difezza

5 октября 2015, Russia

# Понедельник 9 твитов

Привет, уважаемый фолловер! Меня зовут Денис Макрушин, и на этой неделе мы поговорим об информационной безопасности и ее роли в разработке.

14:11

Надеюсь, ты следишь за новостями в индустрии ИБ? Наверняка даже все знаешь о самых свежих уязвимостях. Если нет, то подписывайся @difezza

14:19

Тот документ, с которого должна начинаться безопасная разработка веб-приложения: owasp.org/images/0/08/OW… или думаешь, что XSS - не страшно?

14:26

Настольная книга хакера веб-приложений. Этичного хакера. И просто руководство о том, как проверить свою разработку. eu.wiley.com/WileyCDA/Wiley…

15:30

Возможно, этот инцидент - хороший пример того, что стоит внимательнее подходить к своим приложениям. Веб - наш хлеб! xakep.ru/2015/10/02/pat…

15:33

Почему не шумим в твиттере? Потому что шумим на сцене! Рассказываем молодым разработчикам, как НЕ нужно разрабатывать pic.twitter.com/Qw60OXrAs8

21:42

Кстати, одной из историй был наш "Анализ защищенности публичных терминалов". Не используйте виджеты "как есть". defec.ru/public-termina…

21:44

"Ботнет, который исправляет уязвимости в зараженных им маршрутизаторах" - и все же это незаконно. А вы что скажете?habrahabr.ru/post/268177/

21:51

А есть ли среди читателей, кто прям сейчас подумал "Пффф... что мне там ваш веб, я разработчик приложений под Android!". А?

21:57

# Вторник 10 твитов

Коллеги, а кто-нибудь из вас использует даркнеты в повседневной жизни? Ну там всякие Tor, I2P, FreeNET...

11:02

Если вы используете даркнет в качестве средства анонимного серфинга, то задумайтесь: securelist.ru/analysis/obzor…

11:06

SAP Afaria. Маленькая SMS для взлома большой компании. habrahabr.ru/company/dsec/b…

11:29

Программируемые беспилотники – легкая добыча для хакера. Ещё раз доказано на конференции VB: kas.pr/6iwv
@e_kaspersky_ru

13:10

Используешь непропатченный WinRAR? Тогда ты в опасности! threatpost.ru/uyazvimost-nul…

13:15

Опять SAP и опять XSS/SQL-inj... threatpost.ru/sap-patches-12…

13:28

Вопрос на миллион: как вы управляете паролями/явками от боевых машин/сервисов? //cc @backendsecret
@Nevkontakte

13:50

Мастер-класс по безопасному вкручиванию лампочки для программистов :) #DItelegraph pic.twitter.com/xqxCnD5PSl

13:52

DDoS от самых маленьких securelist.ru/blog/issledova…

15:29

"Показатели компрометации как средство снижения рисков". Материал о том самом принципе - "доверяй, но проверяй". defec.ru/ioc/

15:52

# Среда 10 твитов

Endress+Hauser и CodeWrights закрыли уязвимость в ПО через 2,5 года после уведомления xakep.ru/2015/10/07/end…

10:41

Деньги онлайн: угрозы и концепция защиты электронных платежей defec.ru/online_money/

10:57

Послушай и сделай свои выводы: "Обзор рынка киберпреступности" defec.ru/itkompot_44/

12:55

Даже если предприятия атомной энергетики не думают о кибербезопасности, то... threatpost.ru/predpriyatiya-…

14:20

Немного прогнозов о будущем традиционных паролей threatpost.ru/traditsionnye-…

14:21

Поговорим о безопасности Android: настольная книга мобильного хак... разработчика. Заботливого разработчика. eu.wiley.com/WileyCDA/Wiley…

16:17

Инженерия социальная?! Дайте две! habrahabr.ru/company/pt/blo…

16:26

Человеческий фактор несет с собой уязвимости даже в самую защищенную инфраструктуру. Можно ли ее пропатчить? Можно! Тренинги, курсы...

