О механизмах безопасности OpenSSH: разбираем уязвимости 2024 года
Прошлый год интересно проходил для SSH. Весной — бэкдор в xz-utils (CVE-2024-3094), в результате эксплуатации которого были скомпрометированы системы с systemd. В июле — критически опасная уязвимость «состояния гонки» для систем на базе glibc, получившая название regreSSHion. Спустя еще неделю была...
Атаки на GitHub-разработчика в 2024 году
Тренд «Platform Engineering», предложенный аналитическими агентствами, стал интересен не только компаниям, которые трансформируют свои процессы, команды и инструменты согласно новым подходам. Этот тренд также интересует и злоумышленников, которые используют возможности платформ разработки для...
Обходим ограничение доступа Github к базе уязвимостей Trivy. Быстрый фикс вам в помощь
Совсем недавно разработчики, применяющие сканер образов Trivy, столкнулись с ошибкой TOOMANYREQUESTS. Она произошла из-за достижения максимального количества пользователей инструмента и предельной скорости по загрузкам из Container Registry (CR) ghcr.io. Меня зовут Алиса Кириченко, я занимаюсь...
Тестирование на проникновение в веб-приложение VAmPI
Привет, уважаемый читатель! В рамках данной статьи мы узнаем: * Какие API уязвимости есть в VAmPI? * Из-за чего эти уязвимости существуют и эксплуатируются? * Какие есть способы защитить веб-приложение? * Какой есть дополнительный материал для самостоятельного изучения? Ссылка на GitHub VAmPI:...
Создание GitHub бота для сообщества
В мире разработки ПО своевременное получение информации о событиях в репозиториях важно для активного сообщества. Мы решили автоматизировать этот процесс, создав чат-бота для нашего комьюнити в Telegram. Мы сделали упор на то, чтобы бот был простым в использовании, помогал оставаться в курсе...
Скачай меня полностью: ресурсы с кряками-вредоносами стали продвигать на GitHub
Летом мы опубликовали исследование, в котором аналитики Центра кибербезопасности F.A.C.C.T. рассказали про обнаруженную ими сеть из более чем 1300 доменов, распространяющих вредоносные программы под видом популярных утилит, офисных приложений вместе с ключами активации или активаторами. В итоге...
Утечки данных первой половины 2024 года: ИТ-компании — в топ-3 отраслей
Как случилось, что все наши пароли и явки легко становятся добычей хакеров? Какие данные ценятся у хакеров больше всего и почему киберпреступники иногда выкладывают в открытый доступ утекшую информацию? Обсудим в этой статье. Мы изучили почти 1000 объявлений на форумах теневого рынка и свыше 700...
[Перевод] Как бороться с ReDoS
Проверка кода (Code Scanning) автоматически обнаруживает ReDoS-уязвимости, но исправить их бывает не всегда просто. В этой статье описана 4-х этапная стратегия исправления багов ReDoS. Читать далее...
Уязвимости на GitHub: в библиотеке Ruby, которую скачали 250 000 раз, модулях для электронных замков и популярных играх
В конце марта в блоге GitHub вышла статья, как защищаться от уязвимостей типа RepoJacking. В первых строчках автор советовал использовать пакетные менеджеры типа NPM и PyPI, чтобы киберугроза этого вида «не угрожала пользователю напрямую». Можно было бы вздохнуть с облегчением, но читатели Хабра...
Обозреваем и практикуем популярные OSINT инструменты
Введение Рад вновь приветствовать читателей в своей любимой рубрике "ШХ" что является сокращением от "Шерлок Холмс" и разумеется серия таких статей напрямую относится к OSINT. Сегодня на практике попробуем некоторые инструменты и попробуем узнать больше о человеке исходя из его никнейма. В качестве...
Сканируем сеть. Собираем информацию об организациях
Снова рад приветствовать всех подписчиков и читателей! Сегодня хочу представить вашему вниманию несколько инструментов OSINT подходящих для сканирования сети и сбора информации об организациях. В этой статье подробно разберём установку, настройку и использование каждого инструмента, так же разберём...
На GitHub больше 1 000 уязвимых репозиториев: в чём суть угрозы и что с этим делать
Привет, Хабр! На связи технический директор MTC RED Денис Макрушин и команда Advanced Research Team: Павел Гусь, Иван Бессарабов и Андрей Сомсиков. В январе разработчики GitLab нашли в своей системе две критические уязвимости. Из-за ошибок в верификации злоумышленники могут захватывать учётки...
Загрязненный — значит опасный: про уязвимость Prototype Pollution
Prototype Pollution (CVE-2023-45811, CVE-2023-38894, CVE-2019-10744) — не новая брешь, вы уже наверняка читали про нее и на Хабре, и на PortSwigger, и даже в научных журналах, но есть нюанс. Несмотря на большое количество публикаций, некоторые популярные решения до сих пор остаются уязвимыми для...
Обходим обязательную привязку телефонного номера к своей учетной записи на GitHub
Недавно столкнулся с лицемерием GitHub, который якобы под предлогом беспокойства о безопасности обычных пользователей начал вводить обязательную двухфакторную аутентификацию. Сперва выборочно только для самых активных, а в последствии и для всех остальных без исключения. Надуманность данного повода...
[Перевод] Гитхаб вас сдаст: идентификация пользователей SSH-серверов
Недавно в своих ежедневных чтениях я наткнулся на явление, о котором думал уже много лет: феномен утечки информации людей, использующих SSH. Этот тип утечки информации не является новым явлением. Я давно предупреждал об этой опасности своих друзей, использующих SSH, но мой голос услышали лишь...
Топ некритичных ошибок в инфраструктуре, приводящих к критичным проблемам
Допустить незначительную ошибку в конфигурации — очень просто. Однако, череда таких некритических уязвимостей может привести к компрометации системы. Поэтому, даже если других дел тоже очень много, нужно уметь не допускать таких ошибок, то есть изначально настраивать инфраструктуру безопасно....
Подпись коммитов в git при помощи gpg
В этой статье я расскажу о том, как и зачем подписывать и верифицировать коммиты в git при помощи gpg. Читать далее...
Space Pirates разбушевались: масштабные атаки на Россию, загадочная четверка и блогер-разработчик
В конце 2019 года мы обнаружили новую группировку, которую назвали Space Pirates. О том, кого атакуют «пираты» и какие используют техники, уже писали в нашем блоге. Основными целями киберпреступников по-прежнему являются шпионаж и кража конфиденциальной информации. Однако Space Pirates расширила...