpenVAS. Одной из основных задач, которые они решают, является обеспечение контроля версионных уязвимостей.


Это довольно простой процесс сравнения установленных версий программного обеспечения на попадание в диапазон "не содержит известных уязвимостей". Ну а дальше ребята, ответственные за информационную безопасность, совместно с разработкой и админами решают какие риски можно принять, а что нужно пропатчить прямо сегодня.


Существует масса разнообразных инструментов для решения этой задачи, но у всех них с нашей точки зрения есть одна общая проблема — они требуют отдельного хлопотного развертывания и порождают в вашей инфраструктуре еще один инструмент с root-овой учетной записью. Но ведь для такого простого действия как сбор информации об установленных пакетах root не нужен! Да и обычно в инфраструктуре уже присутствуют развернутые системы с возможностью консолидации данных, совместной работы и удаленного исполнения команд на серверах. Поэтому мы решили сделать инструмент, который позволил бы в пару кликов развернуть в своей среде систему контроля уязвимостей Linux с минимальными изменениями продакшена.


Что развернуто в большинстве продуктовых систем? Конечно же мониторинг. И довольно часто это Zabbix. Так давайте к нему и прикрутимся!

Читать дальше →
Total votes 29: ↑29 and ↓0 +29
Comments 19

11 правил визуализации данных

Reading time 6 min
Views 85K
Ольга Базалева, создатель Data Vis и автор блога, написала статью специально для Нетологии о самых важных принципах визуализации. Статья участвует в конкурсе блога.

Хотите выделяться на фоне конкурентов? Чтобы ваши статьи, отчеты, презентации или посты в социальных сетях были профессиональными, интересными и доступными широкой аудитории? Используйте визуализацию данных!

Я более семи лет отработала в крупнейших медиакомпаниях и рекламных агентствах, на счету Афиша, Рамблер, РБК, создала сайт с наглядными обзорами рынков и собственный блог про визуализацию данных. Поэтому я очень хорошо понимаю то, о чем пойдет речь ниже.



Сегодня визуализация особенно важна, так как люди теряются в обилии окружающей информации и на ее восприятие тратится слишком много времени. Поэтому скучные непонятные тексты часто остаются без внимания. Читатель не будет тратить время, чтобы в них разобраться.
Читать дальше →
Total votes 39: ↑31 and ↓8 +23
Comments 19

«Противостояние»: как специалисты по информационной безопасности пытаются друг друга обхитрить

Reading time 4 min
Views 4.2K


Противостояние — ежегодное мероприятие, в котором специалисты по информационной безопасности пробуют свои силы в атаке и защите, используя различные системы и программные платформы. Обычно проводится соревнование в виде реального противостояния двух команд. Первая команда атакует системы безопасности, которые поддерживаются командой защитников и экспертных центров мониторинга. Само мероприятие проводится в рамках Международного форума по практической безопасности Positive Hack Days. «Цель Противостояния — столкнуть две противоборствующие стороны в более или менее контролируемой среде, чтобы посмотреть, что победит — целенаправленные атаки или целенаправленная защита. На роль защитников и SOC пришли эксперты отрасли — интеграторы, вендоры и те, кто выполняет функцию ИБ на стороне заказчиков», — рассказывает о мероприятии член оргкомитета форума Михаил Левин.

Каждый год команды, принимающие участие в «Противостоянии», преследуют свои цели. В этом плане текущий год ничем не отличается от предыдущих. Одна из команд, On Rails!, которая представляет IBM и практикующих экспертов in-house SOC, пробовала свои силы в Противостоянии с решениями из портфеля IBM Security. Само мероприятие уже прошло, и о нем не раз и не два рассказывали в сети. Настало время и нам сделать небольшое review участия команды «On Rails!» в противостоянии «The Standoff». Команда была сформирована в конце апреля из экспертов, с которыми не страшно было пойти в бой против хакеров: Эльман Бейбутов, Роман Андреев, Андрей Курицын, Сергей Кулаков, Сергей Романов, Владимир Камышанов и другие, пожелавшие остаться неизвестными героями. Многие были знакомы между собой и даже работали в прошлом в одних компаниях, поэтому быстро удалось скоординироваться и обсудить тактику защиты.
Читать дальше →
Total votes 10: ↑9 and ↓1 +8
Comments 0

Хроники Противостояния: как взломать весь город за два дня

Reading time 13 min
Views 13K


Давно известно, что битвы ИБ-специалистов с сетевыми злоумышленниками выглядят как красивые зрелища только в голливудском кино. А на деле и реальные атаки, и конкурсы по безопасности чаще напоминают математические олимпиады, красоту которых могут оценить лишь немногие.