16:27

Сделай перерыв, твиттерянин, посмотри видео, в котором Рауль ломает своего дрона thehackernews.com/2015/01/MalDro…

16:29

А ведь дедушка Кевин уже давно написал "эксплойт" к человеческой "баге": amazon.com/Art-Intrusion-…

16:35

# Четверг 9 твитов

Предлагаю начать трудовое утро с воспоминаний о солнечной Атланте, где проходила конференция #HackerHalted defec.ru/point-of-view-…

11:05

Меня спросили, участвую ли я в CTF.Чукча не участник, чукча создатель: недавно мы подняли вот такую игровую площадку kvest.ru

11:08

@backendsecret а ты сам сталкивался?
@dcromster

С социальной инженерией сталкивается каждый, кто получается спам-письмо с вложением или просьбой перейти по ссылке. twitter.com/dcromster/stat…

11:10

@backendsecret но это же примитив :)
@dcromster

Спам-рассылки - примитв, который хорошо работает. А вот как злодеи крадут второй фактор: securelist.com/ru/analysis/20… twitter.com/dcromster/stat…

11:20

Меня спросили, участвую ли я в CTF.Чукча не участник, чукча создатель: недавно мы подняли вот такую игровую площадку kvest.ru
@backendsecret

Социальная инженерия или просто опечатка? :) lkvest.ru twitter.com/backendsecret/…

13:06

Фреймворк для анализа защищенности веб-приложений w3af.org

13:07

А вот тут материал о том, как этим фреймворком пользоваться #w3af xakep.ru/2012/11/09/w3a…

13:08

"Безопасность сайтов MS оставляет желать лучшего". Просто они о bugbounty на своих ресурсах еще не задумывались. xakep.ru/2015/10/08/cid…

14:58

ИБ-эксперт отменил доклад на IT-конференции под давлением производителей web-камер securitylab.ru/news/475075.php

15:39

# Пятница 6 твитов

@backendsecret // зашёл почитать аккаунт, потому что думал, что на аватарке — погоны. Было уже?
@beshur

Правильный аватар - залог успеха! :) twitter.com/beshur/status/…

10:36

В конце октября «ВКонтакте» проведет хакатон xakep.ru/2015/10/09/hac…

10:37

The White Team is author of Linux.Wifatch gitlab.com/rav7teif/linux…
@difezza

Помните твит о "добром вирусе", который заражал и затем патчил устройства? Так вот объявился автор. twitter.com/difezza/status…

10:41

Две стороны "доброноса" Linux.Wifatch - патчинг роутеров и возможность исполнения произвольных команд habrahabr.ru/post/268177/
@difezza

11:31

@difezza комменты в коде конечно доставляют
# return if $conn->{name} eq "81.15.226.162:51606"; # todo: avoid all seeds?
@ivanenok

11:32

Исследователь обнаружил уязвимости в маршрутизаторах Huawei securitylab.ru/news/475299.php

11:52

# Суббота 8 твитов

Кража под музыку: приложение «Музыка ВКонтакте» ворует аккаунты пользователей securelist.ru/blog/intsident…

11:02

USB killer v2.0. Слабонервным видео не смотреть. habrahabr.ru/post/268421/

11:03

Точка зрения: Hacker Halted 2015. Колонка Дениса Макрушина. xakep.ru/2015/10/07/hac…

11:12

@backendsecret Кстати я доси не пойму реальное применение этой убийце USB портов. От слова вообще.
@POS_troi

Ну, например такой кейс: "Моя презентация вот на этой флешке..." :) Или если вы журналист с секретными документами.. twitter.com/POS_troi/statu…

11:29

@backendsecret всегда удивлялся как даже технари легко водили свой пароль в какое то левое приложение(и даже не webview)
@ruxeg

14:01

Где заканичвается анонимность в анонимных сетях? Мы попытались ответить на этот вопрос в нашем докладе: defec.ru/phdays-v/

