Кандидат на пост главы разведки США заявила об уязвимости в киберпространствеAlexander AntipovРабота в киберпространстве является одной из ключевых для страны, поэтому США очень зависят от ее результатов и ошибок.

США сильно зависят от находящихся на орбите спутников, а также от работы в киберпространстве, и потому очень уязвимы там, заявила кандидат на пост директора Национальной разведки США Аврил Хейнс.

Работа в киберпространстве является одной из ключевых для страны, поэтому США очень зависят от ее результатов и ошибок.

Так же, как и от работы находящихся на орбите спутников, заявила Хейнс.

Хейнс обратила внимание, что в киберпространстве можно угрожать важным для США объектам, хотя ата…

Общая сума штрафов за нарушение GDPR выросла на 39%Alexander AntipovПомимо увеличения штрафов, количество уведомлений о нарушениях выросло на 19%.

Это на 39% больше, чем за 20-месячный период с момента вступления в силу Общего регламента Общего регламента по защите данных (General Data Protection Regulation, GDPR).

Помимо увеличения штрафов, количество уведомлений о нарушениях выросло на 19% за последний год.

Италия, Германия и Франция больше других накладывали штрафы, и в общей сложности заставили нарушителей выплатить 192,8 млн евро ($234 млн) с тех пор, как вступил в силу GDPR.

Самым крупным разовым штрафом остается сумма в $57 млн, которую Франция наложила на Google за нарушение правил …

В 2021 году расходы на кибербезопасность могут достигнуть $60,2 млрдAlexander AntipovЕсли сохранятся текущие тренды в инвестировании, рынок кибербезопасности в нынешнем году увеличится на 10%.

Согласно прогнозам исследовательской компании Canalys, в 2021 году расходы на кибербезопасность могут достигнуть $60,2 млрд.

В целом рынок кибербезопасности в нынешнем году увеличится в лучшем случае на 10%, если сохранятся текущие тренды в инвестировании.

С учетом возможного влияния на экономику новых карантинных ограничений специалисты прогнозируют в худшем случае рост на 6% – до $57,7 млрд.

По прогнозам Canalys, несмотря на пандемию коронавируса, бюджеты компаний на кибербезопасность до сих пор ост…

Трамп обязал американские облачные сервисы вести учет иностранных пользователейAlexander AntipovУчет иностранных клиентов призван помочь властям США отслеживать людей, совершающих киберпреступления.

Президент США Дональд Трамп подписал указ , согласно которому американские облачные компании должны вести учет иностранных клиентов с целью помочь властям США отслеживать людей, совершающих киберпреступления.

Согласно пояснительной записке , для устранения киберугроз, предотвращения использования продуктов IaaS США иностранными злоумышленниками и для оказания помощи в расследовании транзакций с участием иностранных хакеров США должны обеспечить проверку американскими провайдерами IaaS-услуг личн…

В 2020 году возросло число атак вымогательского ПО на Windows-ПКAlexander AntipovКоличество атак программ-вымогателей на госсектор США продолжает стремительно расти.

В 2020 году вымогательское ПО, что называется, «бодро шагало по планете».

По данным ИБ-компании Emsisoft, в прошлом году только в США было зафиксировано 2354 атаки на организации государственного сектора, в частности на правительственные, медицинские и образовательные учреждения.

Как сообщается в отчете, в 2020 году с похищением данных после атак вымогательского ПО столкнулись 58 организаций государственного сектора, из них 56 – во втором полугодии.

Компании, заплатившие выкуп вымогателям, могли не попасть в списки на этих сайт…

Brave стал первым браузером с интегрированным протоколом IPFSAlexander AntipovИнтеграция IPFS позволит пользователям Brave просматривать децентрализованную сеть.

Brave стал первым браузером, в котором интегрирован одноранговый протокол IPFS (InterPlanetary File System).

В течение последних нескольких месяцев команда специалистов Brave работала с Protocol Labs над добавлением поддержки IPFS в свой браузер.

Интеграция нового протокола в браузер предоставляет пользователям Brave доступ к ранее просмотренному контенту, даже когда они не в сети.

Сейчас браузером пользуются более 24 млн пользователей и каждый может получить доступ к любым страницам, которые начинаются на ifps://.

Взломавшие SolarWinds хакеры получили доступ к внутренней электронной почте MalwarebytesAlexander AntipovХакеры использовали приложения с привилегированным доступом к средам Microsoft Office 365 и Azure.

Исследователи безопасности из ИБ-фирмы Malwarebytes подтвердили , что киберпреступники, ответственные за атаку на цепочку поставок SolarWinds, смогли получить доступ к электронной почте компании.

«Несмотря на то, что Malwarebytes не использует ПО SolarWinds, мы, как и многие другие компании, недавно подверглись нападению того же злоумышленника.

Как показали результаты расследования, злоумышленники воспользовались уязвимостью Azure Active Directory, которая позволила получить доступ к ограни…

Начните обучение с полного погружения в рабочие задачи ИБ-специалистаAlexander AntipovНа интенсиве «Кибербезопасность: Level 0» от HackerU вас ждёт полное погружения в рабочие задачи ИБ-специалиста.

С чего начать обучение в сфере кибербезопасности?

Закрытые видеоконференции и чаты с экспертамиОбратная связь 24/73 дня и 15 ак.

часов с действующими ИБ-специалистамиТолько практика и разбор реальных кейсовПосле интенсива вы сможете создавать тестовые стенды для анализа безопасности, перехватывать и анализировать сетевой трафик, разворачивать систему обнаружения вторжений (IDS) на основе NextGen Firewall, а дальше больше!

Участники интенсива получают бонусы (%) при поступлении на основную профес…

Для этого и обладатель конфиденциальной информации, и орган криптографической защиты должны вести журналы (каждый — свой) поэкземплярного учёта СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.

Если услуги оказывает сервис-провайдер, то он заполняет журнал учёта для органа криптографической защиты, а организация — журнал для обладателя конфиденциальной информации.

На этом этапе заполняются 7-я и 8-я графы журнала (кому и когда выдаётся СКЗИ — с обязательной росписью пользователя).

Журнал поэкземплярного учёта СКЗИ для обладателя конфиденциальной информацииЖурнал учёта СКЗИ для органа криптографической защиты во многих пунктах перекликается с аналогичным документо…

Внедрение революционных технологий ближайшего будущего (5–10 лет) — это столкновение с революционными рисками и угрозами, которые уже сейчас требуют качественно нового подхода к безопасности и коллективных решений на уровне мирового сообщества.

Проблема обмена информацией и осторожность бизнесаОдин из ключевых атрибутов как современной ИБ, так и безопасности будущего — обмен информацией, особенно в рамках решения проблем возрастающих системных рисков.

В то же время ИИ в руках специалистов по ИБ может выявлять и подавлять риски и угрозы, прогнозировать векторы атак и весьма эффективно защищаться, опережая действия злоумышленников.

Следовательно, необходимо выработать принципы и стандарты без…

Kaspersky Endpoint Security Cloud — комплексная защитная система, которая предназначена для обеспечения безопасности компьютеров и файловых серверов, смартфонов и программных сервисов.

Архитектура и функциональные возможности KES Cloud и KES Cloud PlusКак понятно из самой концепции создания продукта, KES Cloud разворачивается и управляется полностью из облака (единая «точка входа» — Kaspersky Business Hub), для этого необязательно даже читать инструкции.

Работа с KES CloudИнсталляция KES CloudИтак, начать работать с KES Cloud действительно крайне просто.

Для обеих задач в KES Cloud можно настроить удобное расписание, а для установки патчей — выбрать режим и комфортный вариант перезагрузки с…

В 2017 году был выпущен Kaspersky EDR, усиливший платформу Kaspersky Anti Targeted Attack, а в 2020 году компания предложила «Kaspersky EDR для бизнеса Оптимальный», который входит в линейку продуктов «Kaspersky Security для бизнеса» и включает в себя всю функциональность комплекса защиты конечных точек «Kaspersky Endpoint Security для бизнеса Расширенный» вместе с базовыми возможностями EDR.

Общее функциональное сравнение решений «Лаборатории Касперского»В данной статье более подробно рассмотрим решения Kaspersky EDR и «Kaspersky EDR для бизнеса Оптимальный», а также проанализируем области применения каждого из них.

Дополнительно «Kaspersky EDR для бизнеса Оптимальный» может быть усилен пе…

Интерфейс менеджера паролей в Mozilla FirefoxOperaХотя встроенный в Opera менеджер паролей весьма примитивен (поскольку он просто хранит пароли и веб-формы), он имеет два важных преимущества перед своими конкурентами.

Первое, которое упоминалось в обзоре менеджера из Firefox, — возможность добавить в браузер мастер-пароль, который всегда требуется для разблокировки паролей, находящихся в программном хранилище.

Интерфейс менеджера паролей в Microsoft EdgeКоммерческие аналоги, их преимущества и недостаткиСторонние компании-разработчики предлагают более широкие функциональные возможности менеджеров паролей.

