Pull to refresh
  • by relevance
  • by date
  • by rating

GoodCodes

Lumber room
Translation
Недавно, в попытке расшифровать заголовок одного ROM'а, я обнаружил, что русские переводы GoodCodes (это всякие [!], (U) и т.п. в имени файла), существующие на данный момент, не совсем полно отражают английский документ, поэтому было принято решение сделать новый перевод.

Я перевёл англоязычный раздел википедии и оригинальный документ. Его можно скачать в комплекте любого инструмента из GoodTools.

Перевод на википедии здесь, перевод оригинального документа здесь (оформление сохранено).

P.S.: я вполне мог где-то допустить ошибки или неточности, так что всякие исправления приветствуются.
Total votes 24: ↑18 and ↓6 +12
Views254
Comments 14

Обзор бесплатных инструментов для пентеста web-ресурсов и не только v2

Information Security
Как-то давно я уже писал об этом, но немного скудно и сумбурно. После я решил расширить список инструментов в обзоре, добавить статье структуры, учесть критику (большое спасибо Lefty за советы) и отправил ее на конкурс на СекЛаб (и опубликовал ссылку, но по всем понятным причинам ее никто не увидел). Конкурс закончен, результаты объявили и я с чистой совестью могу ее (статью) опубликовать на Хабре.

Бесплатные инструменты пентестера веб-приложений


В данной статье я расскажу о наиболее популярных инструментах для пентестинга (тестов на проникновение) веб-приложений по стратегии «черного ящика».
Для этого мы рассмотрим утилиты, которые помогут в данном виде тестирования. Рассмотрим следующие категории продуктов:

  1. Сетевые сканеры
  2. Сканеры брешей в веб-скриптах
  3. Эксплойтинг
  4. Автомазация инъекций
  5. Дебаггеры (снифферы, локальные прокси и т.п.)

Читать дальше →
Total votes 111: ↑107 and ↓4 +103
Views173K
Comments 22

ИТ аудит

IT Standards
Sandbox
Tutorial
Добрый день!

Я хотел бы осветить вопрос соблюдения требований к управлению ИТ отдела в рамках внешнего финансового аудита компании. Цель статьи заключается не в описании сопутствующих законов, а в их конкретном влиянии на управление ИТ отдела.

Вероятно, многие из вас уже сталкивались с этими требованиями в виде либо каждодневной рутины, либо авралов в конце календарного года (больше склоняюсь ко-второму), но лично я, кроме упоминаний таких понятий как SOX, HIPAA, SAS 70 (заменен на SSAE 16) и ITGC, не встречал сколько-нибудь исчерпывающего описания этого вопроса.



Не так давно, в рамках своей работы я подготовил презентацию для новых сотрудников, которая дает минимальное представление об этом виде деятельности нашей фирмы. Собственно говоря, сама презентация и сподвигла меня на написание данной статьи. Здесь я хочу заметить, что мой опыт работы на территории стран СНГ весьма ограничен – я больше работаю с международными компаниями.

Если вас интересует данный вопрос, добро пожаловать.
Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views68K
Comments 7

Использование screen для логирования действий (аудита) пользователей в Linux

Information Security

Задача:


Собирать информацию о действиях пользователя (аудита) в консоли Linux, а именно вводимых им командах и выводимой на экран информации.

Предлагаемое решение:


screen по умолчанию для всех пользователей в Linux с логированием

Необходимые условия:


  1. Полное логирование всех пользователей в консоли, включая вывод информации процессами, чтобы можно было оценить почему пользователь принял то или иное решение
  2. Без возможности отключения логирования
  3. Раз уж выбрали screen — максимально используем его возможности (открытие новых окон, отключение по ^a + d, оставляя рабочие процессы запущенными и другие удобства)
  4. Максимальное удобство — не должно быть каких-либо несовместимостей с приложениями
  5. В случае использования пользователями, не знакомыми с screen — сделать работу максимально знакомой и близкой к обычной командной оболочке (shell)

Читать дальше →
Total votes 35: ↑32 and ↓3 +29
Views25.7K
Comments 58

Получение CISA. История одного сертификата и помощь интересующимся

Information Security
Эта история о том, как я получал сертификат CISA, чтобы стать сертифицированным аудитором информационных систем и присоединиться к армии из более чем 100.000 профессионалов (по утверждению самой ISACA). Думаю в общем виде аналогия может быть расширена на CISM, CGEIT и CRISC.

