13118
Вылавливаем сачком самые трендовые события в кибербезопасности и IT из матрицы жизни. Бот для связи и ваших новостей, господа и дамы: @Sachok_feedbackBot Регистрация в РКН есть.
Неожиданно на пленарном заседании PHD появился Борис Титов. Без бутылочки Абрау Дюрсо, к сожалению
Читать полностью…
🔥 Positive Technologies представила коммерческую версию второго метапродукта — MaxPatrol Carbon
По данным исследования готовности российских организаций противостоять кибератакам, основными сложностями при выполнении задач по усилению защищенности ИТ-инфраструктуры являются:
• Дефицит времени на выполнение всех поставленных задач.
• Недостаток компетенций для формирования задач.
• Отсутствие эффективной коммуникации между командами ИБ и ИТ.
MaxPatrol Carbon берет эти задачи на себя: метапродукт помогает подготовить ИТ-инфраструктуру к отражению атак и обеспечивает непрерывный контроль киберустойчивости, делая невозможным причинение ущерба компании.
Метапродукт позволяет действовать превентивно: он анализирует, как в конкретной инфраструктуре могут быть совершены кибератаки, и формирует практические рекомендации для усиления ее защиты.
Все подробности о новинке можно найти на сайте вендора.
Apple наконец-то пофиксили баг в обновлении iOS 17.5.1, который возвращал удаленные старые фото в галерею.
Иногда страшно подумать, сколько всего знает о нас один из лидеров БигТеха.
@cybersachok
Ежегодная всероссийская независимая премия для пентестеров — Pentest award возвращается!
Раз в году у этичных хакеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на церемонии награждения Pentest award.
В этот раз нас ждут 6 номинаций, по три призовых места в каждой:
— Пробив WEB
— Пробив инфраструктуры
— Девайс
— Hack the logic
— Раз bypass, два bypass
— Ловись рыбка
Главный приз — тяжеленная стеклянная именная статуэтка за первое место. Не менее главные призы: макбуки, айфоны, смарт-часы, умный колонки, а также бесценные подарки от партнеров проекта BI.ZONE Bug Bounty и VK Bug Bounty.
Сбор заявок уже открыт на сайте — https://award.awillix.ru/
Давайте покажем, на что способны этичные хакеры!
#pentestaward
Реклама. ООО «Авилликс». erid: 2Vtzqw8Mdrr
Wi-Fi снова стал точкой входа для злоумышленников.
Новая уязвимость SSID Confusion связана с недостатками стандарта Wi-Fi IEEE 802.11. Она позволяет вынудить жертву подключиться к менее защищенной беспроводной сети и прослушивать трафик пользователей.
Багу присвоили идентификатор CVE-2023-52424. Ему подтверждены Wi-Fi клиенты на протоколах WEP, WPA3, 802.11X/EAP и AMPE.
Главная цель злоумышленников — вынудить жертву совершить даунгрейд, после чего перехватить ее трафик или осуществить дальнейшие атаки.
@cybersachok
Что будет, если проверить работу Windows XP в 2024 году без штатных систем защиты, подключив ПК в интернет?
Рискнуть и затестить XP, которая получала последнее обновление 10 лет назад, осмелился эксперт по ИБ Эрик Паркер.
Во время теста в настройках системы отключили Firewall и Defender. Результаты на видео.
@cybersachok
Пустословие, да и только
Известный «зашифрованный» почтовый сервис Proton от Европейской организации по ядерным исследованием ЦЕРН окончательно подорвал доверие пользователей, до последнего веривших в его надежность.
Казалось бы, после первого звоночка в 2021 году, когда Proton Mail по запросу французских правоохранителей раскрыла IP-адрес одного из пользователей, с оговоркой, что на сайте создатели утверждали об отсутствии сбора IP-адресов как такового, доверие любого думающего пользователя к сервису должно было быть подорвано. Но, как это часто бывает у людей, верим до последнего.
