Выбрать язык


Выбрать язык | Show only


Русский | English


воскресенье, 31 мая 2020 г.

Орел и Решка:
- Премиальная карта MasterCard - быстро, удобно, безопасно.
И оплачивают счет в несколько тысяч долларов, не вводя PIN-код.

вторник, 26 мая 2020 г.

Питч-сессия SOC v2.0: уровень организации онлайн-меропиятия

Участвовал сегодня в питч-сессии v2.0 «Опыт ошибок SOC: срывая покровы» (не договорили на SOC-форуме, впрочем, как и сейчас).

Казалось бы, чего можно интересного рассказать об онлайн-конференции по ИБ, после того, как сбился со счета выступлений в оффлайне? Наверное, удивить может только соотношение "ожидание" - "реальность".


четверг, 30 апреля 2020 г.

Противостояние. Интервью защитника

Посвящается перенесенному мероприятию-2020.

- А вы безопасник?
- Да.
- Настоящий?
- Информационный.
- Ух ты. А как это?
- Как настоящий, только информационный.
- И в боевых действиях принимали участие?
- Не то, чтобы в совсем боевых, но было.
- Война, сражение?
- Противостояние.
- И страшно было?
- Бывало.
- А когда страшнее всего было?
- Когда понимаешь, что атакующие где-то пробились, но не понимаешь, где, и к тебе ли пробились.
- И что в этой ситуации вам придает сил?
- То, что атакующий может сам понимать еще меньше.
- Прям такая неразбериха на поле боя?
- Не то слово. Как Большой адронный коллайдер - если туда падает гаечный ключ, то разгоняется до такой скорости, что врезается сам в себя сзади.
- А на поле боя в одиночку выходили?
- Только со своей группой спецназа.
- Так опасно? Страшно было?
- Аккуратно перемещались по полю боя, и ничего, кроме мужества, не испытывали.
- А скажите, ведь в войнах всегда есть сторона, которой эта война выгодна. В вашем случае вы задумывались, ради чего все это?
- Не просто задумывался, а выяснил и все отлично знал.
- Да ладно! А можете рассказать?
- Есть, как минимум, один человек, который, умело манипулируя происходящим в киберпространстве, столкнул противоборствующие стороны.
- И ему это выгодно?
- Чрезвычайно.
- И ему до вас, как до людей, никакого дела нет?
- Да видал он нас на пуфиках в черных тапочках.
- А почему же вы идете у него на поводу?
- Умеет манипулировать.
- А что будет, если вы не будете участвовать?
- Скучно будет.
- Кажется, я понимаю: вы из тех, кто, вкусив крови, уже не может остановиться.
- В последний раз было не до крови, воды еле раздобыли.
- И последний вопрос: как долго вам приходилось сидеть в засаде, терпеть лишения и воевать, чтобы в итоге победить?
- Если на противостоянии, то почти двое суток.
- А что, и дольше бывало?
- Да.
- И сколько?
- 512 часов.

среда, 11 марта 2020 г.

CVE-2020-0796 - коронавирус для Windows, и вакцина вторника

- SMBv1 уже закрыли, чего еще бояться?
- Петя уже не вернется, мы все пропатчили!

...ИТ-специалисты уже начали забывать об опасностях, которые несет в себе протокол SMB, но не тут-то было...

10 марта 2020 года уязвимость с CVE-2020-0796 открывает вредоносам не менее широкие возможности, чем это делал Petya.

Картинки по запросу "i'll be back"

Тип уязвимости: RCE, удаленное выполнение произвольного кода, авторизации не требует.

CVSS10

Причина: ошибка при обработке сжатых пакетов SMBv3. В отличие от WannaCry и Petya, выполнение произвольного кода возможно не только на сервере, но и на клиенте, если он подключится не к тому SMB-серверу.

Уязвимые системы:
Windows 10 Версия 1903 для 32-битных систем
Windows 10 версии 1903 для систем на базе ARM64
Windows 10 Версия 1903 для 64-разрядных систем
Windows 10 Версия 1909 для 32-битных систем
Windows 10 версии 1909 для систем на базе ARM64
Windows 10 Версия 1909 для 64-разрядных систем
Windows Server, версия 1903 (установка Server Core)
Windows Server, версия 1909 (установка Server Core)
   
Патч: на момент написания статьи отсутствует.

Workaround: отключить сжатие на серверах SMBv3. Microsoft предлагает создать ключ в реестре c помощью скрипта PowerShell:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Учтите, что это защитит SMB-сервер, но SMB-клиент остается уязвимым.

Кроме того, стоит запретить доступ по порту 445 из недоверенных сегментов, ограничить использование протокола SMB внутри корпоративной сети и не подключаться к малознакомым файловым серверам где бы то ни было.

И в дополнение:
Чтобы не было мучительно больно, обратите внимание, что в свежем выпуске патчей от Microsoft было устранено много интересного и опасного
Жаль, что там не нашлось места для устранения CVE-2020-0796, но затягивать с установкой не стоит.