Число уязвимостей в приложениях искусственного интеллекта и машинного обучения стремительно растет
Только в апреле 2024 года уже было обнаружено целых 48 уязвимостей в широко используемых проектах программного обеспечения с открытым исходным кодом (OSS), таких как MLFlow , Ray и Triton Inference Server .
Эта цифра представляет собой рост на 220% по сравнению с 15 уязвимостями, о которых впервые сообщалось в ноябре, отмечается в отчете. https://securityboulevard.com/2024/04/vulnerabilities-for-ai-and-ml-applications-are-skyrocketing/
Только в апреле 2024 года уже было обнаружено целых 48 уязвимостей в широко используемых проектах программного обеспечения с открытым исходным кодом (OSS), таких как MLFlow , Ray и Triton Inference Server .
Эта цифра представляет собой рост на 220% по сравнению с 15 уязвимостями, о которых впервые сообщалось в ноябре, отмечается в отчете. https://securityboulevard.com/2024/04/vulnerabilities-for-ai-and-ml-applications-are-skyrocketing/
Security Boulevard
Vulnerabilities for AI and ML Applications are Skyrocketing
In their haste to deploy LLM tools, organizations may overlook crucial security practices. The rise in threats like Remote Code Execution indicates an urgent need to improve security measures in AI development.
Блаухонт (репозиторий GitHub)
Blauhaunt — это набор инструментов для фильтрации и визуализации событий входа в систему, который предназначен для отслеживания событий и действий пользователя при входе в систему.
https://github.com/cgosec/Blauhaunt
Blauhaunt — это набор инструментов для фильтрации и визуализации событий входа в систему, который предназначен для отслеживания событий и действий пользователя при входе в систему.
https://github.com/cgosec/Blauhaunt
GitHub
GitHub - cgosec/Blauhaunt: A tool collection for filtering and visualizing logon events. Designed to help answering the "Cotton…
A tool collection for filtering and visualizing logon events. Designed to help answering the "Cotton Eye Joe" question (Where did you come from where did you go) in Security Incid...
Пошаговая шпаргалка по защите сервера от хакеров и другой нечисти
https://habr.com/ru/companies/selectel/articles/809669/
https://habr.com/ru/companies/selectel/articles/809669/
Хабр
Пошаговая шпаргалка по защите сервера от хакеров и другой нечисти
Когда сервер создается для личных нужд, то чаще всего внимания безопасности почти не уделяется. А ведь это фатальная ошибка… Представьте: вот арендовали вы сервер, запустили на нем SAMP или Minecraft,...
Автоматизация тестирования уязвимостей API с использованием рабочих процессов Postman (4-минутное чтение)
В этом сообщении блога обсуждается автоматизация тестирования уязвимостей API с помощью рабочих процессов Postman — функции, которая упрощает процесс демонстрации уязвимостей API без программирования. https://haymiz.dev/security/2024/04/27/automating-apis-with-postman-workflows
Prophet Security (запуск продукта)
Prophet AI for Security Operations фильтрует входящие оповещения и для каждого из них собирает, сопоставляет и анализирует данные из нескольких источников, чтобы предоставить заключение и подробное описание расследования. https://www.prophet.security/
В этом сообщении блога обсуждается автоматизация тестирования уязвимостей API с помощью рабочих процессов Postman — функции, которая упрощает процесс демонстрации уязвимостей API без программирования. https://haymiz.dev/security/2024/04/27/automating-apis-with-postman-workflows
Prophet Security (запуск продукта)
Prophet AI for Security Operations фильтрует входящие оповещения и для каждого из них собирает, сопоставляет и анализирует данные из нескольких источников, чтобы предоставить заключение и подробное описание расследования. https://www.prophet.security/
haymiz@kali:~/blog$
Automating API Vulnerability Testing Using Postman Workflows
Explore the art of automating and visually demonstrating API vulnerabilities you've identified using Postman Workflows.