Интерфейс менеджера паролей LastPassСравнение и критерии оценкиНиже приведена сравнител…

Вследствие пандемии COVID-19, сокращения бюджетов, перехода на «удалёнку» открылись новые векторы атак на предприятия и ведомства.

Например, крупнейшие инциденты в России — это утечка данных 1,36 млн участников программы «РЖД Бонус», 5 млн учащихся и сотрудников Skyeng.

Примечательно, что компания узнала об этом только после того, как данные 17 млн пользователей сервиса были выставлены на продажу на специализированных рыночных площадках даркнета.

ВыводыВ 2020 году мы стали свидетелями многочисленных кибератак, в том числе нацеленных на крупные корпорации и гигантов мирового рынка.

В конце концов, все мы помним недавний случай взлома твиттер-аккаунта президента США Дональда Трампа, когда хак…

Известные эксперты отметили основные тенденции на рынке информационной безопасности в России и сделали свои прогнозы о развитии киберугроз и средств защиты информации на будущий 2021 год.

Вопрос, который мы разослали в середине декабря, остался прежним:Чего можно ожидать в наступающем 2021 году в области развития киберугроз и эволюции средств защиты от них?

Кстати, рост количества атак и киберпреступности в целом, равно как и прогресс финансовых преступлений, тоже предсказывают многие наши партнёры.

И, наконец, третий: получает распространение контекстно зависимая аутентификация, при которой принимается во внимание уровень доверия к устройству и к среде, а также уровень запрашиваемых полном…

Как сложился 2020 год для отечественного рынка информационной безопасности по мнению его ключевых игроков?

Каким был 2020 год для отечественного рынка информационной безопасности?

Так, для крупных предприятий в 2020 году были наиболее актуальными решения для внутренней безопасности, DLP и системы управления доступом.

Госрегулирование меняется и позитивно влияет на качество продуктов — российские системы способны выходить на международные рынки и на равных конкурировать с лидерами.

Окончательная «смерть» парадигмы защиты периметра — как для сетевой инфраструктуры компании, так и для АСУ ТП.

Основные функциональные возможности UserGate Management CenterК основным функциональным возможностям UserGate Management Center относятся:Поддержка облачной платформы управления (независимое администрирование межсетевых экранов разных предприятий через единый сервер).

Варианты поставки UserGate Management CenterПоставка UserGate Management Center возможна в виде программно-аппаратного комплекса или виртуального устройства.

Для малого бизнеса, филиалов, POS-систем, школ, точек Wi-Fi подойдёт редакция UserGate Management Center C, а для больших корпоративных сетей и интернет-провайдеров — вариант UserGate Management Center E.В свою очередь, виртуальная машина UserGate Management Center постав…

В частности, в марте «Лаборатория Касперского» заявила о том, что на устройствах россиян в 1,5 раза чаще появлялись шпионские программы типа stalkerware.

Уязвимость касалась возможности использования специально созданных архивов, которые не воспринимались сканерами антивирусных продуктов, но при этом оказывались вполне работоспособными.

Этот год был богат на новости от регуляторов и на известия об использовании персональных данных; подчас на это равновесие влияют и геополитические изменения.

Как выяснилось, президент не использовал двухфакторную аутентификацию и при этом установил очень простой и даже очевидный пароль «maga2020!».

В целом как производства, так и ИБ-вендоры приспособились к …

При этом различные DLP-решения развивались исторически по-разному и в зависимости от этого обладают соответствующими сильными и слабыми сторонами.

Некоторые вендоры стараются выпустить продукт как можно быстрее, и при этом его качество, удобство и надёжность оставляют желать лучшего.

Тем не менее многие организации предпочитают использовать DLP-системы в режиме наблюдения, без активного вмешательства в информационные потоки.

В связи с этим потребность в функциях блокировки отходит на второй план, поскольку активное их использование и не планируется.

Тем не менее уже сегодня есть более зрелые продукты, в которых агент работает и на Linux, и на Mac.

SafeNet Trusted Access — это облачная платформа управления учётными данными и доступом (Identity and Access Management, IAM), которая позволяет обеспечить надёжную защиту как самих аутентификационных данных, так и доступа к различным приложениям.

Обзор системы SafeNet Authentication Service мы уже проводили ранее, а сегодня речь пойдёт о SafeNet Trusted Access (STA) — продукте, позволяющем реализовать управление доступом и аутентификацию корпоративного класса.

SafeNet Trusted Access обеспечивает централизованное управление доступом и аутентификацией применительно к различным приложениям, включая облачные, локальные и интегрированные с помощью SAML, OpenID Connect (OIDC) или RADIUS.

SafeNet …

Поэтому лучше всего использовать автоматические средства для поиска уязвимостей и слабых мест в информационной инфраструктуре предприятия, такие как сканеры защищённости или сканеры уязвимостей.

Это — и сканирование сети, и перебор паролей, и поиск неустановленных патчей и небезопасных версий ПО, и обнаружение паролей и учётных записей, установленных по умолчанию, и поиск открытых портов и запущенных небезопасных служб, а также отслеживание других элементов, которые потенциально несут угрозу информационной безопасности.

Данный продукт обладает следующими характерными особенностями:Обнаружение узлов сети и сканирование на предмет уязвимостей операционных систем, общесистемного и прикладного …

На волне хайпа про РЖД я заметил, что много людей, даже из тех, кто "в теме", имеют странное представление о ситуации.

А большая часть тех, кто с безопасностью не связан вообще, высказывает какие-то уж совсем фантастические мнения, граничащие с теорией заговора.

В данной статье я сделаю попытку разобраться, без упора на информационную безопасность и поделиться своими мыслями, так что надеюсь, воспринято это будет правильно.

Под катом — мой личный анализ и попытка расставить точки над "ё".

А также несколько эксклюзивных железнодорожных фоточек... Читать дальше →

Один из наших читателей обратил наше внимание на Espressif IoT Development Framework. Он нашёл ошибку в коде проекта и поинтересовался, смог бы её найти статический анализатор PVS-Studio. Именно эту ошибку анализатор пока найти не может, зато нашёл множество других. По мотивам этой истории и найденных ошибок, мы решили написать классическую статью про проверку открытого проекта. Приятного изучения того, из-за чего IoT устройства могут "выстрелить вам в ногу". Читать дальше →

Как передать пароль по Интернету? Обычно приобретается сертификат SSL, а TLS выполняет задачу безопасной перемещения пароля от клиента к серверу. Разумеется, всё не так сухо, как пытаюсь представить я, но в целом это так и подобный подход прошёл проверку временем. Однако так было не всегда, и один невероятно популярный онлайн-магазин предпочёл добавить к этому процессу что-то своё. В этой статье я расскажу об уникальном способе входа в систему пользователей Steam и исследую глубокую кроличью нору удивительных подробностей его реализации. Выявляем очевидное

Я нашёл на StackOverflow датированный 2013 годом вопрос о том, как безопасно передавать пароль по HTTP. Ответы оказались достаточно един…

Или, сказ о неожиданных способах раскрытия пользователей распределенных сетей-анонимайзеров.Пользователи анонимных сетей и браузеров, вероятно, используют их для посещения преимущественно заблокированных/защищенных сайтов. При этом, далеко не все из них ожидают, что факт данного посещения останется анонимным. Если анонимность вас не беспокоит, то, дальнейшее содержимое статьи, скорее всего, вас не заинтересует.Остальных же пользователей прошу под кат, где вы сможете ознакомиться с рассуждениями начинающего параноика о том, как же пользователей анонимных браузеров можно раскрыть. Читать далее

В ходе мониторинга угроз ИБ в мае 2020 года эксперты Positive Technologies обнаружили несколько новых образцов вредоносного ПО (ВПО). На первый взгляд их следовало отнести к группе Higaisa, однако подробный анализ показал, что связывать эти вредоносы следует с группой Winnti (также известной как APT41, по данным FireEye). Детальный мониторинг позволил обнаружить и множество других экземпляров ВПО группы APT41, включая бэкдоры, дропперы, загрузчики и инжекторы. Нам также удалось обнаружить образцы ранее неизвестного бэкдора (мы назвали его FunnySwitch), обладающего нетипичной функциональностью peer-to-peer-передачи сообщений. Подробный отчет представлен по ссылке, а в этой статье мы расскаже…

По данным Statista в мире насчитывается около 3.5 млрд. пользователей смартфонов. Это значит, что жертвами небезопасных мобильных приложений могут стать очень многие. Подготовленный фондом OWASP cписок 10 наиболее актуальных уязвимостей приложений – это отличный ресурс для разработчиков, стремящихся создавать защищенные продукты. Дело в том, что многие мобильные приложения по своей природе уязвимы для угроз безопасности. Вспомним, к примеру, ряд нашумевших атак, произошедших за последние годы. К ним можно отнести шпионское ПО Pegasus для WhatsApp, посредством которого злоумышленники смогли заполучить управление устройствами пользователей мессенджера. Еще одним примером явился взлом приложен…

У меня имеется Alcatel MW41 — мобильный WiFi-роутер. К его функционированию у меня претензий нет, но то, как он устроен, вызывает некоторые вопросы. Возникает такое ощущение, что на нём работает некое ПО (точнее — веб-сервер, предоставляющий интерфейс для выполнения настроек устройства). Это предположение заставило меня задаться следующими вопросами: Работает ли на устройстве Linux?

