Denis Makrushin – Inspired by Insecure

Скребём Github: поиск «секретов» разработки

by Denis Makrushin January 26, 2020

При разработке софтверного продукта или облачного SaaS-сервиса достаточно трудно отслеживать сторонние активности всех специалистов, вовлеченных в процесс разработки. Достаточно открыть Github, ввести в поиске «<имя_домена_компании.com> pass» и оценить выдачу. В том случае, если вдруг Github действительно показывает в своей выдаче что-то интересное, то мы рассмотрим сценарии, которые могут помочь злоумышленникам нарушить бизнес-процесс твоей компании. А если Github все же молчит, то рассмотрим альтернативные варианты атаки на цикл разработки продукта, при которых точкой входа в инфраструктуру могут стать не только разработчики, но даже Security-инженеры.

January 26, 2020 0 comment

Research

Целенаправленные атаки: разведка на основе открытых источников (OSINT)

by Denis Makrushin November 10, 2019

written by Denis Makrushin

Пример уязвимого медпортала, ведущего к медицинским данным

В одной из прошлых колонок я рассказал о стадиях целенаправленных атак (kill chain). Первая стадия, стадия «разведки», начинается задолго до того, как атакующий дотронется до первой машины жертвы. От количества и качества данных, собранных на этом этапе, зависит успешность атаки и, самое главное, стоимость ее проведения.

November 10, 2019 0 comment

Blog

Call for Papers Board: BSides Cairo 2020

by Denis Makrushin September 20, 2019

written by Denis Makrushin

I’m pleased to join the CFP board of @BSidesCairo 2020. The region of the event is full of rough diamonds in terms of security research. Rise and shine, researcher: https://t.co/jjrRxDEthV pic.twitter.com/5yZAVExPhl
— Denis Makrushin (@difezza) September 20, 2019

September 20, 2019 0 comment

Research

Unknown attacks: detect and rate

by Denis Makrushin July 2, 2019

written by Denis Makrushin

During the previous post, we discussed the meaning of the different types of attacks, which are extremely complex and involve a large number of targeted actions performed by attackers. In this part, I would like to talk about so-called quantitative research of the attacks used to analyze the maturity level of existing protective technologies and security approaches.

July 2, 2019 0 comment

Research

Неизвестные атаки: поймать и посчитать

by Denis Makrushin June 5, 2019

written by Denis Makrushin

В предыдущем материале мы дали определение классу атак, которые отличаются особой сложностью исполнения и высокой степенью ручной работы со стороны атакующих. Этот пост я хочу посвятить, скажем так, количественной характеристике атак, которые используются для оценки эффективности технологий и средств защиты.

June 5, 2019 0 comment