difezza

5 октября 2015, Russia

# Понедельник 9 твитов

Привет, уважаемый фолловер! Меня зовут Денис Макрушин, и на этой неделе мы поговорим об информационной безопасности и ее роли в разработке.

11:11

Надеюсь, ты следишь за новостями в индустрии ИБ? Наверняка даже все знаешь о самых свежих уязвимостях. Если нет, то подписывайся @difezza

11:19

Тот документ, с которого должна начинаться безопасная разработка веб-приложения: owasp.org/images/0/08/OW… или думаешь, что XSS - не страшно?

11:26

Настольная книга хакера веб-приложений. Этичного хакера. И просто руководство о том, как проверить свою разработку. eu.wiley.com/WileyCDA/Wiley…

12:30

Возможно, этот инцидент - хороший пример того, что стоит внимательнее подходить к своим приложениям. Веб - наш хлеб! xakep.ru/2015/10/02/pat…

12:33

Почему не шумим в твиттере? Потому что шумим на сцене! Рассказываем молодым разработчикам, как НЕ нужно разрабатывать pic.twitter.com/Qw60OXrAs8

18:42

Кстати, одной из историй был наш "Анализ защищенности публичных терминалов". Не используйте виджеты "как есть". defec.ru/public-termina…

18:44

"Ботнет, который исправляет уязвимости в зараженных им маршрутизаторах" - и все же это незаконно. А вы что скажете?habrahabr.ru/post/268177/

18:51

А есть ли среди читателей, кто прям сейчас подумал "Пффф... что мне там ваш веб, я разработчик приложений под Android!". А?

18:57

# Вторник 10 твитов

Коллеги, а кто-нибудь из вас использует даркнеты в повседневной жизни? Ну там всякие Tor, I2P, FreeNET...

8:02

Если вы используете даркнет в качестве средства анонимного серфинга, то задумайтесь: securelist.ru/analysis/obzor…

8:06

SAP Afaria. Маленькая SMS для взлома большой компании. habrahabr.ru/company/dsec/b…

8:29
Программируемые беспилотники – легкая добыча для хакера. Ещё раз доказано на конференции VB: kas.pr/6iwv
10:10

Используешь непропатченный WinRAR? Тогда ты в опасности! threatpost.ru/uyazvimost-nul…

10:15

Опять SAP и опять XSS/SQL-inj... threatpost.ru/sap-patches-12…

10:28
Вопрос на миллион: как вы управляете паролями/явками от боевых машин/сервисов? //cc @backendsecret
10:50

Мастер-класс по безопасному вкручиванию лампочки для программистов :) #DItelegraph pic.twitter.com/xqxCnD5PSl

10:52

DDoS от самых маленьких securelist.ru/blog/issledova…

12:29

"Показатели компрометации как средство снижения рисков". Материал о том самом принципе - "доверяй, но проверяй". defec.ru/ioc/

12:52

# Среда 10 твитов

Endress+Hauser и CodeWrights закрыли уязвимость в ПО через 2,5 года после уведомления xakep.ru/2015/10/07/end…

7:41

Деньги онлайн: угрозы и концепция защиты электронных платежей defec.ru/online_money/

7:57

Послушай и сделай свои выводы: "Обзор рынка киберпреступности" defec.ru/itkompot_44/

9:55

Даже если предприятия атомной энергетики не думают о кибербезопасности, то... threatpost.ru/predpriyatiya-…

11:20

Немного прогнозов о будущем традиционных паролей threatpost.ru/traditsionnye-…

11:21

Поговорим о безопасности Android: настольная книга мобильного хак... разработчика. Заботливого разработчика. eu.wiley.com/WileyCDA/Wiley…

13:17

Инженерия социальная?! Дайте две! habrahabr.ru/company/pt/blo…

13:26

Человеческий фактор несет с собой уязвимости даже в самую защищенную инфраструктуру. Можно ли ее пропатчить? Можно! Тренинги, курсы...

13:27

Сделай перерыв, твиттерянин, посмотри видео, в котором Рауль ломает своего дрона thehackernews.com/2015/01/MalDro…

13:29

А ведь дедушка Кевин уже давно написал "эксплойт" к человеческой "баге": amazon.com/Art-Intrusion-…

13:35

# Четверг 9 твитов

Предлагаю начать трудовое утро с воспоминаний о солнечной Атланте, где проходила конференция #HackerHalted defec.ru/point-of-view-…

8:05

Меня спросили, участвую ли я в CTF.Чукча не участник, чукча создатель: недавно мы подняли вот такую игровую площадку kvest.ru

8:08
@backendsecret а ты сам сталкивался?

С социальной инженерией сталкивается каждый, кто получается спам-письмо с вложением или просьбой перейти по ссылке. twitter.com/dcromster/stat…

8:10
@backendsecret но это же примитив :)

Спам-рассылки - примитв, который хорошо работает. А вот как злодеи крадут второй фактор: securelist.com/ru/analysis/20… twitter.com/dcromster/stat…

8:20
Меня спросили, участвую ли я в CTF.Чукча не участник, чукча создатель: недавно мы подняли вот такую игровую площадку kvest.ru

Социальная инженерия или просто опечатка? :) lkvest.ru twitter.com/backendsecret/…

10:06

Фреймворк для анализа защищенности веб-приложений w3af.org

10:07

А вот тут материал о том, как этим фреймворком пользоваться #w3af xakep.ru/2012/11/09/w3a…

10:08

"Безопасность сайтов MS оставляет желать лучшего". Просто они о bugbounty на своих ресурсах еще не задумывались. xakep.ru/2015/10/08/cid…

11:58

ИБ-эксперт отменил доклад на IT-конференции под давлением производителей web-камер securitylab.ru/news/475075.php

12:39

# Пятница 6 твитов

@backendsecret // зашёл почитать аккаунт, потому что думал, что на аватарке — погоны. Было уже?