Если Linux на роутере работает, то можно ли получить на нём root-права? Читать дальше →

Наверное, многие из вас видели в конце декабря 2020 года в СМИ заголовки вроде «Подписано около 100 новых законов» и возможно даже читали подборки изменений новых правил из различных сфер жизни, вступающих в силу с 1 января 2021 года. Одним из таких подписанных документов был Федеральный закон от 30.12.2020 №515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности». Казалось бы – как связаны оперативно-розыскная деятельность, любая ИСПДн (информационная система персональных данных) и SOC (Security Operation Center)? Читать далее

За ссылки и первую часть текста спасибо SecAtor.Европейское медицинское агентство (ЕМА) признало на прошлой неделе факт утечки в сеть некоторых данных в отношении лекарств и вакцин от COVID-19, полученных хакерами в результате компрометации ее сети. При этом ЕМА сообщает, что на ее работу и работу европейской сети регулирования лекарственных средств инцидент никак не повлиял, утверждение и распространение вакцин не нарушено. Призывают уголовно наказать виновных если поймают. "Если" как лаконично высказались когда-то жители Лаконии.twitter.com/CryptoInsane/status/1349835605027516417twitter.com/CryptoInsane/status/1350006585641340929Хакеры слили украденные данные в отношении вакцины Pfizer в …

Где-то в компании “Рельсы-рельсы, шпалы-шпалы”. CISO: Игорь, кто-то получил доступ к нашим камерам на вокзалах.

Игорь: @@@!

CISO: Ступай, разберись. Проверь конфигурации каждой камеры, каждого компьютера. Игорь: Но их же 100500+, это займет уйму времени!

CISO: Возьми в помощь Михалыча, нашего электрика, он в детстве радиокружок посещал.

Игорь: Может лучше попробуем SCAP?

CISO: А это что за… Читать дальше →

Команда Google Project Zero опубликовала детальное исследование атаки с использованием уязвимостей нулевого дня в браузере Google Chrome и Windows. Основной задачей этого подразделения Google является поиск новых уязвимостей, так что данное исследование получилось для них нетрадиционным, но от того не менее полезным. Когда появляется сообщение о закрытии той или иной уязвимости в ПО, всегда хочется понять, какую угрозу несут эти баги, эксплуатируются ли они злоумышленниками или никогда никем не будут задействованы. Публикация Project Zero, пусть и с полугодовым опозданием, показывает, как эксплуатация происходит на практике. Помимо Windows и браузера Chrome, исследуемая группировка пыталась…

Поскольку компании переносят рабочие файлы в облако для поддержки удаленных сотрудников, они часто создают возможности для злоумышленников. Это наиболее распространенные ошибки, которых следует избегать.

Вступление

В связи с пандемией многие предприятия перешли на использование большего количества облачных приложений по необходимости потому, что всё больше из нас работают удаленно. В опросе 200 ИТ-менеджеров, проведенном Menlo Security, 40% респондентов заявили, что они сталкиваются с растущими угрозами со стороны облачных приложений и атак Интернета вещей (IoT) из-за этой тенденции. Читать дальше →

Специалистка Google Project Zero Натали Сильванович (Natalie Silvanovich) обнаружила ряд серьезных проблем в приложениях Signal, Google Duo, Facebook Messenger, JioChat и Mocha.

Баг в Google Duo провоцировал возникновение состояния гонки, что позволяло сливать у вызываемой стороны видеопакеты, используя для этого непринятые вызовы.

О проблеме в Facebook Messenger для Android мы детально рассказывали в ноябре 2020 года.

Две похожие уязвимости были обнаружены и в коде мессенджеров JioChat и Mocha.

Сильванович пишет, что искала похожие ошибки и в других приложениях, включая Telegram и Viber, однако там подобных проблем обнаружить не удалось.

Специалисты Symantec обнаружили четвертую малварь, Raindrop, которая использовалась во время атаки на компанию SolarWinds, наряду с вредоносами Sunspot, Sunburst (он же Solorigate) и Teardrop.

Про­ник­нув в сеть SolarWinds, зло­умыш­ленни­ки снаб­дили плат­форму Orion, пред­назна­чен­ную для цен­тра­лизо­ван­ного монито­рин­га и управле­ния, вре­донос­ным обновле­нием.

Аналитики компании CrowdStrike писали, что этот вредонос использовался для внедрения в код Orion бэкдора Sunburst.

Впрочем, у Raindrop и Teardrop есть и различия, которые исследователи перечисляют в приведенной ниже таблице.

Можно предположить, что загадочное «появление» Raindrop в системах пострадавших как раз являлось резул…

Эксперты компании Check Point обнаружили ботнет FreakOut, нацеленный на незащищенные приложения, работающие поверх Linux-систем.

Обнаружив целевые приложения, операторы FreakOut используют против них эксплоиты для трех относительно новых уязвимостей, и таким образом получают контроль над базовой Linux-системой.

CVE-2020-28188— RCE в панели управления TerraMaster (баг раскрыт 24 декабря 2020 );CVE-2021-3007— проблема десериализации в Zend Framework (баг раскрыт 3 января 2021);CVE-2020-7961— проблема десериализации в Liferay Portal (баг раскрыт 20 марта 2020 ).

Если атака удалась, FreakOut незамедлительно загружает и запускает в зараженной системе Python-скрипт, который подключает зараженные …

Мы видим исходные коды V8 и отдель­ную вет­ку, соз­данную авто­ром ВМ, которая содер­жит один ком­мит с неболь­шими изме­нени­ями.

Number()) ;Как и сле­дова­ло ожи­дать, поменяв в скрип­те наз­вания фун­кций на oob и запус­тив его, я получил тот же резуль­тат!

Итак, испра­вим var obj_arr = [ obj] ; на var obj_arr = [ obj, obj] ;artex@ubuntu: ~/ v8/ out.

Сте­ковая вир­туаль­ная машина, исполня­ющая инс­трук­ции бинар­ного фор­мата wasm, может быть запуще­на как в сре­де бра­узе­ра, так и в сер­верной сре­де.

Так как V8 — это дви­жок JS, оче­вид­но, что надо как‑то скор­мить ему наш JavaScript.

Представители ИБ-компании Malwarebytes сообщили, что хотя компания не пользовалась продуктами SolarWinds, те же самые злоумышленники сумели получить доступ к ее внутренним письмам.

Напомню, что атаку на SolarWinds приписывают предположительно русскоязычной хак-группе, которую ИБ-эксперты отслеживают под названиями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity).

В своем заявлении Malwarebytes подчеркивает, что этот инцидент не связан с недавней атакой на цепочку поставок и взломом компании SolarWinds.

«Невзирая на то, что Malwarebytes не использует продукцию SolarWinds, мы, как и многие другие компании, недавно подверглись атаке того же злоумышленника.

Атаку обнаружи…

Совсем недавно мы рассказывали о неисправленной проблеме в Windows, которая вызывает повреждение файловой системы NTFS при помощи простой однострочной команды.

Теперь же издание Bleeping Computer сообщает о другом неисправленном баге в Windows 10, эксплуатация которого крайне проста и приводит к появлению «синего экрана смерти».

Еще прошлой осенью он обратил внимание, что если ввести в строку адреса Chorme определенный путь, это немедленно приведет к сбою в работе Windows 10 и появлению BSOD.

При открытии этого файла Windows 10 пытается отобразить его иконку, используя проблемный путь, что тут же приводит к сбою.

Специалисты Bleeping Computer пишут, что уже нашли множество других способов и…

Приложение изменило свою политику конфиденциальности и поставило всех пользователей (кроме жителей ЕС и Великобритании) перед выбором: делиться персональными данными с Facebook или отказаться от использования мессенджера вовсе.

Пользователей вынуждали делиться с компанией Facebook номерами телефонов, именами и фото профилей, сведениям о транзакциях, диагностическим данными из логов приложений и IP-адресами.

Фактически, если пользователь не соглашался с новыми правилами, с 8 февраля 2021 года он терял возможность совершать звонки и обмениваться сообщениями.

Теперь представители компаний объявили, что берут паузу, чтобы разобраться с дезинформацией, окружающей обновление политики конфиденциал…

В прошлые выходные (16 января 2021 года) в результате атаки была взломана учетная запись администратора форума (forum.openwrt.org).

Команда OpenWRT заявляет, что злоумышленник не сумел загрузить полную копию БД, но скачал список участников форума, который включал имена пользователей и адреса электронной почты.

Хотя паролей среди пострадавших данных не было, администраторы OpenWRT решили перестраховаться и все равно сбросили все пароли и ключи API.

OpenWRT предупреждает, что в ближайшее время участники форума могут подвергаться фишинговым атакам.

