Форум информационной безопасности - Codeby.net
Статья Новая методика моделирования угроз безопасности информации
Всем привет! Сегодня хотел бы рассмотреть новую методику моделирования угроз безопасности информации (далее – Методика), которую выпустил ФСТЭК 9 апреля 2020 года (сразу хочу отметить, что пока это только проект и скорее всего, будут вноситься изменения и доработки). Она станет обязательной для ГИС и МИС, для коммерческих организаций с ПДн она не обязательна, т.е. носит рекомендательный характер.
Итак, начнем с того, что применение новой методики не ограничивается только ИСПДн, теперь её можно использовать для определения угроз в объектах КИИ, ГИС, МИС, ИСПДн. Также появилась возможность проектирования и разработки отраслевых, ведомственных, корпоративных методик угроз безопасности, правда порядка разработки и согласования пока нет. Единственное требование у регулятора – это чтобы они не противоречили положениям Методики. При моделировании угроз безопасности нужно будет применять угрозы из БДУ ФСТЭК, а также пользоваться базовыми и типовыми моделями угроз безопасности информации...
Итак, начнем с того, что применение новой методики не ограничивается только ИСПДн, теперь её можно использовать для определения угроз в объектах КИИ, ГИС, МИС, ИСПДн. Также появилась возможность проектирования и разработки отраслевых, ведомственных, корпоративных методик угроз безопасности, правда порядка разработки и согласования пока нет. Единственное требование у регулятора – это чтобы они не противоречили положениям Методики. При моделировании угроз безопасности нужно будет применять угрозы из БДУ ФСТЭК, а также пользоваться базовыми и типовыми моделями угроз безопасности информации...
CTF Основы стеганографии в "capture the flag"
Всем хорошего времяпрепровождения!
Недавно образовалась команда новичков по ctf нашего любимого форума, в связи с этим своей статьей хотел бы начать обмен опытом, так сказать, по решению тасков той или иной направленности. Ведь всегда есть некий алгоритм, которому вы следуете при решении тасков, который приводит, на легком и среднем уровне, к найденному флагу. Это тот уровень, который находится между «пфф, изипизи» и тем, когда вы начинаете видеть заговоры иллюминатов во всех хинтах и файлах.
И так, я попробую рассказать вам основы стеганографии. Точнее сказать, основы в моем представлении. Приятного чтения
1. Область применения
Что такое стеганография рассказывать не буду, дабы не захламлять статью. Просто поясню, что это метод сокрытия информации в объектах(картинка, музыка, видео, кожа головыJ(это не шутка) и т.д.) в которых непосвященный человек не сможет разглядеть ничего подозрительного.
В ctf чаще всего встречается стего в следующих типах файлов...
Недавно образовалась команда новичков по ctf нашего любимого форума, в связи с этим своей статьей хотел бы начать обмен опытом, так сказать, по решению тасков той или иной направленности. Ведь всегда есть некий алгоритм, которому вы следуете при решении тасков, который приводит, на легком и среднем уровне, к найденному флагу. Это тот уровень, который находится между «пфф, изипизи» и тем, когда вы начинаете видеть заговоры иллюминатов во всех хинтах и файлах.
И так, я попробую рассказать вам основы стеганографии. Точнее сказать, основы в моем представлении. Приятного чтения
1. Область применения
Что такое стеганография рассказывать не буду, дабы не захламлять статью. Просто поясню, что это метод сокрытия информации в объектах(картинка, музыка, видео, кожа головыJ(это не шутка) и т.д.) в которых непосвященный человек не сможет разглядеть ничего подозрительного.
В ctf чаще всего встречается стего в следующих типах файлов...
Статья Матрица угроз для Kubernetes
Kubernetes -это самая популярная контейнерная оркестровка и один из самых быстрорастущих проектов в истории открытого программного обеспечения, которая занимает значительную часть вычислительного стека многих компаний. Гибкость и масштабируемость контейнеров побуждает многих разработчиков переносить свои рабочие нагрузки на Kubernetes. Несмотря на то, что Kubernetes имеет много преимуществ, он также ставит новые задачи в области безопасности, которые необходимо учитывать. Поэтому очень важно понимать различные риски безопасности, которые существуют в контейнерных средах, и особенно в Kubernetes.
Фреймворк MITRE ATT&CK® представляет собой базу известных тактика и методов, которые используются при кибератаках. Начиная с Windows и Linux, матрицы MITRE ATT&CK охватывают различные этапы...
Статья Fake AP на Raspberry Pi (Часть 1)
Здравствуй, дорогой читатель!
Предисловие:
В этой статье постараюсь подробно и одновременно кратко описать процесс создания фейковой WiFi-точки для сбора данных на Raspberry Pi. Буду использовать Raspberry Pi 3B+, но процесс создания не будет отличаться на других версиях одноплатника. Также можно использовать любой другой ПК с Linux на базе Debian.
