Makrushin

GitHub-звезды могут обмануть разработчика Как мы обычно оцениваем репутацию какого-нибудь GitHub-репозитория? Чаще всего на основе количества звезд и активности в этом репозитории. Для кого-то из разработчиков число звезд напрямую определяет степень доверия к этому репозиторию. В связи с этим растет количество фейковых звезд на GitHub: их уже насчитывается более 3,7 миллионов. Эти звезды создают ложное впечатление популярности проектов, которые на самом деле скрывают вредоносное ПО или какой-либо мошеннический контент. Злодеи используют их для обмана разработчиков, маскируя опасные репозитории под успешные проекты. Чтобы защитить себя от этого вида мошенничества анализируем всю активность в проекте. Например, изучаем обсуждения в репозитории и репутацию авторов.

Моделируем угрозы по-быстрому: STRIDE Бывают ситуации, когда необходимо быстро подготовить модель угроз. Например, внезапно команда разработки решила самостоятельно провести Security Design Review для новой фичи. Или только что образованной команде безопасности продукта потребовалось определить приоритеты в анализе защищенности. А еще бывает так, что в стартапе, где все занимаются всем, потребовалось выстроить процесс безопасной разработки, и нужно с чего-то начать. Рецепт быстрой подготовки модели угроз: 1. берем методологию STRIDE; 2. садимся вместе со всеми причастными командами и совместно заполняем шаблон; 3. получаем таблицу угроз и действий для их устранения; 4. опционально: к обнаруженным угрозам добавляем оценку рисков по модели DREAD; 5. опционально: автоматизируем процесс с помощью инструмента STRIDE GPT.

Августовский #дайджест: топ постов * Как оценить возможности ИИ в обнаружении уязвимостей? * Побег из контейнера: обзор техник * Платформа разработки: гайдлайны * Доступ к данным из удаленных и приватных репозиториев GitHub * ИИ ассистент для security-аналитика * Подборка исследований с Black Hat 2024 * Запуск security-проекта: шаблоны и чеклисты для быстрого старта @makrushin

Запуск security-проекта: шаблоны и чеклисты для быстрого старта Встретил полезный ресурс с шаблонами для запуска security-проектов. Программа багбаунти, тестирование на проникновение, процедуры реагирования на инциденты и управления уязвимостями - документы пригодятся новой команде безопасности, владельцу продукта или начинающему CISO в каком-нибудь стартапе. В репозитории содержатся: * чеклисты для подготовки к запуску; * описание процессов и плейбуки; * примеры метрик и шаблоны документов.

Вместе с командой ИУ10 МГТУ им. Баумана мы накатили обновление в образовательную программу кафедры «Защита информации» и подготовили проект, который добавит разработчику новые суперспособности. Перевернем календарь и запустим трансформацию ⚡️

Подборка исследований с Black Hat 2024 В августе прошли крупнейшие ИБ-мероприятия, и уже можно встретить обзоры наиболее «громких» исследований с точки зрения медиа. Возьмем доклады Black Hat, изучим материалы и самостоятельно выделим перспективные направления. Моя подборка: * “From Weapon to Target: Quantum Computers Paradox” - исследование вопросов безопасности квантовых компьютеров и процесса квантовых вычислений. Несмотря на активное обсуждение влияния квантовых вычислений на классическую криптографию, вопросы безопасности самих квантовых систем остаются малоизученными. Авторы анализируют уязвимости и возможные векторы атак на квантовые вычислительные инфраструктуры, включая программное обеспечение и облачные сервисы. Примеры выявленных проблем: кража токенов аутентификации, изменение квантовых цепочек программ в SDK, а также атаки на квантовые процессоры. * “SnailLoad: Anyone on the Internet Can Learn What You're Doing” - интересная техника составления профиля пользователя без каких-либо вспомогательных инструментов посередине (без агентов на его рабочей станции или прокси-серверов в его сети). Канал утечки данных находится в задержках сети, которые появляются, когда пользователь взаимодействует с онлайн-контентом. Анализируя эти задержки, злоумышленник может точно определить действия пользователя, что может привести к раскрытию конфиденциальной информации и деанонимизации. Эта техника подчеркивает уязвимость даже защищенных сессий браузера перед сложными атаками на основе временных характеристик (timing-атаки). * “Listen to the Whispers: Web Timing Attacks that Actually Work” - и еще одно исследование timing-атак, но уже в контексте безопасности веб-приложений. Приведены примеры ситуаций, когда атакуемая система раскрывает конфиденциальные данные из-за разных временных задержек при обработке запросов. Техника пригодится для обнаружения скрытой поверхности атаки и определения некорректных настроек прокси-серверов. * “Deep Backdoors in Deep Reinforcement Learning Agents” - техника интеграции «вредоносных нейронов» в нейронную сеть. В исследовании описаны сценарии компрометации ИИ-агентов на этапе их обучения и последствия неправильных решений, которые эти агенты могут принимать в промышленности, автономном транспорте и кибербезопасности. ⭐️ Подборка исследований Black Hat 2023. #дайджест @makrushin