Опасность заключается в том, что форум OpenWRT часто посещают разработчики из компаний, которые создают или продают маршрутизаторы и ПО, совместимы…

Разработчики Apple удалили из macOS функцию, которая позволяла 53 собственным приложениям Apple обходить сторонние брандмауэры, защитные решения и VPN, установленные пользователями.

Речь идет о «белом списке» ContentFilterExclusionList, впервые появившемся в коде ОС с релизом macOS 11 (Big Sur).

Этот список располагался по адресу /System/Library/Frameworks/NetworkExtension.framework/Versions/Current/Resources/Info.plist и включал в себя многие крупные приложения Apple, в том числе App Store, Maps и iCloud.

Впервые ИБ-исследователи и разработчики приложений обнаружили ContentFilterExclusionList еще в октябре прошлого года, когда заметили, что их защитные продукты не могут фильтровать или про…

Издание Bleeping Computer сообщает, что в минувшие выходные компания IObit, разрабатывающая различные утилиты для Windows, была скомпрометирована, а среди пользователей официального форума теперь распространяется шифровальщик DeroHE.

Хакеры заявляют, что все случившееся – вина IObit, и поэтому платить должна именно компания.

Bleeping Computer предполагает, что для реализации этой атаки злоумышленники, скорее всего, взломали форум IObit и получили доступ к учетной записи администратора.

Другие разделы сайта, похоже, тоже скомпрометированы и тоже перенаправляют на порносайты.

Представители компании IObit пока никак не прокомментировали случившееся и не отвечают на запросы журналистов.

Разработчики Google сообщили, что запретят сторонним Chromium-браузерам использовать приватные API Google.

Дело в том, что многие API, включенные в код Chromium, предназначены исключительно для Google Chrome, однако, обнаружилось, их успешно используют сторонние производители.

— Это значит, что небольшая часть пользователей могла войти в свою учетную запись Google и сохранить личные данные через Chrome sync (например, закладки), не только для Google Chrome, но и для некоторых сторонних браузеров на основе Chromium».

Специалист не уточняет, о каких именно браузерах, использовавших Chrome Sync, идет речь, но пишет, что начиная с 15 марта 2021 года компания ограничит доступ сторонних Chromium-…

ИБ-исследователь Пьер Ким опубликовал отчет, в котором рассказал, что в прошивках популярных маршрутизаторов китайской компании FiberHome Networks, широко распространенных в Южной Америке и Юго-Восточной Азии, было обнаружено 28 бэкдор-аккаунтов и ряд других уязвимостей.

Проблемы были найдены в двух моделях FTTH ONT маршрутизаторов: FiberHome HG6245D и FiberHome RP2602.

Однако исследователь пишет, что по какой-то причине инженеры FiberHome Networks не смогли реализовать те же средства защиты для интерфейса IPv6.

С этой особенности эксперт начинает длинный список бэкдоров и уязвимостей, которые он нашел в прошивках FiberHome HG6245D и FiberHome RP2602.

При этом Ким пишет, что, по его мнению,…

Разработчики ориентированного на конфиденциальность поисковика DuckDuckGo сообщили об очередной рекорде: впервые за 12-летнюю историю своего существования поисковик достиг отметки в 100 000 000 поисковых запросов в день.

Напомню, что в августе 2020 года поисковая система отчиталась о получении 2 000 000 000 поисковых запросов в месяц на регулярной основе.

Хотя эти цифры невелики по сравнению с 5 000 000 000 ежедневных поисковых запросов Google, все же это верный признак того, что пользователи ищут альтернативы и стали чаще задумываться о приватности и конфиденциальности.

Эта приложения и расширения уже установили более 4 000 000 пользователей.

Теперь представители DuckDuckGo рассказали журн…

Malwarebytes on Tuesday said it was breached by the same group who broke into SolarWinds to access some of its internal emails, making it the fourth major cybersecurity vendor to be targeted after FireEye, Microsoft, and CrowdStrike.

"While Malwarebytes does not use SolarWinds, we, like many other companies were recently targeted by the same threat actor," the company's CEO Marcin Kleczynski said in a post.

"We found no evidence of unauthorized access or compromise in any of our internal on-premises and production environments."

"We believe our tenant was accessed using one of the TTPs that were published in the CISA alert," Kleczynski explained in a Reddit thread.

Malwarebytes said the thr…

Cybersecurity researchers have unearthed a fourth new malware strain—designed to spread the malware onto other computers in victims' networks—which was deployed as part of the SolarWinds supply chain attack disclosed late last year.

Dubbed "Raindrop" by Broadcom-owned Symantec, the malware joins the likes of other malicious implants such as Sunspot, Sunburst (or Solorigate), and Teardrop that were stealthily delivered to enterprise networks.

"The discovery of Raindrop is a significant step in our investigation of the SolarWinds attacks as it provides further insights into post-compromise activity at organizations of interest to the attackers," Symantec researchers said.

While both Teardrop …

"We found that Dnsmasq is vulnerable to DNS cache poisoning attack by an off-path attacker (i.e., an attacker that does not observe the communication between the DNS forwarder and the DNS server)," the researchers noted in a report published today.

Revisiting Kaminsky Attack and SAD DNSThe concept of DNS cache poisoning is not new.

"These issues put networking devices at risk of compromise and affect millions of Internet users, which can suffer from the cache poisoning attack presented.

"This highlight[s] the importance of DNS security in general and the security of DNS forwarders in particular.

It also highlights the need to expedite the deployment of DNS security measures such as DNSSEC, …

For a CISO that faces the cyber threat landscape with a small security team, the challenge is compounded.

Compared to CISOs at large enterprises, CISOs small to medium-sized enterprises (SMEs) have smaller teams with less expertise, smaller budgets for technology and outside services, and are more involved in day-to-day protection activities.

CISOs at SMEs are increasingly relying on virtual CISOs (vCISOs) to provide security expertise and guidance.

Helpful Advice for CISOs with Small Security TeamsBrian Haugli, a well-known vCISO in the US, recently collaborated with cybersecurity company Cynet—which provides autonomous XDR platforms tailored to small security teams—to provide a series of …

An ongoing malware campaign has been found exploiting recently disclosed vulnerabilities in Linux devices to co-opt the systems into an IRC botnet for launching distributed denial-of-service (DDoS) attacks and mining Monero cryptocurrency.

]net, is an obfuscated Python script which contains polymorphic code, with the obfuscation changing each time the script is downloaded," the researchers said, adding the first attack attempting to download the file was observed on January 8.

An IRC Botnet is a collection of machines infected with malware that can be controlled remotely via an IRC channel to execute malicious commands.

With hundreds of devices already infected within days of launching the …

Apple has removed a controversial feature from its macOS operating system that allowed the company's own first-party apps to bypass content filters, VPNs, and third-party firewalls.

Called "ContentFilterExclusionList," it included a list of as many as 50 Apple apps like iCloud, Maps, Music, FaceTime, HomeKit, the App Store, and its software update service that were routed through Network Extension Framework, effectively circumventing firewall protections.

With this new change, socket filter firewalls such as LuLu can now comprehensively filter/block all network traffic, including those from Apple apps.

The updates come as Apple deprecated support for Network Kernel Extensions in 2019 in fav…

WhatsApp said on Friday that it wouldn't enforce its recently announced controversial data sharing policy update until May 15.

"The update includes new options people will have to message a business on WhatsApp, and provides further transparency about how we collect and use data," WhatsApp said in a post.

This update does not expand our ability to share data with Facebook."

On January 6, WhatsApp began alerting its 2 billion users of a new privacy policy and terms as part of its broader efforts to integrate WhatsApp better with other Facebook products and amidst its plans to transform WhatsApp into a commerce and business services provider.

The pop-up notification also gave users an ultimat…

To that effect, the NSA recommends using only designated enterprise DNS resolvers to achieve the desired cybersecurity defense, while noting that such resolvers will be bypassed completely when a client has DoH enabled and is configured to use a DoH resolver not designated by the enterprise.

Although DoH protects DNS transactions from unauthorized modification, the NSA cautioned of a "false sense of security."

Put differently, this means the proxy does not know the contents of queries and responses, and the resolver does not know the IP addresses of the clients.

"DNSSEC should be used to protect the upstream responses, but the DoH resolver may not validate DNSSEC," the NSA said.

"Enterprise…

Joker's Stash, the largest dark web marketplace notorious for selling compromised payment card data, has announced plans to shut down its operations on February 15, 2021.

Joker's Stash is closing," the post read.

Joker's Stash, since its origins in 2014, emerged as one of the biggest players in the underground payment card economy over the years, with over $1 billion generated in revenues.

Joker's Stash's shut down isn't the end of the road, however, as vendors are expected to transition to other dark web marketplaces to advertise their services.

"We are also want to wish all young and mature ones cyber-gangsters not to lose themselves in the pursuit of easy money (sic)," the post concluded.