Возможно, у тебя уже появился вопрос: "Зачем вообще эта статья, если можно скачать утилиту для FakeAP и не заморачиваться?". Ответ простой: функционал и понимание того, как работают подобные устройства. В самодельной версии функционала будет намного больше и ты, также, будешь знать, как все это дело работает и настраивается. Также можно будет потренироваться в тестировании этой AP на защищенность, при этом легально. А уязвимости будут. Много уязвимостей, которые дадут тебе боевой опыт.
В ИБ, программировании я новичок и это моя первая статья на форуме, будут ошибки, неточности или пробелы в подаче информации, поэтому адекватная...
Предисловие:
В этой статье постараюсь подробно и одновременно кратко описать процесс создания фейковой WiFi-точки для сбора данных на Raspberry Pi. Буду использовать Raspberry Pi 3B+, но процесс создания не будет отличаться на других версиях одноплатника. Также можно использовать любой другой ПК с Linux на базе Debian.
Возможно, у тебя уже появился вопрос: "Зачем вообще эта статья, если можно скачать утилиту для FakeAP и не заморачиваться?". Ответ простой: функционал и понимание того, как работают подобные устройства. В самодельной версии функционала будет намного больше и ты, также, будешь знать, как все это дело работает и настраивается. Также можно будет потренироваться в тестировании этой AP на защищенность, при этом легально. А уязвимости будут. Много уязвимостей, которые дадут тебе боевой опыт.
В ИБ, программировании я новичок и это моя первая статья на форуме, будут ошибки, неточности или пробелы в подаче информации, поэтому адекватная...
Статья Предотвращение межсайтового скриптинга (XSS)
Межсайтовый скриптинг является одной из наиболее распространенных и популярных веб-атак.
Он позволяет злоумышленнику вводить код в веб-приложения на стороне клиента, которые затем просматриваются жертвами.
Последствия и воздействие могут варьироваться в зависимости от типа атаки и контекста, в котором она была запущена.
XSS можно классифицировать как:
- Self-XSS / Reflected XSS / Non-persistent XSS / Type-II XSS
- Persistent XSS / Stored XSS / Type-I XSS
- DOM based XSS
Self-XSS
Предположим, что у нас есть следующий PHP-код - PHP просто для примеры:
PHP:
<?php
$id = $_GET['id'];
// ... пропусукаем ненмого кода :-)
// простой пример Simple XSS :
// $_GET['id'] остался незаполненным
// и позже...Статья "Фальшивые отпечатки пальцев". Обход сканеров с 3Д-печатью
В новых исследованиях, использовали технологию 3D-печати для байпаса сканеров отпечатков пальцев, и тестировали все это на мобильных устройствах Apple, Samsung и Microsoft.
Новые исследования показали, что можно использовать технологию 3D-печати для создания "поддельных отпечатков пальцев", которые могут байпасить большинство сканеров отпечатков пальцев на популярных устройствах. Но создание такой атаки все еще остается дорогостоящим и трудоемким делом.
Исследователи из Cisco Talos, создали различные модели угроз, использующие технологию 3D-печати, а затем протестировали их на (в том числе iPhone 8 и Samsung S10), на ноутбуках (в том числе Samsung Note 9, Lenovo Yoga и HP Pavilion X360) и на смарт-устройствах...
Soft Splunk Attack Range в виртуальной гостевой Ubuntu VM: Руководство
Краткое руководство для тех, кто хочет запустить этот фантастический проект локально, а не в AWS.
Ссылка на проект: splunk/attack_range
Предисловие
Splunk Attack Range - это отличный проект от Splunk, который позволяет любому заинтересовавшемуся быстро (то есть автоматически) собрать и развернуть весь инфраструктурный стак с различным ПО, либо инструментом для тестирования кибер атака на уязвимые хосты, захвата и отправки логов с хостов, пересылки данных о событиях в Splunk и даже реализации SOAR playbooks (см. выше страницу GitHub проекта для получения подробной информации) .
Разворачивать мы будем «локально» (не в AWS Cloud), тем...
Статья Моделирование векторов атак и создание IOC-защищённых ID
Это первая часть статьи, состоящая из двух частей, в которой пойдет речь о применении шпионажа для разработки вредоносных ПО, при этом, устойчивым к форенсике и применении атрибуции. В этой первой части я собираюсь дать несколько советов и примеров того, как применять методологию моделирования угроз к процессу разработки, а также поделиться простой методикой, с которой я экспериментировал, исследуя методы создания и хранения данных, устойчивых к анализу финегрпринтов.
ДИСКЛЕЙМЕР: Следующее содержание предназначено только для использования в образовательных и исследовательских целях. Автор не потворствует противоправным действиям.
Основы фонового моделирования и моделирования угроз
Если вы разрабатываете какое-то программное...
Codeby Games CTF
Категории блога
Наши курсы
Наши книги