Тем не менее, в этом году организаторы «Противостояния», главного конкурса конференции Positive Hack Days VII, сделали все возможное, чтобы решить эту противоречивую задачу — сделать состязание максимально приближенным к реальности, но при этом достаточно понятным и интересным для всех остальных посетителей конференции. И нам кажется, это удалось. Всего за тридцать часов конкурса команды хакеров продемонстрировали целый ряд успешных атак на объекты и инфраструктуры современного города, активно используя и беспроводную связь, и низкоуровневые уязвимости промышленных систем управления, и простые брутфорсы, и сложные многоступенчатые схемы вторжения.

В данной статье мы попробуем восстановить хронологию основных событий, а также подвести некоторые итоги наших масштабных киберучений.
Читать дальше →
Total votes 18: ↑18 and ↓0 +18
Comments 5

Гарвардский курс CS50 на русском. Все серии

Reading time 4 min
Views 577K


Друзья, мы рады сообщить, что перевод всего гарвардского курса CS50 закончен.

Мы писали, что в курсе 24 серии, однако последние две оказались одной и той же лекцией (одна прочитана в Гарварде, а другая в Йеле), поэтому в списке переведённых лекций не 24, а 23.

Список лекций под катом.

Что вы узнаете, прослушав этот курс:
  • Основы компьютерных наук и программирования;
  • Концепции алгоритмов и алгоритмичности мышления. Какие задачи можно решать с помощью программирования и каким образом;
  • Концепции абстракции, структуры данных, инкапсуляции, управления памятью. Основы компьютерной безопасности. Процесс разработки ПО и веб-разработка;
  • Основы языка программирования C и Scratch;
  • Основы баз данных и SQL;
  • Веб-разработка: основы CSS, HTML, JavaScript и PHP;
  • Основы подготовки презентации проектов по программированию.


Курс переведён и озвучен нашей студией по заказу JavaRush, и мы хотим сказать им огромное спасибо за поддержку!
Total votes 40: ↑37 and ↓3 +34
Comments 34

JSOC: опыт молодого российского MSSP

Reading time 8 min
Views 8.7K
В рамках корпоративного блога хотелось бы запустить цикл статей о нашем молодом (но, тем не менее, очень ярком) начинании в сфере информационной безопасности – JSOC (Jet Security Operation Center) − коммерческом центре по мониторингу и реагированию на инциденты. В статьях я постараюсь поменьше заниматься саморекламой и большее внимание уделить практике: нашему опыту и принципами построения услуги. Тем не менее, это мой первый «хабро-опыт», и потому не судите строго.

SOC − предпосылки


Рассказывать, зачем вообще крупной российской компании нужен SOC, не очень хочется (уж слишком много различных статей и исследований по этому поводу написано). А вот статистика – совсем другое дело, и о ней грех не вспомнить. Так, например:
  • в компании численностью от 1 до 5 тыс. человек в течение года фиксируется:
    • 90 млн. событий ИБ;
    • 16 865 событий с подозрением на инцидент;
    • 109 реальных инцидентов ИБ ;
  • общий объем потерь от инцидентов ИБ в 2013 году составил $ 25 млрд. ;
  • в крупной компании используется не менее 15 разнородных средств защиты, не более чем в 7 из них проводится активный анализ журналов для выявления инцидентов .

Если же добавить к этому еще 3−4 новостных заголовка по соответствующей теме, то абсолютно логичной и понятной становится идея о том, что за безопасностью необходимо следить, а инциденты ИБ − выявлять и анализировать.
Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Comments 7

Что делать, если вы немножко SharePoint, и как с этим жить?