Cybersecurity researchers have disclosed a series of attacks by a threat actor of Chinese origin that has targeted organizations in Russia and Hong Kong with malware — including a previously undocumented backdoor.

Attributing the campaign to Winnti (or APT41), Positive Technologies dated the first attack to May 12, 2020, when the APT used LNK shortcuts to extract and run the malware payload.

It also shares a number of common features with Crosswalk, leading the researchers to believe that they were written by the same developers.

Thus, the deployment of the malware via Winnti's network infrastructure adds credence to the "relationship" between the two groups.

"Winnti continues to pursue gam…

Cybersecurity researchers took the wraps off an ongoing surveillance campaign directed against Colombian government institutions and private companies in the energy and metallurgical industries.

However, the two campaigns diverge in the attachments used for phishing emails, the remote access trojans (RATs) deployed, and the C2 infrastructure employed to fetch the malware dropped.

The phishing emails cover a wide range of topics, including those about driving infractions, attend court hearings, and take mandatory COVID-19 tests, thus increasing the likelihood that unsuspecting users will open the messages.

"Targeted malware attacks against Colombian entities have been scaled up since the cam…

Intel and Cybereason have partnered to build anti-ransomware defenses into the chipmaker's newly announced 11th generation Core vPro business-class processors.

The hardware-based security enhancements are baked into Intel's vPro platform via its Hardware Shield and Threat Detection Technology (TDT), enabling profiling and detection of ransomware and other threats that have an impact on the CPU performance.

"As threats are detected in real-time, Intel TDT sends a high-fidelity signal that can trigger remediation workflows in the security vendor's code."

The development comes as ransomware attacks exploded in number last year, fueled in part by the COVID-19 pandemic, with average payout incre…

Ensuring the cybersecurity of your internal environment when you have a small security team is challenging.

The "buyer's guide for securing the internal environment with a small cybersecurity team," includes a checklist of the most important things to consider when creating or re-evaluating the cybersecurity of your internal environment to ensure your team has it all covered.

This will also enhance your resilience and leverage the ROI of your cybersecurity environment.

A small security team still has to address major cybersecurity challenges, just like a big team does.

This buyer's guide will help you choose the cybersecurity solution that will keep your internal environment secure, leverag…

The illegal internet market specialized in the sales of drugs, counterfeit money, stolen or forged credit card information, anonymous SIM cards, and off-the-shelf malware.

"The stored data will give investigators new leads to further investigate moderators, sellers, and buyers," Europol said.

Previously, Dream Market, another top dark web marketplace, ended operations in April 2019, and a Europol-led police operation also shut down Wall Street Market and Silkkitie (also known as the Valhalla Marketplace) a month later in May 2019.

The Wall Street Market had 1.15 million users and 5,400 sellers of drugs, malware, and other criminal goods.

Then last August, Empire Market, a popular darknet ma…

Researchers have uncovered a set of flaws in dnsmasq, popular open-source software used for caching Domain Name System (DNS) responses for home and commercial routers and servers.

The set of seven flaws are comprised of buffer overflow issues and flaws allowing for DNS cache-poisoning attacks (also known as DNS spoofing).

If exploited, these flaws could be chained together to allow remote code execution, denial of service and other attacks.

DNS Cache PoisoningThree of the flaws (CVE-2020-25686, CVE-2020-25684 and CVE-2020-25685) could enable DNS cache poisoning.

DNS cache poisoning is a type of attack that enables DNS queries to be subverted.

Joyce will replace Anne Neuberger, who is now deputy national security advisor for the incoming Biden administration.

We are pleased to announce Rob Joyce as our next @NSACyber Director and are excited about the expertise he brings to continue the #cybersecurity mission!

While he’s not working on cybersecurity, Joyce uses his Twitter feed to show off his off-the-clock passion — large-scale holiday light displays.

https://t.co/jxZ5IUD7V8 — Rob Joyce (@RGB_Lights) December 25, 2020Even his bio for speaking events calls out his love of lights.

Attendance is limited: Register Now and reserve a spot for this exclusive Threatpost Supply-Chain Security webinar – Jan. 20, 2 p.m.

An additional piece of malware, dubbed Raindrop, has been unmasked in the sprawling SolarWinds supply-chain attacks.

In the second victim, Raindrop installed Cobalt Strike and then executed PowerShell commands that were bent on installing further instances of Raindrop on additional computers in the organization.

Both Raindrop and Teardrop act as loaders for Cobalt Strike; and, Raindrop samples using HTTPS C2 communication follow very similar configuration patterns to Teardrop, researchers said.

However, Raindrop uses a different custom packer from Teardrop; and, Raindrop isn’t fetched by Sunburst directly, researchers said.

Raindrop Malware Hides in 7-ZipSymantec has uncovered that Raindrop…

The FreakOut malware is adding infected Linux devices to a botnet, in order to launch DDoS and cryptomining attacks.

Researchers are warning a novel malware variant is targeting Linux devices, in order to add endpoints to a botnet to then be utilized in distributed-denial-of-service (DDoS) attacks and cryptomining.

It is actively adding infected Linux devices to a botnet, and has the ability to launch DDoS and network flooding attacks, as well as cryptomining activity.

Exploiting Critical FlawsFreakOut first targets Linux devices with specific products that have not been patched against various flaws.

“We strongly recommend users check and patch their servers and Linux devices in order to p…

The forum supporting the community for OpenWrt suffered a security breach over the weekend, giving hackers access to e-mail addresses, user handles and additional private forum user information.

While the breach of an open-source forum may not seem on the surface like such a big deal, the forum is often visited by those developing commercial routers, devices and software based on OpenWrt firmware.

Commercial routers compatible with OpenWrt firmware include devices from Netgear, Zyxel, TP-Link and Linksys.

They also have flushed API keys from the forum, according to the notice.

Attendance is limited: Register Now and reserve a spot for this exclusive Threatpost Supply-Chain Security webinar …

Medical-device security has long been a challenge, suffering the same uphill management battle that the entire sprawling mess of IoT gadgets has faced.

Sadly, concerns about medical device IT security are a healthcare reality.

The eBook, “Healthcare Security Woes Balloon in a COVID-Era World”, examines the pandemic’s current and lasting impact on cybersecurity.

Ripple20 for instance is a group of bugs found in June 2020, plaguing 53,000 medical device models.

Download our exclusive FREE Threatpost Insider eBook Healthcare Security Woes Balloon in a COVID-Era World , sponsored by ZeroNorth, to learn more about what these security risks mean for hospitals at the day-to-day level and how healt…

For instance, Kyle Wiens cofounder of ifixit said John Deere has made a turn toward robotic tractors and computerized farm equipment, which he added, can mean improved yields and efficiencies for famers.

But the new John Deere X9 represents a new chapter for the company when it comes to using proprietary technology and hardware.

The John Deere X9 combine, Wiens explained, is a million-dollar piece of equipment which relies on attachments to perform various functions.

It comes with a $300 price tag and wasteful pods of lipstick which need to be replaced, Proctor said.

Worst Overall: John Deere X9 CombineDoctorow said based on its sheer enormous price tag and real-world impact on farmer livel…

Microsoft is taking matters into its own hands when it comes to companies that haven’t yet updated their systems to address the critical Zerologon flaw.

Starting Feb. 9, Microsoft said it will enable domain controller “enforcement mode” by default, a measure that would help mitigate the threat.

Microsoft Active Directory domain controllers are at the heart of the Zerologon vulnerability.

Domain controllers respond to authentication requests and verify users on computer networks.

A successful exploit of the flaw allows unauthenticated attackers with network access to domain controllers to completely compromise all Active Directory identity services.

Apple has removed a contentious macOS feature that allowed some Apple apps to bypass content filters, VPNs and third-party firewalls.

The feature, first uncovered in November in a beta release of the macOS Big Sur feature, was called “ContentFilterExclusionList” and included a list of at least 50 Apple apps – including Maps, Music, FaceTime, the App Store and its software update service.

It has been recently removed in macOS Big Sur versions 11.2, Apple experts pointed out this week.

“The ContentFilterExclusionList list has been removed (in macOS 11.2 beta 2).”Researchers found these apps were excluded from being controlled by Apple’s NEFilterDataProvider feature.

🤩 Thanks to the community …

Google has removed 164 apps, downloaded a total of 10 million times, from its Google Play marketplace because they were delivering “disruptive” ads, considered malicious.

Last year, the tech giant banned apps that delivered this type of advertising, called out-of-context ads.

But the problem continues to plague Google despite numerous efforts by the company to prevent “malicious developers” from submitting their apps to its Google Play marketplace.

So called CopyCatz apps, which serve up out-of-context ads, bombard users with ads regardless of whether the host app is active or not.

The Satori team discovered 164 apps containing the underlying code capable of displaying out-of-context ads.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Criminals coax employees into handing over their access credentials and use the login data to burrow deep into corporate networksThe United States’ Federal Bureau of Investigation (FBI) has issued a warning about campaigns where threat actors target employees worldwide with voice phishing (also known as vishing) attacks in order to steal their network credentials and elevate user privileges.