14:02

А что если бы можно было создать ботнет для благородных целей? Нет, не патчинг уязвимых роутеров, а нечто глобальное defec.ru/ddos-crowdsour…

14:03

Алгоритм SHA-1 можно взломать за $75k threatpost.ru/algoritm-sha-1…

14:08

# Воскресенье 16 твитов

@backendsecret симпотичные у тебя коллеги ;) Т.е. тор - дырка и лучше не пользоваться?
@dcromster

Нельзя сказать, что это Tor - решето, но и нельзя сказать, что Tor- панацея от всех бед, связанных с анонимностью. twitter.com/dcromster/stat…

16:13

@backendsecret специально заражать и считать лекарство от рака или ЗЧ искаь? :)
@dcromster

Нууу, раньше под видом программ для распределенных вычислений (поиск внеземных цивилизаций) создавали ботнеты :) twitter.com/dcromster/stat…

16:14

@backendsecret А если использовать приватный режим браузера фингерпринты теряются при каждой сессии?
@dcromster

Приватный режим браузера не спасает от фингерпринтинга. Никакой режим браузера не спасает от фингерпринтина :) twitter.com/dcromster/stat…

16:14

@backendsecret можешь рассказать о безопасности ПД в соц сеточках? Опасно ли фоточки с детьми выкладывать? с отдыха?=>
@dcromster

Для начала лучше составить "модель угроз" для этих ПД. К примеру, опасно чекиниться в отпуске, ели дома никого нет.. twitter.com/dcromster/stat…

16:15

Иногда самый безобидный "чекин" может обернуться кражей имущества.

16:17

Другой пример: вы гос. служащий и оставляете селфи у себя в профле. Вот только фото содержит в себе метаинформацию с геопозицей...

16:18

@backendsecret т.е. лучше запускать браузер в VM, а потом её грохать?
@dcromster

Трудно сказать, т.к. внутри VM браузер также дает уникальный фингерпринт. Наверное лучше использовать инстанс в AWS twitter.com/dcromster/stat…

16:24

@backendsecret А про фото своих деточек что скажешь? Я считаю, что это опасно т.к. заинтересованный может сопоставить,найти,урасть...
@dcromster

Да, лишняя информация о себе и детях всегда может оказаться "полезной" для злодея. Лучше воздержаться. twitter.com/dcromster/stat…

16:26

@backendsecret а что мешает выкладывать селфи с лагом в час-два, когда ты уже сменишь место?
@nyamtik

Дело в том, что если селфи делалось на каком-либо гос. объекте, то это все равно можно вытащить из меты twitter.com/nyamtik/status…

16:27

@backendsecret всеравно не понимаю :( Если делать одинаковые VM, то и набор признаков будет одинаковый.Разве нет?
@dcromster

Нет, потому что сама ВМ запущена в оригинальном окружении. На фингерпринт влияет не только ПО, но и железо. twitter.com/dcromster/stat…

16:27

@backendsecret «Хорошая» в данном контексте понимается как «очень точно повторяющая виртуальные характеристики», или около того
@iamale_ru

Возможно это спасет. Нужно экспериментировать :) twitter.com/iamale_ru/stat…

16:31

.@dcromster более того, не надо ничего ломать. Общественные камеры в некоторых местах специально сделали публично доступными :)

16:41

Каждый уважающий себя специалист по информационной безопасности должен занести в закладки поисковик #Shodan shodanhq.com

16:43

.@POS_troi @dcromster "не надо ничего ломать!" - 272 УК РФ

16:48

@rubyunderhood @POS_troi @backendsecret группа пользователей и разработчиков радара ;-) (в основном английский язык)
@dukebarman

19:12

Наша неделя подходит к концу. Осталось так много недосказанностей, которые я "доскажу" здесь: @difezza. Спасибо вам! Не прощаюсь.
Денис. ;)

21:11

# Ссылки

xakep.ru

defec.ru

threatpost.ru

other

←

@anton_davydov

@anton_sunrise

→

@iamstarkov c любовью разработал