Reading time 4 min
Views 186K

Так сложилось, что моя работа последние 6 лет связана с Microsoft SharePoint Server. В этой статье я не хочу выяснять хорошо это или нет, но я бы хотел помочь тем, кто уже выбрал этот путь или только присматривается к нему. Учитывая, что SharePoint почти не преподают в вузах, самостоятельно начать работать с данной технологией довольно трудно. Чаще картина следующая: компания берёт программиста .Net и начинает его прокачивать.

В бизнесе ценятся не знания, а способность ставить и добиваться результата, приносить прибыль, повышать эффективность. Другими словами, вы должны обладать компетенциями, которые отражают вашу способность применять знания и опыт. Причём знания и опыт должны идти нераздельно, никому не нужен на работе профессор-теоретик или испытатель в синяках, это слишком большие риски, неуправляемо и непредсказуемо.

Путь программиста
Total votes 32: ↑18 and ↓14 +4
Comments 30

Основы безопасности операционной системы Android. Уровень ядра

Reading time 6 min
Views 99K

Вступление


Самой распространенной операционной системой для смартфонов на сегодняшний день является Android. Но не только этот факт подогревает интерес к ней. Открытость, возможность что-то настроить, подкрутить, и, естественно, сломать тоже в немалой степени способствуют увеличению популярности этой платформы. Я попробую поделиться опытом, как устроена эта операционная система, а так же рассмотреть систему безопасности. Всем, кому интересно, добро пожаловать! В этой статье я рассмотрю безопасность на уровне ядра.
Читать дальше →
Total votes 108: ↑102 and ↓6 +96
Comments 19

Основы безопасности операционной системы Android. Native user space, ч.1

Reading time 8 min
Views 97K

Вступление


В этой статье я попробую рассмотреть безопасность чуть-чуть повыше ядра, а именно: как работает безопасность в Native user space. Мы коснемся темы процесса загрузки операционной системы и рассмотрим структуру файловой системы Android. Как я уже говорил, я не очень силен в Linux, поэтому если заметите неточности, то исправляйте — меня научите и статью улучшите. Так как эта тема довольно обширная, я решил разбить её на две части. В первой части мы рассмотрим процесс загрузки операционной системы и особенности файловой системы. Всем кому интересно, добро пожаловать!
Читать дальше →
Total votes 46: ↑41 and ↓5 +36
Comments 29

Свой Google Reader методом Бендера

Reading time 2 min
Views 41K
С момента анонса закрытия Google Reader на хабре появился уже ряд статей о других сервисах, на которые можно уйти.
Во всём этом меня смущает то, что это же не Вконтакт, не твиттер, а хабра, почему я здесь читаю только о сторонних сервисах?
Кто мешает сделать свой RSS Reader с преферансом и мадмуазелями?
image
Под катом немного моих соображений о том, что можно сделать самому для себя. Приветствуется ваш опыт и соображения в комментариях.
Читать дальше →
Total votes 78: ↑61 and ↓17 +44
Comments 76

Сети для самых маленьких. Часть вторая. Коммутация

Reading time 18 min
Views 756K


После скучного рассказа о подключении к кошкам переходим к настройке сети. В этот раз темы будут для новичков сложные, для старичков избитые. Впрочем сетевым аксакалам едва ли удастся почерпнуть что-то новое из этого цикла. Итак, сегодня:
а) аккуратно впитываем теорию о коммутаторах, уровнях сетевой модели, понятии инкапсуляции и заголовков (не пугайтесь — еще не время),
б) собираем спланированную в нулевой части цикла сеть,
в) настраиваем VLAN'ы, разбираемся с access и trunk-портами и тегированными Ethernet-фреймами,
г) соотносим текущие знания со стеком протоколов TCP/IP и моделью OSI (да, наконец-то мы ее коснёмся).



Перед тем, как вы обратитесь к практике, настоятельно рекомендуем почитать нулевую часть, где мы всё спланировали и запротоколировали.

Читать дальше →
Total votes 92: ↑88 and ↓4 +84
Comments 45

Сети для самых маленьких. Часть нулевая. Планирование

Reading time 7 min
Views 2.1M
Это первая статья из серии «Сети для самых маленьких». Мы с товарищем thegluck долго думали с чего начать: маршрутизация, VLAN'ы, настройка оборудования.
В итоге решили начать с вещи фундаментальной и, можно сказать, самой важной: планирование. Поскольку цикл рассчитан на совсем новичков, то и пройдём весь путь от начала до конца.