Using the captured account credentials, they then accessed the company’s network, where they searched for an employee with the ability to change usernames and emails.

This includes implementing multi-factor authentication, actively scanning and monitoring for unauthorized access, network segmentation, a…

We’re also going to do a lot more to clear up the misinformation around how privacy and security works on WhatsApp” reads the company’s blogpost.

— WhatsApp (@WhatsApp) January 15, 2021For starters, however, the company is scrambling to address the key concern surrounding the new practices: “This update does not expand our ability to share data with Facebook”.

pic.twitter.com/6qDnzQ98MP — WhatsApp (@WhatsApp) January 12, 2021“With these updates, none of that is changing.

This update does not expand our ability to share data with Facebook.”The company also clarified that the changes are mainly geared towards how businesses use the app.

Your account may be hackableThe confusion surrounding th…

ESET research dissects targeted malware attacks in Colombia – What parents hope to get out of parental controls – Privacy risks of new mesh Wi-Fi routersESET researchers released details about Operation Spalax, a series of targeted malware attacks against businesses and government organizations in Colombia.

Also this week, we looked at the main takeaways from a recent report about parents’ attitudes to parental controls and how they use these tools to help keep their children safe online.

As new mesh Wi-Fi routers are being announced at CES 2021, we explore their potential implications for privacy.

All this – and more – on WeLiveSecurity.com.

How do parents view the role of parental monitoring in children’s online safety?

This attitude is, of course, expected, since we, proud parents, look at our own kids through rose-tinted glasses and are amazed at everything they do.

A recent report published by the Family Online Safety Institute (FOSI) explores the attitudes towards parental controls and how parents use them.

This may explain, in part, why today’s parents see safety online as a collaborative responsibility.

To learn more about risks faced by children online, as well as about how technology can help, head over to Safer Kids Online.

Originally slated to assist drivers in an emergency, the systems are baked into the car platform telemetry itself and know everything about how you drive.

Now, with baked-in insurance spies, it feels like always driving with your driving instructor taking notes.

Speaking of the road, new cars know how many miles you drive, which leans into by-the-mile licensing and taxing of your car.

At the grocery store I have to pay more if I don’t use a rewards card; will this happen with my next car?

You can bet the car manufacturers (and their insurance company partners) will have something to say about it.

The documents related to COVID-19 vaccine and medications were stolen from the EU’s medicines agency last monthThe European Medicines Agency (EMA), which evaluates and approves medicines for the European Union (EU), has disclosed that cybercriminals have posted online a portion of the documents that are related to COVID-19 vaccines and were stolen in a cyberattack last month.

“The ongoing investigation of the cyberattack on EMA revealed that some of the unlawfully accessed documents related to COVID-19 medicines and vaccines belonging to third parties have been leaked on the internet.

Per the investigation, the data breach was limited to one IT application, with the threat actors directly t…

New mesh Wi-Fi routers may be the answer to your wireless signal woes, but how about your privacy and security?

Sold as an upgrade, these distributed surveillance devices will make your Wi-Fi work better, sometimes a lot better (due to better frequency management), and that’s how they’re sold.

Remote management woes currently rank near the top of our list of most vulnerable attack entry points.

If someone can “magically” log in and fix Wi-Fi woes – fine.

They’ll even pay for it as an upsell in the form of managed Wi-Fi service.

T1049 System Network Connections Discovery The attackers have used various RATs that can list network connections on a victim’s computer.

T1033 System Owner/User Discovery The attackers have used various RATs that retrieve the current username during initial infection.

T1007 System Service Discovery The attackers have used various RATs that have modules to manage services on the system.

T1021.001 Remote Services: Remote Desktop Protocol The attackers have used various RATs that can perform remote desktop access.

Exfiltration T1041 Exfiltration Over C2 Channel The attackers have used various RATs that exfiltrate data over the same channel used for C&C.

Here are 5 common scams you should look out for.

Time and again they have proven to be very adaptable, tailoring their scams around various hot topics.

Online shopping and auction scamsOne of the many ways scammers like to target unsuspecting victims is through shopping scams.

To avoid losing your hard-earned money to such scams, you can enable a spam filter, which should prevent most of these scammy emails from making their way into your inbox.

Tax scamsThese scams read their ugly heads especially – but by no means only – during the respective tax seasons in various countries.

Watch out for a new PayPal smishing campaign – Employee login credentials up for sale – WhatsApp to share more data with FacebookIf you use PayPal, you should watch out for a new SMS-based phishing campaign that targets people by claiming that their accounts have been “permanently limited”.

Hundreds of thousands of login credentials belonging to the employees of leading gaming companies are being offered for sale on the dark web.

WhatsApp is notifying users that starting from February 8th it will share more of their data with Facebook.

All this – and more – on WeLiveSecurity.com.

The security fixes will be rolled out to Windows, Mac, and Linux over the next few days.

Google paid more than US$110,000 to the security researchers for discovering and reporting the vulnerabilities.

The Cybersecurity and Infrastructure Security Agency (CISA) issued a security advisory urging users and system administrators to update the browser: “Google has released Chrome version 87.0.4280.141 for Windows, Mac, and Linux.

This version addresses vulnerabilities that an attacker could exploit to take control of an affected system.”FirefoxMeanwhile, Mozilla released a security update to address a critical-rated security loophole that is tracked as CVE-2020-16044 and affects browser versions…

Importantly, users who won’t agree to the new terms will need to stop using the app or delete their accounts.

The notice is being shared via an in-app notification that maps the key updates to WhatsApp’s policies and terms of services.

It remains the case that WhatsApp does not share European Region WhatsApp user data with Facebook for the purpose of Facebook using this data to improve its products or ads.

Are you using WhatsApp?

WhatsApp lists the information in the website’s FAQ section that focuses on security and privacy: “The information we share with the other Facebook Companies.

Threat actors have been increasingly targeting the gaming industry, including by harvesting and selling access credentials into the internal systems of top-tier game companies.

The criminals’ increased interest in the gaming industry could partly be chalked up to some effects of the COVID-19 pandemic, which has forced most people inside and online for their social activities, including for online gaming.

With revenues estimated to reach almost US$200 billion by 2022, it’s no wonder the gaming industry has become a target for cybercriminals.

Indeed, over the past few months, said KELA, criminals have been observed seeking access into the networks of a number of gaming companies.

These types …

The scam starts with a text warning victims of suspicious activity on their accountsA new SMS-based phishing campaign is doing the rounds that attempts to part PayPal users from their account credentials and sensitive information, BleepingComputer reports.

Now, at first glance the message may not seem all that suspicious since PayPal may, in fact, impose limits on sending and withdrawing money.

However, in this case it really is a case of SMS-borne phishing, also known as smishing.

If you click on the link, you will be redirected to a login phishing page that will request your access credentials.

We discussed common strategies employed by scheming crooks targeting PayPal users in one of our…

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

BitDam announced that it is enhancing its offering for MSPs (Managed Service Providers) by adding a unique MSP console to its Advanced Threat Protection solution.

This console provides MSPs with an overview of all tenants/clients/organizations they oversee and enables fast and easy management.

The new BitDam MSP console’s centralized dashboard view allows MSPs to view and manage all customers at one time and on one screen.

Reports view – In Reports view, users can generate periodic reports for several customers at once, with the click of a button.

BitDam understands the unique needs of customer management for MSPs and our console provides them with a real competitive advantage.”

PacketFabric announced it has launched Cloud Router, a multi-cloud connectivity solution.

Cloud Router will super-serve the enterprise as well as small business who are seeking a future-proofed way to connect multiple cloud providers.

“With the launch of Cloud Router, PacketFabric now can provide connectivity to colocation, hybrid cloud and multi-cloud, so we check all the boxes that an enterprise or small business needs for digital transformation,” said Dave Ward, PacketFabric, CEO.

“PacketFabric’s Cloud Router is a DevOps dream come true because you can connect multiple cloud resources.

In celebration of the launch, PacketFabric created the Cloud Router Playlist on Pandora, the leading mu…

Absolute Software announced customers can now autonomously self-heal more of the critical applications they rely on to secure remote access and communication for their distributed workforces.

Using Absolute’s Application Persistence service, IT and security administrators can help ensure the Netskope Cloud Access Security Broker (CASB) and Next-Gen Secure Web Gateway (NG-SWG) – in addition to more than 40 other leading endpoint security agents and productivity tools – remain installed, healthy, and undeletable.

The percentage of workers around the world permanently working from home is expected to double in 2021, according to a survey from Enterprise Technology Research (ETR).

Absolute’s Ap…

SS8 Networks announced that it deployed its Xcipio mediation and interception platform in one of the largest global CSPs to support their Multi-access Edge Computing (MEC) infrastructure.

Depending on how the CSP deploys their MEC, a lawful intercept platform may be required to ensure full compliance with regulatory requirements.

For this MEC deployment, Xcipio provides the CSP a cost-effective solution to intercept and filter all lawfully requested data at the edge of their network.