Сертификация довольно популярная, в России, судя по явке на экзамен, сдают пытаются сдать многие, но не так много материалов о том, как готовиться и просто личного опыта на эту тему. Я решил исправить эту ситуацию.



Дальше таких больших картинок не будет!
Total votes 33: ↑28 and ↓5 +23
Views36.9K
Comments 32

AndroidAudit. Ваше Android-приложение как место преступления

Development of mobile applicationsDevelopment for AndroidMobile applications testing
Translation


От переводчика: оценка процесса и результата разработки — достаточно субъективная вещь, если не используется какая-либо мера весов. Можно долго спорить: табы или пробелы, git или mercurial, maven или gradle, но такие споры все равно скатываются к вкусовщине и каким-то частным случаям. Другое дело — соблюдение однородности проекта, вот это уже вполне себе измеримая величина.
Плохая методология лучше её отсутствия.
Помимо общих вещей, найдутся и специфические, присуще только мобильной разработке, только под Android. Pedro Vicente Gómez Sánchez из Karumi в своей работе разобрал по косточкам основные технические области и задал меткие вопросы для правильной, объективной оценки разработки для платформы Android. Если появится задача: оценить чужой проект, то рекомендую воспользоваться его методологией. Я воспользовался этой методологией, как чек листом. На выходе получился вполне понятный не профессионалу документ, где напротив каждой категории — конкретная величина соответствия правильности от 0 до 1.

Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views10.7K
Comments 2

Аудит актуальных уязвимостей без регистрации и смс

PerlInformation Security

Вступление


Как известно каждому, кто хоть раз подписывался на рассылки по ИБ, количество найденных за день уязвимостей часто превышает возможности человека по их разбору. Особенно, если серверов — много, особенно если там зоопарк из ОС и версий.

В этом топике я расскажу о том, как мы решили эту проблему. И да, Perl* жив :)
Читать дальше →
Total votes 33: ↑31 and ↓2 +29
Views9.5K
Comments 8

Check Point Security CheckUP — R80.10. Часть 2

TS Solution corporate blogSystem administrationIT InfrastructureCiscoNetwork technologies
Tutorial
Продолжаем цикл статей посвященный аудиту безопасности сети с помощью Check Point Security CheckUP. В первой статье мы обсудили основные возможности, а вторая часть будет посвящена подготовке платформы для CheckUP. Кроме того, совсем недавно состоялся официальный релиз новой платформы R80.10 и именно ее мы рассмотрим.

Как было сказано ранее, схема работы CheckUP примерно следующая:
image
Т.е. нам необходимо мониторить копию трафика (подключение к SPAN порту). На рисунке трафик зеркалируется на Check Point Appliance, однако не всегда есть возможность (или желание) получить такую железку. В этом случае мы можем использовать виртуальную машину. Это гораздо быстрее и достаточно в 95% случаев. В качестве гипервизора поддерживается VMware ESXi (а также VMware Workstation), KVM и Hyper-V. Но на наш субъективный взгляд на VMware работает все шустрее.
Далее будет очень много картинок…
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views12.3K
Comments 2

Check Point Security CheckUP — R80.10. Часть 3

TS Solution corporate blogSystem administrationIT InfrastructureCiscoNetwork technologies
Tutorial


Третья и заключительная часть, касающаяся возможности проведения бесплатного аудита безопасности сети с помощью Check Point Security CheckUP. Если вы пропустили прошлые части:


Закончив установку и инициализацию мы можем приступить к самой настройке. Далее будет следовать большое кол-во картинок. Если же вам лень читать, то можете подписаться на наш YouTube канал, где в скором времени появится видео инструкция по CheckUP.
Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Views8.9K
Comments 4

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 1

TS Solution corporate blogSystem administrationAntivirus protectionIT InfrastructureNetwork technologies
Tutorial
Относительно недавно мы опубликовали небольшой видео курс и несколько статей о том, как можно провести бесплатный аудит безопасности сети с помощью решений Check Point. В этот раз мы хотели бы описать подобную процедуру, но только с использованием решений Fortinet.