Очередной прецедент произошел недавно. В этот раз Proton по запросу Испанской полиции раскрыла адрес электронной почты конкретного человека. Кстати, Apple в этой истории тоже постарались, раскрыв имя пользователя, резервную почту, номер телефона и даже адрес проживания.
Какой смысл в зашифрованных сервисах, когда их владельцы говорят одно, а делают совершенно противоположное, позабыв об институте репутации? Вопрос риторический.
@cybersachok
Топы из разных ИБ-компаний и представители ФСТЭК внезапно встретились во время кофе-брейка на форуме
@cybersachok
Россиянина Дмитрия Хорошева обвиняют в администрировании самой активной группировкой программ-вымогателя последних лет Lockbit. Обвинения обнародовал Минюст США.
Самые интересные факты о Дмитрие Хорошове:
1. Ему 31 год.
2. Он любит бильярд.
3. Он поклонник продукции Apple.
4. Живет в обычной квартире.
5. Владеет Mercedes.
6. Любит суши и чизкейки.
7. Некоторые данные о нем стали известны благодаря утечке Яндекс Еды😂
Никаких доказательств мы не увидели, но эту истерику в отношении русских парней средних лет с техническим образованием мы видели уже много раз.
@cybersachok
Новая уязвимость в GitLab, получившая 10 из 10 балов по оценке CVSS, активно эксплуатируется хакерами.
Недостаток позволяет перехватывать управление учетными записями: злоумышленник может получить доступ к настройкам CI/CD-конвейеров и внедрить код, который будет перенаправлять чувствительные данные на серверы под его контролем.
Ну и есть вариант вмешательства в код репозитория для внедрения в него вредоносного ПО. А тут на кону и компрометация систем, и несанкционированный доступ.
Причиной возникновения уязвимости специалисты называют изменения в коде GitLab в версии 16.1.0 от 1 мая 2023 года. Она касается всех механизмов аутентификации сервиса.
Двухфакторная аутентификация в данном случае не является панацеей. Тем не менее для получения полного контроля над аккаунтом хакерам придется получить доступ к устройству, на которое привязана 2FA.
Сейчас целостность цепочки поставок снова под угрозой, поэтому американские федеральные агентства в срочном порядке устанавливают последние обновления.
@cybersachok
Американ бой, американ джой,
Американ бой фор ол из тайм
21 год тюрьмы за шпионаж в пользу России получил специалист по информационной безопасности АНБ.
За $85 000 зеленых он слил секретные документы агентам ФБР(те выдавали себя за сотрудников российских спецслужб) и готов был поделиться секретной информацией дополнительно.
Что же заставило сотрудника АНБ пойти на госизмену? То ли потеря веры в «Американскую мечту», то ли разочарование в выбранном страной курсе, то ли недостаток зарплаты.
Одно кажется очевидным — в США началась целенаправленная «охота на ведьм». Прямо как в старые добрые времена Мэрилин Монро и Маккартизма.
@cybersachok
Я всегда обращаю внимание в кибербезе на открытость компаний в инфополе, коммуникацию с клиентами, умение простым и интересным языком донести до нужных людей суть своей деятельности и продуктов.
Читаю многие каналы, но несколько месяцев назад внимание зацепил канал центра инноваций МТС Future Crew.
На мой взгляд, именно таким должен быть телеграм-канал про кибербез: без излишнего корпоративного душка, рассказывающий о кейсах, актуальных угрозах киберпанкового мира 2024 и отслеживающий тренды киберугроз в режиме онлайн.
Почитайте их на досуге сами, чтобы убедиться, что можно выходить за рамки шаблонов.
@cybersachok
Саундтрек этой почти летней по погоде пятницы, когда совсем не хочется работать.
Sunshine, sunshine reggae,
Don't worry, don't hurry,
Take it easy.
С этими словами врываемся в вечер пятницы.
Феноменальный способ взлома телефона с помощью утилиты Lockspish продемонстрировали на днях ИБ-исследователи.
Если вы окончательно провалились в дофаминовую яму и устали от информационного поноса социальных медиа, то вот вам способ цифровой самоликвидации.(главное, не бежать сразу же покупать новый гаджет-ошейник).