The solution captures, filters and securely manages the intercepted data in real time with minimum resource utilization and then provides only relevant data to the requesting law enforcement analysts.

Available…

Rocket Software announced the availability of Rocket Terminal Emulator, the culmination of decades of investment in this critical and often-overlooked technology space.

This software upgrade is available at no cost to all Rocket terminal emulation customers, including BlueZone and Passport, as part of the company’s commitment to delivering the most feature-rich, configurable and modern host access for mission-critical systems.

Rocket Terminal Emulator is highly configurable, ensuring users can quickly and securely customize their terminal environment, whether accessing it through a desktop or browser-based client.

“We are offering this software upgrade at no cost to every Rocket terminal em…

Diligent announced the launch of its new Cyber Risk Scorecard powered by SecurityScorecard, the global leader in cybersecurity ratings.

Diligent’s Cyber Risk Scorecard equips board directors and executives with a digital tool set that enables greater transparency and the ability to measure risk, build resilience, and increase organizational safety and security.

The new Cyber Risk Scorecard provides organizations with a data-backed cyber risk score based on a list of predetermined factors developed by SecurityScorecard, named as a 2020 technology pioneer by the World Economic Forum.

In a more digital, distributed world, constant monitoring of cyber risk by the board and C-suite is an imperat…

QSC announced the availability of the new Professional Tier feature set for Q-SYS Reflect Enterprise Manager remote monitoring and management service.

In addition, QSC has begun shipping two recently introduced Q-SYS Core processors – the Q-SYS Core Nano, which is a purely network I/O processor, and the Q-SYS Core 8 Flex, which offers network and analog I/O processing (available now in North America with availability in EMEASA in the Spring).

Q-SYS Reflect Enterprise Manager: Professional Tier now availableThe new Professional Tier for Q-SYS Reflect Enterprise Manager provides additional tools to truly centralize operations support for geographically disparate AV systems as well as reduce t…

Zyxel Communications announced the launch of its portfolio of high-performance 10G PON ONT solutions, which includes the PX7511 AX6000 WiFi 6 XGS-PON VoIP Gateway ONT, PM7516 XGS-PON VoIP Bridge ONT with 10G LAN, and PM7010 XGS-PON SFP+ ONT.

Zyxel 10G PON ONT solutions enable service providers to break free of the bandwidth limitations of GPON and rapidly monetize their networks through high-ARPU premium-tier residential services and commercial applications.

In addition to significantly increasing the connections speeds to standard and prime subscribers by increasing the bandwidth to 10G, Zyxel 10G PON solutions enable service providers to offer higher-priced premium service tiers to subscr…

Stealthbits unveiled its new Data Privacy Engine that connects user identities with the locations of their personal data to elevate data access governance.

“Our new Data Privacy Engine is the first solution to proactively understand how data is connected to identities, enabling near-instantaneous answers to DSARs.

This means our customers can address both data security and data privacy simultaneously, which we believe are two sides of the same coin.”Now available, the new Data Privacy Engine works with the company’s StealthAUDIT reporting and governance solution to dramatically streamline and speed data analysis and governance reporting.

“Some data access governance solutions focus only on …

GTT Communications announced it has enhanced its portfolio of managed security services.

Additionally, GTT has added Managed Detection and Response capabilities to its security service portfolio, which provides comprehensive security coverage for cloud, on-premise and hybrid environments.

The feature set includes an advanced security tool suite, with machine-learning behavioral analytics, embedded threat intelligence, and 24/7 security monitoring and incident response, managed by GTT’s certified security experts in its global Security Operation Centers.

GTT’s expanded managed security service capabilities provide enterprises with comprehensive network security, as cybersecurity risks and th…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

With the increasing attack surface of web applications, it’s become even more important to identify and understand the most common attack surfaces and how easily problems in your own web application can develop.

Popular problems with your attack surfaceSome of the most popular attack surface problems are often the most overlooked, yet easily seen.

Let’s look at some of the most common problems you might find with your attack surface.

The most effective solution to reducing your attack surface is to scan your web application often for these commonly seen problems.

Our Attack Surface Reduction tool brings greater awareness to your attack surface and prevents cyber attacks by showing you a com…

How brute force attacks are usedWhile not the most sophisticated of cyber attacks, brute force attacks are both reliable and simple to perform, as all attackers have to do is to let their machines do the work.

Hybrid brute force attacksHybrid brute force attacks can be seen as the combination of dictionary and simple brute force attacks.

Here are a few well-known cases of brute force attacks:GitHubIn 2013, GitHub was the victim of a successful brute force attack which compromised several of their accounts.

How to protect against brute force attacksWhile brute force attacks might be simple and sometimes ineffective, it’s still a risk not to take them seriously.

Limit login attemptsAs indicat…

Risks of dev environments, and why they get hackedThere is no doubt that test environments are a necessary evil.

None of this would be achievable, at the proper scale, without the controlled conditions that exist in a test development environment.

For example, test environments are known to have less rigorous security measures and granular controls than a typical ‘live’ environment would—all under the aforementioned banner of agility.

Segment and isolateIt is not uncommon for production and test environments to share the same generic configuration.

Luckily here at SecurityTrails we have developed the perfect Attack Surface Reduction tool to quickly help you find any dev and testing subdomai…

After months of hard work, we’re excited to announce the immediate availability of our Attack Surface Reduction tool’s latest version: ASRv2!

With the launch of ASRv2 we’re offering you an Attack Surface Report and giving you a glimpse into our own security data—for free.

Available for a limited time: Get your free Attack Surface ReportWhat benefits will you get from ASRv2?

Take control over your entire online infrastructureStay one step ahead of the bad guys and prevent attack by gaining a new level of awareness over your attack surface with ASRv2.

To test it out - grab your free attack surface report:

After all, your entire infrastructure is dependent on, and accessible through, such a configuration—it’s essentially infrastructure as code, or “IAC”, passed through a tool like Terraform.

Infrastructure as code is, as its name suggests, a modern way of managing infrastructure in the form of formatted code or simply “defined templates’’ which are system readable.

IACs allow for easier management, understanding and monitoring of the infrastructure in place, as IACs combine everything into one infrastructure template.

With infrastructure as code, infrastructure deployments are known well in advance and tested over time, allowing for streamlining and cleaning up.

With the entire infrastructure…

While often called “attack surface monitoring” or “attack surface discovery” it in fact covers aspects of both, and more.

Attack surface management allows organizations to identify their attack surface components, locate their attack vectors and exposures, and learn how to use that knowledge to protect against future attacks.

Key elements of attack surface management softwareKnowing the importance of attack surface management, you should find a solution that fits your needs.

The truth is that your attack surface is often much larger than you might suspect—and the bigger your attack surface, the bigger the vulnerabilities that go along with it.

We’re preparing a new launch at the start of 20…

The TLS parameters offered in the ClientHello message contain several identifying properties that are directly related to the client application.

As previously mentioned, JARM is a TLS server fingerprinting application recently released as an open source project by the engineering group at Salesforce.

Behind the scenes, the JARM fingerprint utilizes a fuzzy hashing technique capable of concatenating two consecutive 30-character and 32-character long blocks into one fixed-length crypto hash to produce the final 62-character fingerprint.

Taking a closer look at JARM fingerprints such as the one for Cobalt Strike (07d14d16d21d21d07c42d41d00041d24a458a375eef0c576d23a7bab9a9fb1) , our own Securi…

As the holidays approach, let’s take a few moments to reminisce about all of 2020’s highlights for the SecurityTrails team.

Our team saw many changes, and the end of 2020 counts eight more SecurityTrails team members than we had at the end of 2019.

Throughout 2020, our engineering and product teams worked relentlessly on bringing monthly improvements, updates and fixes to the console, SecurityTrails API™, SurfaceBrowser™, SecurityTrails Feeds™ and Attack Surface Reduction™.

SecurityTrails API™Our fast and always up-to-date SecurityTrails API™ allows security companies, researchers and teams access to current and historical data.

Along with our favorite security tools, we delivered three che…

Combining the earliest archive.org timestamp and WHOIS data, we found the following (fake) registrant:The historical WHOIS data points to a “Brendan Walsh”, but we found no connection between this name (and other domains registered to it) and other fake news websites.

The historical WHOIS data shows that this fake domain was hiding behind a liberal/progressive type of setup, with WHOIS details pointing to the USA.

Using the available historical WHOIS data, we uncovered ahtribune[.

The WHOIS data from 5) has a lot of overlap with data from 1).

ConclusionsWe’ve only scratched the surface of how far the fake domain network goes.

To help us understand how an easily accessible proactive approach to cybersecurity can combat cyber threats and attacks, we spoke with Scott Helme, a security researcher, entrepreneur, and international speaker.

If our readers didn’t believe us when we said you wear a multi-hatted role, you also run Security Headers.

What makes Security Headers stand out from other services that analyse the HTTP response headers of websites?

Interestingly, Security Headers was born out of the same need as Report URI.

I also have a few new features ready for Security Headers that we should see in Q1 2021.