Fortinet



Fortinet — яркий представитель постоянных лидеров среди UTM/NGFW решений. Ранее мы публиковали соответствующий отчет Гартнер за 2017 год. Пожалуй флагманским продуктом данной компании является FortiGate — шлюз безопасности (его мы и будем рассматривать далее). Однако продуктовый портфель компании значительно шире, как можно заметить по картинке выше. Вот краткий список:
FortiGate — Межсетевой экран следующего поколения (NGFW);
FortiManager — Централизованное управление устройствами Fortinet;
FortiAnalyzer — Централизованный сбор данных о событиях (логи) со всех устройств Fortinet;
FortiSandbox — Защита от таргетированных атак (песочница);
FortiMail — Защищает от спама, вредоносного ПО во вложениях и прочих угроз электронной почты;
FortiWeb — Межсетевой экран для ваших Web-приложений;
FortiSIEM — Система сбора, анализа и корреляции событий;
FortiSwitch — Коммутаторы Fortinet;
FortiClient — Защита компьютеров пользователей;
FortiADC — Контроллер доставки приложений;
FortiDB — Защита баз даных;
FortiAuthenticator — Двухфакторная аутентификация (2FA) и доступ SSO;
FortiToken — Токены для двухфакторной аутентификации (2FA);
FortiAP — Беспроводная точка доступа;
FortiExtender — Усилитель сигнала 3G/LTE;
FortiPresence — Анализ посещаемости;
FortiCloud — Сохранение журналов в облаке;
FortiDDoS — Предотвращение DDoS-атак.
Читать дальше →
Total votes 8: ↑4 and ↓4 0
Views16.6K
Comments 7

Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2

TS Solution corporate blogSystem administrationAntivirus protectionIT InfrastructureNetwork technologies
Tutorial
В предыдущей статье мы затронули тему аудита безопасности сети с помощью Fortinet (часть 1). Мы обсудили основные возможности и рассмотрели пример отчета. Теперь же мы рассмотрим непосредственно установку и настройку. Мы условились, что для аудита будем использовать виртуальные решения FortiGate VM и FortiAnalyzer. Т.е. для начала вам необходимо запросить эти образы и демо-лицензии. К сожалению не можем предоставить прямую ссылку на образы (лицензионные ограничения). Схема внедрения выглядит довольно просто:



Т.е. на существующем сервере виртуализации «поднимаются» две виртуальные машины. В нашем случае мы будем использовать ESXi, но есть поддержка Hyper-V и KVM. FortiGate VM одним адаптером подключается к общей сети (vSwitch0). Этот линк будет использоваться для управления и для доступа в Интернет. Второй интерфейс подключается к другому vSwitch1, который в свою очередь подключен к свободному физическому порту сервера (eth2). Именно на этот порт должен зеркалироваться трафик для анализа. Обратите внимание, что для коммутатора vSwitch1 должен быть включен Promiscuous mode (Accept). Более подробно можно прочитать здесь.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views10.3K
Comments 1

«Взломайте нас, чтобы было красиво»

Information SecurityIT systems testingIT InfrastructureWeb services testing


Дисклеймер


Данная статья отражает личный опыт и мнение её авторов и написана с целью призвать сообщество к обсуждению. Здесь не будут называться имена, ни на кого не будут показывать пальцем.


Мы попытаемся обратить внимание на то, что считаем проблемой современного российского рынка услуг в сфере информационной безопасности.


Введение


Чтобы читателям был понятен контекст, мы решили начать с бэкграунда. Статья написана аналитиком информационной безопасности (мной) и специалистом по тестированию на проникновение (моим коллегой InfiniteSuns ).


Работая с заказчиками, мы систематически сталкиваемся с непониманием сути оказываемых нами услуг. Нередко это непонимание вызвано тем, что оно перенеслось на заказчика от компании, которая оказывала эти услуги. Однажды в ходе проведения внутреннего пентеста повышение привилегий и устранение средств защиты на предоставленной заказчиком офисной машине вызвало недоумение у начальника службы ИБ.


Далее в ходе обсуждения выяснилось, что до этого под названием «пентест» заказчику продавали сканирование внутренней сети при помощи «nmap» с параметром «--script vuln». Естественно, в очередной раз заказчик ожидал от пентестеров подобного поведения и искренне удивился, когда они начали захватывать его контроллер домена.

Читать дальше →
Total votes 45: ↑40 and ↓5 +35
Views32.8K
Comments 30

Типичные проблемы с безопасностью корпоративной сети, которые удается обнаружить с помощью Check Point Security CheckUP

TS Solution corporate blogInformation SecuritySystem administrationNetwork technologies

Все персонажи вымышлены, все совпадения с реальными компаниями абсолютно случайны!