Захват устройства осуществляется по следующему алгоритму:
1)на почту отправляют письмо о нахождении телефона и просят ввести от него пароль(так топорно не работают даже Украинские спецслужбы);
2) кто ввел пароль, тот потерял смартфон.
В общем, лучше один раз посмотреть, чем 10 раз перечитать.
@cybersachok
Не верь, не бойся, не проси
Новый способ распространения вредоносного ПО с помощью лазейки в GitHub обнаружили ИБ-исследователи. Злоумышленники используют URL-адреса, связанные с репозиторием Microsoft.
Исследователи привели примеры URL-адресов установщиков вредоносного ПО, ссылки на которые отсутствуют в исходном коде проекта Vcpkg, известного менеджера библиотек C++ для Винды, Линукс и МакОС.
Файлы не являлись частью проекта, а были оставлены как комментарии, описывающие проблему в проекте.
Когда пользователь GitHub оставляет комментарий, он может прикрепить файл, который загружается в CDN GitHub и в последствии будет связан с соответствующим проектом. URL-адрес при этом будет выглядеть так:
'https://www.github.com/{project_user}/{ repo_name}/files/{file_id}/{file_name}.'
Лазейка для злоумышленников в том, что GitHub автоматически генерирует ссылку для скачивания после публикации комментария вместо создания URL-адреса, поэтому вредоносное ПО можно прикрепить к любому репозиторию без ведома владельца.
Причем, даже если удалить комментарий после публикации или оставить в черновике, файлы сохранятся в CDN GitHub.
URL-адрес будет содержать имя репозитория, в котором он был создан, поэтому у пользователя он скорее вызовет доверие.
У владельца, узнавшего о проблеме, не будет при этом никаких инструментов для удаления вредоносных файлов.
Вот и пользуйся потом открытыми репозиториями.
@cybersachok
23-26 июня мы на фестивале Positive Hack Days 2 в «Лужниках». Помимо логотипа канала в информпартнерах можно увидеться с нами и неформально пообщаться в кулуарах мероприятия. Связаться можно через бот
Читать полностью…
Run away from me, baby, run away
/channel/lobushkinflash/11485
Как защитить веб-приложения в облаке от сетевых атак?
Теперь пользователи Yandex Cloud могут защитить свои веб-приложения от сетевых атак с помощью межсетевого экрана (WAF). Новая функция доступна в сервисе Smart Web Security, который также защищает инфраструктуру клиентов от DDoS-атак.
WAF автоматически блокирует попытки злоумышленников использовать уязвимости веб-приложений, в том числе входящие в международный рейтинг основных угроз безопасности OWASP TOP-10.
Сервис Smart Web Security разработан на основе «Антиробота» — внутренней технологии Яндекса, которая ежегодно отбивает рекордные DDoS-атаки на все сервисы компании. Это позволяет блокировать самые сложные атаки злоумышленников на уровне L7 по классификации OSI (Open Systems Interconnection model). Узнать о сервисе подробнее можно здесь.
Забавное промо в стиле фамили-френдли сняли для фестиваля Positive Hack Days 2 в «Лужниках» Positive Technologies. На нем взломанные IoT-устройства едут с разных районов столицы в сторону проведения киберфестиваля.
Масштаб фестиваля с каждым годом все больше удивляет своей «духовностью», как писал Пелевин «духовностью» у нас называется — умение кидать понты. Но в данном случае понты в хорошем смысле.
Компания сделала традицией бесплатный вход для массовой аудитории не из отрасли, которая интересуется вопросами кибербезопасности на научпоп сцену. Для посещение других треков нужно приобрести билет и внести 1000 рублей в фонд «Подари жизнь».
Всего за 4 дня можно будет сходить на более чем 20 треков по кибербезопасности, разработке и бизнесу.
Ничего низкокачественного от компании, капитализация которой выросла до 200 млрд ожидать и не стоило.