Предполагается, что вы, как минимум читали о эталонной модели OSI (то же на англ.), о стеке протоколов TCP/IP (англ.), знаете о типах существующих VLAN’ов (эту статью я настоятельно рекомендую к прочтению), о наиболее популярном сейчас port-based VLAN и о IP адресах (более подробно). Мы понимаем, что для новичков «OSI» и «TCP/IP» — это страшные слова. Но не переживайте, не для того, чтобы запугать вас, мы их используем. Это то, с чем вам придётся встречаться каждый день, поэтому в течение этого цикла мы постараемся раскрыть их смысл и отношение к реальности.

Схема сети

Начнём с постановки задачи. Есть некая фирма, занимающаяся, допустим, производством лифтов, идущих только вверх, и потому называется ООО «Лифт ми ап». Расположены они в старом здании на Арбате, и сгнившие провода, воткнутые в пожжёные и прожжёные коммутаторы времён 10Base-T не ожидают подключения новых серверов по гигабитным карточкам. Итак у них катастрофическая потребность в сетевой инфраструктуре и денег куры не клюют, что даёт вам возможность безграничного выбора. Это чудесный сон любого инженера. А вы вчера выдержали собеседование и в сложной борьбе по праву получили должность сетевого администратора. И теперь вы в ней первый и единственный в своём роде. Поздравляем! Что дальше?
Читать дальше →
Total votes 104: ↑100 and ↓4 +96
Comments 134

Сети для самых маленьких. Часть первая (которая после нулевой). Подключение к оборудованию cisco

Reading time 12 min
Views 634K


Тематику cisco на хабре нельзя назвать популярной, зачастую интересные статьи остаются почти незамеченными. Но нас приятно удивил ажиотаж вокруг нашей предыдущей публикации. Больше тысячи человек добавили её в избранное, и это определённо говорит о том, что продолжение необходимо.
Кроме того, много людей, имеющих опыт реального планирования и строительства сетей, делали очень правильные замечания по резервированию. Дело в том, что предложенная в прошлый раз схема сети — это макет, лаборатория, на который мы будем отрабатывать и понимать технологии, поэтому такими вещами мы не озадачивались. В реальной же жизни, особенно, если вы оператор связи/провайдер, необходимы различные схемы резервирования: VRRP, STP, Link Aggregation, протоколы динамической маршрутизации.
Все замечания мы постараемся учесть и в конце цикла, вероятно, рассмотрим то, как сеть должна строиться, чтобы через полгода после запуска инженеру не было мучительно больно.

Сегодня же мы обратимся к части немного скучной, но важной для начинающих: как подключиться, поставить или сбросить пароль, войти по telnet. Также рассмотрим существующие программы — эмуляторы ciscо и интерфейс оборудования.
Как и обещали, в этот раз всё по-взрослому: с видео.

Под катом то же в текстовой и чуть более подробной форме.
Итак, вот они приехали — заветные коробки с надписью Cisco на борту.
Что дальше?
Total votes 74: ↑65 and ↓9 +56
Comments 76

Пишем гаджет Windows Sidebar с нуля

Reading time 7 min
Views 61K
Недавно мне понадобилось создать гаджет для Windows Sidebar. Навыков в этом у меня не было, поэтому, немного погуглив и почитав документацию, приступаем.

Сразу покажу то, что получилось в итоге


Читать дальше →
Total votes 60: ↑51 and ↓9 +42
Comments 26

Особенности взаимодействия хостинг-компаний с правоохранительными органами в разных странах

Reading time 5 min
Views 11K
Последние несколько лет наблюдается тенденция миграции российских проектов на запад и часто в обсуждениях мы видим ставшие уже классическими правила успешного бизнеса в интернете, в частности гласящие «не размещать проект в РФ, не использовать домены .ru и .рф». Расскажем о ситуации изнутри, глазами хостера/регистратора, основываясь на опыте работы крупных хостинг-компаний, как российских, так и зарубежных.
Читать дальше →
Total votes 44: ↑43 and ↓1 +42
Comments 45

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Date of birth
Registered
Activity