GraphQL Cop (репозиторий GitHub)
GraphQL Cop — это утилита Python, которая выполняет общие тесты безопасности API GraphQL. Его можно включить в CI/CD и предоставлять запросы cURL для получения любых результатов.
https://github.com/dolevf/graphql-cop
Инспектор приложений (репозиторий GitHub)
Application Inspector — это анализатор исходного кода, созданный для выявления интересующих функций и других характеристик, чтобы ответить на вопрос «Что в коде?» быстро с помощью статического анализа с обработчиком правил на основе JSON. Он идеально подходит для сканирования компонентов перед использованием или обнаружения изменений на уровне функций.
https://github.com/microsoft/ApplicationInspector
GraphQL Cop — это утилита Python, которая выполняет общие тесты безопасности API GraphQL. Его можно включить в CI/CD и предоставлять запросы cURL для получения любых результатов.
https://github.com/dolevf/graphql-cop
Инспектор приложений (репозиторий GitHub)
Application Inspector — это анализатор исходного кода, созданный для выявления интересующих функций и других характеристик, чтобы ответить на вопрос «Что в коде?» быстро с помощью статического анализа с обработчиком правил на основе JSON. Он идеально подходит для сканирования компонентов перед использованием или обнаружения изменений на уровне функций.
https://github.com/microsoft/ApplicationInspector
GitHub
GitHub - dolevf/graphql-cop: Security Auditor Utility for GraphQL APIs
Security Auditor Utility for GraphQL APIs. Contribute to dolevf/graphql-cop development by creating an account on GitHub.
Как Apple на самом деле следит за вами
По счастливой случайности я оказался резидентом Евросоюза, а значит, на меня также распространяется GDPR. Он позволяет мне запросить копию информации, которая хранится обо мне у всяких разных компаний. Я решил сделать это у Apple, и был неприятно удивлен. https://habr.com/ru/articles/812043/
По счастливой случайности я оказался резидентом Евросоюза, а значит, на меня также распространяется GDPR. Он позволяет мне запросить копию информации, которая хранится обо мне у всяких разных компаний. Я решил сделать это у Apple, и был неприятно удивлен. https://habr.com/ru/articles/812043/
Хабр
Как Apple на самом деле следит за вами
Apple Inc По счастливой случайности я оказался резидентом Евросоюза, а значит, на меня также распространяется GDPR . Он позволяет мне запросить копию информации, которая хранится обо мне у...
Semgrep для Terraform Security (5 минут чтения)
В этой статье представлены некоторые варианты использования и примеры использования Semgrep для защиты развертываний Terraform.
https://ramimac.me/semgrep-for-terraform
В этой статье представлены некоторые варианты использования и примеры использования Semgrep для защиты развертываний Terraform.
https://ramimac.me/semgrep-for-terraform
High Signal Security
Semgrep for Terraform Security
Шпаргалка по безопасной сборке Docker-образов
Каждый контейнер Docker основан на образе, который обеспечивает базу для всего, что вы когда-либо будете развертывать и запускать. Если злоумышленник как-то повлияет на сборку образа и изменит Dockerfile, то сможет совершить навредить вашим системам. Например, добавить вредоносный код, получить доступ к секретным данным сборки или атаковать хост-компьютер. Поэтому защита начинается уже во время подготовки образа, с первой инструкции.
Привет, Хабр! Меня зовут Эллада, я специалист по информационной безопасности в Selectel. Продолжаю рассказывать о безопасности в Docker. Под катом расскажу, как настроить сборку образов, обеспечить безопасность и добавить сканирование в пайплайн. https://habr.com/ru/companies/selectel/articles/813047/
Каждый контейнер Docker основан на образе, который обеспечивает базу для всего, что вы когда-либо будете развертывать и запускать. Если злоумышленник как-то повлияет на сборку образа и изменит Dockerfile, то сможет совершить навредить вашим системам. Например, добавить вредоносный код, получить доступ к секретным данным сборки или атаковать хост-компьютер. Поэтому защита начинается уже во время подготовки образа, с первой инструкции.