Настоящий резонанс на другой стороне океана произвело заявления чиновника CISA, который сообщил, что злоумышленники могли определять местоположение граждан США, используя уязвимости в телекоммуникационных сетях.
Уязвимости были в протоколах SS7 и Diameter.
@cybersachok
Сайт британского банка в процессе авторизации просит ввести не весь пароль, а только определенные символы из него.
На нестандартную систему защиты обратил внимание пользователь X, он и поделился скриншотом, на котором видно, что в поле пароля требуется ввести 9-й, 14-й и 19-й символы.
Что это, если не худшее UX-решение?
@cybersachok
Кто из топов российского ИБ стервятники, а кто гиена и Жираф? Помогите Даше путешественнице ответить на вопрос
Читать полностью…
Проблема со шпионским ПО для Apple усугубилась. Тем временем в ветке сабредита считают, что самый безопасный смартфон сейчас — это Google Pixel.
Читать полностью…
В эфире ваша любимая рубрика «секс-игрушки опасносте»
Исследователи нашли в приложении для управления вибратором троянское ПО-кликер, который может незаметно открывать сайты и без ведома пользователя заполнять различные данные в формах на этих сайтах.
Речь о приложении Love Spouse.
Пока вы пользуетесь вибратором, вибратор оформляет платные подписки, переходит по ссылкам или участвует в DDoS-атаках на крупные компании и государственные информационные системы.
Пользуешься вибратором — спонсируешь хакерские атаки.
@cybersachok
Люди по-прежнему самые опасные существа для людей
Verizon обнародовала очередной отчет 2024 Data Breach Investigations Report.
Человеческий фактор снова занял самую большую долю в причинах инцидентов компрометации данных — 68%.
Самые частые причины утечек данных во внешних угрозах — ransomware.
Заметно выросло число утечек с эксплуатацией уязвимостей. Пламенный привет разработчикам софта для обмена файлами MOVEit.
На первом месте мотиваций злоумышленников — финансовая, после идет шпионаж.
@cybersachok
Начинаем помощь российским бойцам на СВО
Теперь часть от дохода с рекламы в канале мы будем использовать для покупки необходимых нашим парням в зоне СВО девайсов, вещей и техники.
Присылайте в бот информацию по фондам, гражданским инициативным группам, занимающимся гуманитарной помощью российским военным.
@cybersachok
POV: я забыл сделать бэкапы компании, которая стала жертвой ransomware-атаки
Читать полностью…
Друзья рассказали историю. Один казанский ИБ-исследователь в ходе изучения хакерских форумов познакомился с Петербургской хакершой. Его специализацией были кардерские форумы и инструменты для кражи финансовых данных. И ему не хватало живого примера. В общем жену он использовал в качестве учебно-исследовательского пособия для своих работ и статей. Она переехала в Казань, приняла ислам, дальше никах, свадьба, набор веса от татарской еды и трансформация в белого хакера. Остался ли между ними такой же взаимный интерес после сферы направления деятельности жены история умалчивает.
@cybersachok
Любопытная коллаборация на рынке системного ПО
Накануне ИТ-вендор «Базис» заявил о расширении сотрудничества с Институтом системного программирования РАН. Началось партнерство в прошлом году с того, что
ИСП РАН приступил к поиску уязвимостей в ПО «Базиса» при помощи статического и динамического анализов.
Дальше работать планируют сразу по нескольким направлениям: тут и верификация, и тестирование программного обеспечения, и обработка больших данных, и программная инженерия. И что особенно интересно — будут создавать коммьюнити в области доверенного ПО. Привлекать планируют как состоявшихся экспертов, так и студентов — тех будут взращивать для инфобеза.
В продуктовом же смысле предполагается, что сотрудничество повысит качество и защищенность продуктовой экосистемы «Базиса», которая уже сертифицирована ФСТЭК и ФСБ и интегрирована в ключевые государственные проекты вроде Гостеха и еще 120+ ГИС и ИС.
@cybersachok
В Ижевском храме прихожанам устроили ликбез по кибербезопасности
Читать полностью…