Какие проблемы с безопасностью корпоративной сети чаще всего встречаются? Ответ на этот вопрос не такой простой. Но мы можем поделиться некоторой статистикой, которую мы получили проводя аудиты безопасности сети с помощью Check Point Security CheckUP. Мы уже публиковали целую серию статей о том, что такое Security CheckUP и как его провести. В первом видео уроке даже описывали, зачем вам это может понадобиться. Количество проведенных нами CheckUP-ов уже давно перевалило за сотню. За все это время накопилась статистика по самым распространенным проблемам с безопасностью сети, которые удается обнаружить с помощью Security CheckUP. Описанные ниже угрозы присутствовали практически у всех компаний (у кого-то больше, у кого-то меньше).
Читать дальше →
Total votes 15: ↑13 and ↓2 +11
Views9.1K
Comments 11

Чек-лист по настройкам безопасности Check Point

TS Solution corporate blogInformation SecuritySystem administrationIT InfrastructureNetwork technologies
Tutorial


Относительно недавно мы опубликовали в открытый доступ мини-курс "Check Point на максимум". Там мы попытались вкратце и с примерами рассмотреть самые частые ошибки в конфигурации Check Point с точки зрения ИБ. По сути мы рассказали чем плохи настройки по умолчанию и каким образом «закрутить гайки». Курс (неожиданно для нас) получил довольно хорошие отзывы. После чего, к нам поступило несколько запросов на краткую «выжимку» этого материала — чек-лист по настройкам безопасности. Мы решили, что это неплохая идея, в связи с чем и публикуем эту статью.

Перед началом мне хотелось бы сделать акцент на двух вещах:

  1. Данный чек-лист не является самодостаточным документом или руководством. Это лишь необходимый минимум проверок, которые желательно сделать. Дополнительные (расширенные) рекомендации можно получить только после детального обследования инфраструктуры.
  2. Чек-лист будет актуален не только для владельцев Check Point. Аналогичные проблемы с дефолтными настройками наблюдаются и у других вендоров: Fortigate, PaloAlto, Cisco FirePower, Kerio, Sophos и т.д.

А теперь сам чек-лист с небольшими комментариями по каждому пункту:
Читать дальше →
Total votes 11: ↑11 and ↓0 +11
Views6.3K
Comments 0

Не открывайте порты в мир — вас поломают (риски)

Information SecuritySystem administration*nixServer Administration

image


Снова и снова, после проведения аудита, на мои рекомендации спрятать порты за white-list'ом встречаюсь со стеной непонимания. Даже очень крутые админы/DevOps'ы спрашивают: "Зачем?!?"


Предлагаю рассмотреть риски в порядке убывания вероятности наступления и ущерба.


  1. Ошибка конфигурации
  2. DDoS по IP
  3. Брутфорс
  4. Уязвимости сервисов
  5. Уязвимости стека ядра
  6. Усиление DDoS атак
Читать дальше →
Total votes 33: ↑28 and ↓5 +23
Views42.8K
Comments 71

Bitrix. Аудит своими руками

IT Infrastructure1С-Bitrix
Tutorial
Recovery mode
Всем привет.

Когда я искал информацию о журналировании (аудите событий) в Bitrix, на Хабре не было ни чего, в остальном рунете кое что было, но кто же там найдёт?

Для пополнения базы знаний я решил написать эту статью: поделиться своим опытом и предупредить о возможных граблях.

Постановка задачи


Моей задачей было разработать простейшую учётную систему рекламных конструкций, по условиям гос контракта система должна работать на базе Битрикса (версия 15).

Можно было всё навелосипедить сбоку от Битрикса, но я решил что это будет слишком нечестно по отношению к заказчику, функционал Битрикса был использован по максимуму:

  • аутентификация пользователей
  • система хранения данных (EAV)
  • редактор данных
  • обработчики событий аудита
  • ролевая модель для авторизации действий пользователей
  • управление пользователями
  • работа со справочниками

Эта статья в основном о событиях аудита, также немного расскажу об авторизации и добавлении пользовательских закладок к карточке записи инфоблока.
Читать дальше →
Total votes 8: ↑5 and ↓3 +2
Views2.6K
Comments 8

Код аудита: поиск дублей, face detection и аномальные изображения

Росбанк corporate blogPythonAlgorithmsImage processingMachine learning
Хабр, привет! Сегодня я расскажу, как мы делали аудит изображений, используя компьютерное зрение, сверточную нейронную сеть FaceNet, а также про кластеризацию гистограмм с целью поиска аномальных изображений.

image
Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Views3.2K
Comments 7