Привет, Хабр! Меня зовут Эллада, я специалист по информационной безопасности в Selectel. Продолжаю рассказывать о безопасности в Docker. Под катом расскажу, как настроить сборку образов, обеспечить безопасность и добавить сканирование в пайплайн. https://habr.com/ru/companies/selectel/articles/813047/
Хабр
Шпаргалка по безопасной сборке Docker-образов
Каждый контейнер Docker основан на образе, который обеспечивает базу для всего, что вы когда-либо будете развертывать и запускать. Если злоумышленник как-то повлияет на сборку образа и изменит...
Kube No Trouble (репозиторий GitHub)
Kubent — это инструмент для проверки того, использует ли кластер Kubernetes устаревшие API. Его можно запускать в конвейерах CI/CD или вручную.
https://github.com/doitintl/kube-no-trouble
BurpScript (репозиторий GitHub)
BurpScript добавляет в Burp Suite возможности динамического написания сценариев, позволяя вам писать сценарии на Python или Javascript для управления HTTP-запросами и ответами.
https://github.com/ivision-research/burpscript
Kubent — это инструмент для проверки того, использует ли кластер Kubernetes устаревшие API. Его можно запускать в конвейерах CI/CD или вручную.
https://github.com/doitintl/kube-no-trouble
BurpScript (репозиторий GitHub)
BurpScript добавляет в Burp Suite возможности динамического написания сценариев, позволяя вам писать сценарии на Python или Javascript для управления HTTP-запросами и ответами.
https://github.com/ivision-research/burpscript
GitHub
GitHub - doitintl/kube-no-trouble: Easily check your clusters for use of deprecated APIs
Easily check your clusters for use of deprecated APIs - doitintl/kube-no-trouble
Что такое WAF и как с ним работать? Показываем на примере уязвимого веб-приложения
https://habr.com/ru/companies/selectel/articles/814183/
https://habr.com/ru/companies/selectel/articles/814183/
Хабр
Что такое WAF и как с ним работать? Показываем на примере уязвимого веб-приложения
Информационная безопасность веб-приложений за последние несколько лет стала, наверное, одним из ключевых вопросов в IT. Для компаний стабильность работы систем — это репутация и отсутствие лишних...
Самое слабое звено в цепи кибербезопасности: электронная почта
https://billatnapier.medium.com/the-weakness-link-in-the-cybersecurity-chain-email-09851b33e426
https://billatnapier.medium.com/the-weakness-link-in-the-cybersecurity-chain-email-09851b33e426
Medium
The Weakest Link in the Cybersecurity Chain: Email
How do you actually know it was me who wrote this article? Well, I will prove it. I will take the first paragraph of the introduction, and…
Руководство по защите удаленного доступа с помощью ключей SSH
Пошаговое руководство по защите ваших SSH-соединений с помощью аутентификации на основе ключей SSH https://infosecwriteups.com/a-guide-to-securing-your-remote-access-using-ssh-keys-84b48097f3bf
Пошаговое руководство по защите ваших SSH-соединений с помощью аутентификации на основе ключей SSH https://infosecwriteups.com/a-guide-to-securing-your-remote-access-using-ssh-keys-84b48097f3bf
Medium
A Guide To Securing Your Remote Access Using SSH Keys
A Step-by-Step Guide To Securing Your SSH Connections Using SSH Key-Based Authentication
3 самые простые ошибки, которые вы можете найти прямо сейчас [гарантировано]
https://systemweakness.com/3-easiest-bugs-that-you-can-find-right-now-guarantied-71ef89efd1a7
https://systemweakness.com/3-easiest-bugs-that-you-can-find-right-now-guarantied-71ef89efd1a7
Medium
3 easiest bugs that you can find right now [guarantied]
Finding bugs can be actually very easy and I present you some of the easiest bugs that are ridiculously easy to find and pretty much are in some cases a money glitch…
Файл LNK, замаскированный под сертификат, распространяющий вредоносное ПО RokRAT (5 минут чтения)
Аналитический центр безопасности AhnLab выявил северокорейскую кампанию, нацеленную на южнокорейцев, с помощью вредоносного файла LNK. Файл распространяет загрузчик вредоносной программы RokRAT C2. В этой статье подробно рассматривается загрузчик и IoC для кампании.