ИИ ассистент для security-аналитика Продолжаем собирать и применять сценарии использования ИИ для задач безопасности. Новый кейс использования для разработки правил выявления угроз: * Аналитик загружает в LLM техники атак, описанные в формате блогпоста или отчета об угрозе. * В запросе к LLM аналитик указывает синтаксис, в котором должно быть описано правило детекта. * Модель генерирует правила детекта. Некоторые правила могут иметь неправильный синтаксис или быть результатом галлюцинации. Аналитик выявляет некорректные правила и корректирует свой запрос (промпт). Самый ресурсоемкий для аналитика этап - это составление точного промпта. Поэтому важно отработать навык prompt engineering. Так как написание правил - это процесс, который зачастую происходит в свободное от обработки инцидентов время, то данный сценарий залетает в бэклог к лидеру Security Operations.

Доступ к данным из удаленных и приватных репозиториев GitHub Когда одна ветка репозитория позволяет получить ценные данные из другой удаленной или приватной ветки, мы имеем дело с новым вектором атаки: Cross Fork Object Reference (CFOR). По аналогии с уязвимостями Insecure Direct Object Reference (небезопасные прямые ссылки на объект), атакующий использует хэши коммитов, чтобы напрямую получить доступ к данным в этих коммитах. Даже если коммит содержится в удаленном или приватном репозитории. Атакующему остается только узнать хэш коммита. Как? GitHub позволяет использовать короткие значения хэшей SHA-1, которые можно просто подобрать методом простого перебора. К примеру, вместо длинной ссылки:

github.com/<user>/<repo>/commit/ 07f01e8337c1073d2c45bb12d688170fcd44c637

Можно использовать короткую ссылку:

github.com/<user>/<repo>/commit/07f01e

где 07f01e - короткий хэш. Его можно подобрать через пользовательский интерфейс GitHub. А уже после получения доступа к коммитам, атакующий приступает к поиску секретов. GitHub в курсе данной проблемы и не планирует исправление, потому что это не баг, а фича.

Ага, примерно так security-инженер видит новую команду Платформы

Платформа разработки: гайдлайны Тому, кто ответил на вопрос «зачем?» нужна своя платформа, и решил трансформировать свои процессы, инструменты и команду в Платформу Разработки, предстоит определиться с подходом и ответить на вопрос «как?». Заряжаемся материалами, в которых утверждается, что методология ускоряет производство продуктов и снижает когнитивную нагрузку на разработчика. Затем погружаемся в создание Internal Developer Platform: Этап 1: разработчики бизнес-функций работают с Платформой как клиенты с витриной в магазине - обслуживают сами себя. Поэтому определяем путь разработчика «от запроса до результата», разделяем этот путь на функциональные слои и собираем технологии, которые помогут этот путь пройти. Этап 2: создаем референсную архитектуру. Этап 3: описываем MVP (Minimum Viable Platform). Этап 4: определяем роли и экспертов для команды разработки. И не забываем про Этап 0.