Правильный аватар - залог успеха! :) twitter.com/beshur/status/…

7:36

В конце октября «ВКонтакте» проведет хакатон xakep.ru/2015/10/09/hac…

7:37
The White Team is author of Linux.Wifatch gitlab.com/rav7teif/linux…

Помните твит о "добром вирусе", который заражал и затем патчил устройства? Так вот объявился автор. twitter.com/difezza/status…

7:41
Две стороны "доброноса" Linux.Wifatch - патчинг роутеров и возможность исполнения произвольных команд habrahabr.ru/post/268177/
8:31
@difezza комменты в коде конечно доставляют
# return if $conn->{name} eq "81.15.226.162:51606"; # todo: avoid all seeds?
8:32

Исследователь обнаружил уязвимости в маршрутизаторах Huawei securitylab.ru/news/475299.php

8:52

# Суббота 8 твитов

Кража под музыку: приложение «Музыка ВКонтакте» ворует аккаунты пользователей securelist.ru/blog/intsident…

8:02

USB killer v2.0. Слабонервным видео не смотреть. habrahabr.ru/post/268421/

8:03

Точка зрения: Hacker Halted 2015. Колонка Дениса Макрушина. xakep.ru/2015/10/07/hac…

8:12
@backendsecret Кстати я доси не пойму реальное применение этой убийце USB портов. От слова вообще.

Ну, например такой кейс: "Моя презентация вот на этой флешке..." :) Или если вы журналист с секретными документами.. twitter.com/POS_troi/statu…

8:29
@backendsecret всегда удивлялся как даже технари легко водили свой пароль в какое то левое приложение(и даже не webview)
11:01

Где заканичвается анонимность в анонимных сетях? Мы попытались ответить на этот вопрос в нашем докладе: defec.ru/phdays-v/

11:02

А что если бы можно было создать ботнет для благородных целей? Нет, не патчинг уязвимых роутеров, а нечто глобальное defec.ru/ddos-crowdsour…

11:03

Алгоритм SHA-1 можно взломать за $75k threatpost.ru/algoritm-sha-1…

11:08

# Воскресенье 16 твитов

@backendsecret симпотичные у тебя коллеги ;) Т.е. тор - дырка и лучше не пользоваться?

Нельзя сказать, что это Tor - решето, но и нельзя сказать, что Tor- панацея от всех бед, связанных с анонимностью. twitter.com/dcromster/stat…

13:13
@backendsecret специально заражать и считать лекарство от рака или ЗЧ искаь? :)

Нууу, раньше под видом программ для распределенных вычислений (поиск внеземных цивилизаций) создавали ботнеты :) twitter.com/dcromster/stat…

13:14
@backendsecret А если использовать приватный режим браузера фингерпринты теряются при каждой сессии?

Приватный режим браузера не спасает от фингерпринтинга. Никакой режим браузера не спасает от фингерпринтина :) twitter.com/dcromster/stat…

13:14
@backendsecret можешь рассказать о безопасности ПД в соц сеточках? Опасно ли фоточки с детьми выкладывать? с отдыха?=>

Для начала лучше составить "модель угроз" для этих ПД. К примеру, опасно чекиниться в отпуске, ели дома никого нет.. twitter.com/dcromster/stat…

13:15

Иногда самый безобидный "чекин" может обернуться кражей имущества.

13:17

Другой пример: вы гос. служащий и оставляете селфи у себя в профле. Вот только фото содержит в себе метаинформацию с геопозицей...

13:18
@backendsecret т.е. лучше запускать браузер в VM, а потом её грохать?

Трудно сказать, т.к. внутри VM браузер также дает уникальный фингерпринт. Наверное лучше использовать инстанс в AWS twitter.com/dcromster/stat…

13:24
@backendsecret А про фото своих деточек что скажешь? Я считаю, что это опасно т.к. заинтересованный может сопоставить,найти,урасть...

Да, лишняя информация о себе и детях всегда может оказаться "полезной" для злодея. Лучше воздержаться. twitter.com/dcromster/stat…

13:26
@backendsecret а что мешает выкладывать селфи с лагом в час-два, когда ты уже сменишь место?

Дело в том, что если селфи делалось на каком-либо гос. объекте, то это все равно можно вытащить из меты twitter.com/nyamtik/status…

13:27
@backendsecret всеравно не понимаю :( Если делать одинаковые VM, то и набор признаков будет одинаковый.Разве нет?

Нет, потому что сама ВМ запущена в оригинальном окружении. На фингерпринт влияет не только ПО, но и железо. twitter.com/dcromster/stat…

13:27
@backendsecret «Хорошая» в данном контексте понимается как «очень точно повторяющая виртуальные характеристики», или около того

Возможно это спасет. Нужно экспериментировать :) twitter.com/iamale_ru/stat…

13:31

.@dcromster более того, не надо ничего ломать. Общественные камеры в некоторых местах специально сделали публично доступными :)

13:41

Каждый уважающий себя специалист по информационной безопасности должен занести в закладки поисковик #Shodan shodanhq.com

13:43

.@POS_troi @dcromster "не надо ничего ломать!" - 272 УК РФ

13:48
@rubyunderhood @POS_troi @backendsecret группа пользователей и разработчиков радара ;-) (в основном английский язык)
16:12

Наша неделя подходит к концу. Осталось так много недосказанностей, которые я "доскажу" здесь: @difezza. Спасибо вам! Не прощаюсь.
Денис. ;)

18:11

xakep.ru

defec.ru

threatpost.ru

other