Разоблачение Tycoon 2FA: скрытый набор для фишинга, используемый для обхода Microsoft 365 и Google MFA (7 минут чтения)
Tycoon 2FA — это платформа «фишинг как услуга», которая недавно была обновлена для повышения эффективности предотвращения обнаружения. Инструментарий опирается на то, что жертвы вводят свою информацию в инфраструктуру, контролируемую злоумышленниками. После запроса MFA файлы cookie сеанса передаются злоумышленнику. В этой статье представлены некоторые реальные примеры и способы защиты.
Использование туннелирования DNS для отслеживания и сканирования (13 минут чтения)
В этом сообщении блога описывается техника атаки DNS-туннелирования, которая позволяет злоумышленникам скрывать и передавать данные через DNS-трафик. Злоумышленники могут использовать DNS-туннелирование для отслеживания действий пользователей и связи со скомпрометированными хостами. Организации могут эффективно обнаруживать и смягчать кампании по туннелированию DNS, анализируя такие показатели, как домены и IP-адреса.
Аналитический центр безопасности AhnLab выявил северокорейскую кампанию, нацеленную на южнокорейцев, с помощью вредоносного файла LNK. Файл распространяет загрузчик вредоносной программы RokRAT C2. В этой статье подробно рассматривается загрузчик и IoC для кампании.
Разоблачение Tycoon 2FA: скрытый набор для фишинга, используемый для обхода Microsoft 365 и Google MFA (7 минут чтения)
Tycoon 2FA — это платформа «фишинг как услуга», которая недавно была обновлена для повышения эффективности предотвращения обнаружения. Инструментарий опирается на то, что жертвы вводят свою информацию в инфраструктуру, контролируемую злоумышленниками. После запроса MFA файлы cookie сеанса передаются злоумышленнику. В этой статье представлены некоторые реальные примеры и способы защиты.
Использование туннелирования DNS для отслеживания и сканирования (13 минут чтения)
В этом сообщении блога описывается техника атаки DNS-туннелирования, которая позволяет злоумышленникам скрывать и передавать данные через DNS-трафик. Злоумышленники могут использовать DNS-туннелирование для отслеживания действий пользователей и связи со скомпрометированными хостами. Организации могут эффективно обнаруживать и смягчать кампании по туннелированию DNS, анализируя такие показатели, как домены и IP-адреса.
ASEC
LNK File Disguised as Certificate Distributing RokRAT Malware - ASEC
LNK File Disguised as Certificate Distributing RokRAT Malware ASEC
🔒Внимание специалистов по кибербезопасности. Вышла общая система оценки уязвимостей (CVSS) v4.0, которая заменила 8-летнюю версию CVSS v3.0. Узнайте, как это обновление улучшает оценку уязвимостей и помогает повысить вашу киберустойчивость. https://www.first.org/cvss/v4-0/
Arcjet помогает разработчикам защитить свои приложения всего за несколько строк кода. Внедрите ограничение скорости, защиту от ботов, проверку электронной почты и защиту от распространенных атак.
https://github.com/arcjet/arcjet-js
https://github.com/arcjet/arcjet-js
GitHub
GitHub - arcjet/arcjet-js: Arcjet JS SDKs. Bot detection, rate limiting, email validation, attack protection, data redaction for…
Arcjet JS SDKs. Bot detection, rate limiting, email validation, attack protection, data redaction for Node.js, Next.js, Deno, Bun, Remix, SvelteKit, NestJS. - arcjet/arcjet-js
SignSaboteur — это расширение Burp Suite для редактирования, подписи и проверки различных подписанных веб-токенов.
https://github.com/d0ge/sign-saboteur
https://github.com/d0ge/sign-saboteur
GitHub
GitHub - d0ge/sign-saboteur: SignSaboteur is a Burp Suite extension for editing, signing, verifying various signed web tokens
SignSaboteur is a Burp Suite extension for editing, signing, verifying various signed web tokens - d0ge/sign-saboteur
Освоение безопасного CI/CD для ECS с помощью действий GitHub
https://dev.to/suzuki0430/building-a-secure-cicd-workflow-for-ecs-with-github-actions-gde
https://dev.to/suzuki0430/building-a-secure-cicd-workflow-for-ecs-with-github-actions-gde
DEV Community
Mastering Secure CI/CD for ECS with GitHub Actions
Recently, I had the opportunity to build a CI/CD workflow for ECS on Fargate using GitHub Actions. In...
Безопасность JavaScript: простые методы защиты вашего интерфейса
https://dev.to/buildwebcrumbs/javascript-security-simple-practices-to-secure-your-frontend-18ii
https://dev.to/buildwebcrumbs/javascript-security-simple-practices-to-secure-your-frontend-18ii
DEV Community
JavaScript Security: Simple Practices to Secure Your Frontend
I don't know about you, but I started my career as a front-end developer working in a small agency,...
Критическая ошибка, приводящая к DoS, RCE и утечкам данных на всех основных облачных платформах (3 минуты чтения)
Исследователи обнаружили серьезную уязвимость, связанную с повреждением памяти, получившую название «Linguistic Lumberjack» в Fluent Bit, утилите облачного ведения журналов с открытым исходным кодом, которую скачали более 3 миллиардов раз и широко используют крупные организации и поставщики облачных услуг, такие как AWS, Microsoft и Google Cloud. Эта уязвимость потенциально делает возможным отказ в обслуживании, утечку данных и удаленное выполнение кода в облачных средах.
https://www.darkreading.com/cloud-security/critical-bug-dos-rce-data-leaks-in-all-major-cloud-platforms
Исследователи обнаружили серьезную уязвимость, связанную с повреждением памяти, получившую название «Linguistic Lumberjack» в Fluent Bit, утилите облачного ведения журналов с открытым исходным кодом, которую скачали более 3 миллиардов раз и широко используют крупные организации и поставщики облачных услуг, такие как AWS, Microsoft и Google Cloud. Эта уязвимость потенциально делает возможным отказ в обслуживании, утечку данных и удаленное выполнение кода в облачных средах.
https://www.darkreading.com/cloud-security/critical-bug-dos-rce-data-leaks-in-all-major-cloud-platforms
Darkreading
Critical Bug Allows DoS, RCE, Data Leaks in All Major Cloud Platforms
An on-by-default endpoint in ubiquitous logging service Fluent Bit contains an oversight that hackers can toy with to rattle most any cloud environment.
Слежка через пуш-уведомления на смартфонах
Недавно стало известно о новом виде слежки за пользователями смартфонов: через пуш-уведомления в iOS и Android. Газета Washington Post написала, в частности, что эту тактику начало использовать ФБР (кэш статьи).
Довольно интересно, как работает такой метод выслеживания.
Согласно расследованию, для идентификации пользователей ФБР запрашивает у компаний Apple и Google данные пуш-уведомлений, так называемые «пуш-токены» (push token). Эти данные можно запрашивать без предъявления ордера. С помощью пуш-токенов можно идентифицировать конкретный смартфон, а потом запросить у компании данные о его владельце.
https://habr.com/ru/companies/globalsign/articles/815425/
Недавно стало известно о новом виде слежки за пользователями смартфонов: через пуш-уведомления в iOS и Android. Газета Washington Post написала, в частности, что эту тактику начало использовать ФБР (кэш статьи).
Довольно интересно, как работает такой метод выслеживания.
Согласно расследованию, для идентификации пользователей ФБР запрашивает у компаний Apple и Google данные пуш-уведомлений, так называемые «пуш-токены» (push token). Эти данные можно запрашивать без предъявления ордера. С помощью пуш-токенов можно идентифицировать конкретный смартфон, а потом запросить у компании данные о его владельце.
https://habr.com/ru/companies/globalsign/articles/815425/
Хабр
Слежка через пуш-уведомления на смартфонах
Недавно стало известно о новом виде слежки за пользователями смартфонов: через пуш-уведомления в iOS и Android . Газета Washington Post написала , в частности, что эту тактику начало использовать ФБР...