In this blog post, we will explore five of the most common (and likely most damaging) misconfiguration errors associated with popular services featured by Amazon’s AWS cloud offering.

According to Cloud Security Alliance, the “trick” is to understand where your service provider’s responsibilities end and where yours begin.

AWS cloud solutions are not exempt from this daily reality.

Should faulty permissions and/or other access misconfigurations result in unauthorized access, encryption can provide that additional and final layer of protection capable of rendering any information obtained useless.

This forces identity services to quickly adapt to secure an ever-growing number of application …

Crime in the cyber realmCyber crime is crime committed online, whether on the Internet, on networks or on computers.

However, this form of general insurance doesn’t cover cyber crime risk, as it is focused on tangible assets and the concept of cyber crime itself is relatively new.

Why you need cyber crime insuranceIf a breach is unavoidable, then why would you even need cyber crime insurance?

Managing the impact of cyber crime can get really expensive really fast, and investing in cyber crime insurance as part of your mitigation strategy can help immensely in post-breach recovery.

Cyber liability insurance coverageThere is no one-size-fits-all cyber liability policy that will work for all o…

For example, every penetration tester out there worth their salt can attest to the importance of conducting tasks such as DNS enumeration—a technique capable of finding all related DNS records from a given domain name.

Alternatives to DNSReconHow does DNSRecon stack up against some of the most popular DNS enumeration tools, including SecurityTrails’ own DNS toolbox?

SecurityTrails: Our own advanced DNS enumeration tool comes in the form of a free, fully-online app capable of performing passive enumeration akin to many enterprise-grade alternatives.

It is also a well-known fact that DNS security, along with all its correspondent underpinnings and traffic patterns, is still a largely under-mo…

What is endpoint security?

Although these are all considered endpoint security services, endpoint security has evolved from those more traditional solutions to providing more comprehensive protection against advanced malware and zero-day attacks.

And as we mentioned above, one factor adding to the possibility of weak endpoint security is the involvement of remote employees.

Endpoint detection and response tools are designed to complement traditional endpoint security methods with a focus on detection, investigation and response capabilities.

These techniques allow EDR solutions to go further than traditional perimeter and endpoint solutions that can’t detect zero-day and unfamiliar threats.

Уже по традиции в первые дни после новогодних праздников я собираю новости по ИБ, которые произошли за это время в мире.

Год начался скандалом о передаче в Whatsapp данных о перемещениях первых лиц государства, их маршрутов и другой сопутствующей информации.

Ну это вроде было и так понятно и думаю, что спустя несколько недель масштаб опять увеличат и скажут, что уже все США попали под раздачу, а затем уже и все прогрессивные европейские страны.

В октябре уже проскакивала новость, что специалисты компании Pen Test Partners нашли уязвимости в поясах верности Cellmate Chastity Cage компании Quiu.

Очередной раз встает вопрос и о безопасности разработки, и о моделировании угроз, и о безопасности…

В прошлой заметке я отметил, что поИБешечка достаточно активно ворвалась на небосклон оффлайновых мероприятий по ИБ, но ее бессменный куратор, Лев Палей, не остановился на достигнутом и в конце прошлого года попробовал новый формат - ток-шоу по ИБ по принципу "Вечернего Урганта", в котором мне тоже довелось принимать участие.

Что получилось, можно оценить на видео:

Достаточно много времени уделяя нормативке, я не мог не спросить, какой НПА 2020-го года считается читателями самым важным.

Видимо, привычка :-)Как развитие предыдущего вопроса, я решил узнать о подписчиков канала, что, по их мнению, можно отнести к несбывшимся ожиданиям ушедшего года крысы?

Остальные мероприятия носили либо сугубо нишевый характер, либо привязку к городу, что не позволило им занять достойные места в рейтинге.

Когда я выносил вопрос о хантинге безопасников в Бизон и Солар, я не думал, что это так затронет многих.

Видимо, действительно, это становится событием для тех, кого не взяли или у кого увели сотрудников :-)Вот такие итоги ушедшего года крысы.

И хотя до следующей конференции еще пара месяцев (если она вообще случится), я подвести промежуточные итоги и посмотреть, что из обещанного было реализовано.

Соответственно нет и средства автоматизации моделирования угроз (пока у ФСТЭК есть только сканер ScanOVAL для Windows и Linux.

Видимо, все силы соответствующего управления ФСТЭК брошены были на 76-й приказ и на все остальное сил просто не осталось.

А может и с частью народа пришлось расстаться и он ушел в 8-е Управлении ФСТЭК по КИИ.

Но ФСТЭК у нас регулятор, живущий на деньги граждан и бизнеса государства, и ни на какую биржу она не пойдет и бояться невыполненных обещаний ей не надо.

Я поступил просто - взял презентации выступлений руководителей ФСТЭК за последние 6 лет, прозввучавшие на февральской конференции регулятора, проводимой в рамках ТБ Форума.

Вначале, в 2015-м и 2016-м годах ФСТЭК очень активно давала обещания по разрабатываемым документам, проекты которых уже разработаны и "вот-вот" должны быть утверждены.

Требования по защите виртуализации тоже не упомянули, оставив планы только на два новых документа - по управлению потоками информации и по СУБД.

У ФСТЭК был еще нигде не озвучивавшийся план по требованиям к средствам отражения DDoS-атак, но вот уже прошло больше двух лет, а документ так и не выпущен.

Но не получилось...

Надысь принимал я участие в одном виртуальном мероприятии крупной ИТ-компании, которая, имея в своем портфолио решения для проведения нормальных видео-конференций и сервисов для групповой работы, почему-то выбрала Zoom.

При этом вопросы надо задавать не в общем чате, а именно в рамках того самого выступления, которое интересует.

Участникам может это и все равно, но спикерам бывает приятно, если их выступления попадают в тройку самых-самых.

В онлайне пересечение, конечно, не столь критично (можно вывести на разные мониторы или в разные вкладки), но все равно было бы полезно.

На самом деле список функций, которыми должна обладать платформа для проведения онлайн-конференций, можно продолжать д…

Было не так живо, как на SOC Live, но иначе и не получилось бы для такой децентрализованной страны как США.

Кстати, мне кажется, что 30-тиминутные доклады для таких форматов (и 45 минут для дискуссий) лучше заходят, чем 20-тиминутные, как на SOC Live.

Антон не опроверг, но и не подтвердил этот тезис, уточнив, что если речь идет о SOC, как о помещении с плазмами, то да, такой подход мертв.

Материалы с него пока недоступны и не факт, что будут (кроме доступа к записи онлайн-трансляции), что не позволяет разместить ссылку на них.

Но хочу вновь отметить, что программа оказалась прям дополняющей наш SOC Live, что и позволило мне в заголовке заметки написать про "часть 2.5".

Когда и какие появятся требования к средствами ГосСОПКА, о которых говорится и в приказах ФСБ и в проектах НПА Правительства и Президента по импортозамещению в КИИ?

Удивительно, что несмотря на 9 месяцев самоизоляции, которая поменяла подходы к ИБ в организациях и, соответственно, к мониторингу ИБ, про коронавирус на SOC Live не говорил почти никто.

Я в презентации как раз и коснулся этого вопроса, уделив внимание тому, как мониторить удаленные рабочие места, облака, периметр, ЦОД и каналы связи.

В заключение своего короткого выступления я коснулся того, как выстраивать работу самого SOC, если его аналитики сами переведены на удаленку.

Я на Хабре уже тоже как-то писал о нашем опыте монитори…

Жаль, что не было заявленного Виталия Лютикова из ФСТЭК и незаявленного представителя ФСБ.

Видимо двум основным регуляторам по ИБ нечего сказать по теме SOC, мониторинга ИБ, реагирования на инциденты и т.п.

Оно и не мудрено - много партнеров мероприятия предоставляет такие услуги и понятно, что они вытаскивали своих заказчиков на мероприятие.

Отдельно он рассказал о том, как автоматизирован процесс реагирования на инциденты и как компания выбирала между коммерческой IRP-платформой и решениями класса open source.

Отдельно он рассказал о том, как автоматизирован процесс реагирования на инциденты и как компания выбирала между коммерческой IRP-платформой и решениями класса open source.

Но вот какая незадача - чтобы писать краткое резюме по докладу, как и по книге, или все конференции, нужно разбираться в том, о чем надо написать.

Под нее можно брать "пенсионеров", которые разбираются в теме и у них много времени, чтобы сидеть и слушать/читать все, что необходимо для описываемого сервиса.

Но проблема еще и в том, что их организаторы часто считают, что можно просто дать красивую картинку во вкладку браузера слушателя и наступит счастье.

Поэтому нужны профессиональные ИБ-тамады, которые будут комментировать выступления, троллить докладчиков (по доброму), вовлекать аудиторию в дискуссию и т.п.

По итогам формата с онлайн-ИБ-тамадой отпишусь в блоге, а вот идея с ИБшным getAbst…

На днях выступал с темой построения эффективного процесса повышения осведомленности по ИБ.

И хотя вторая часть выступления было посвящено конкретной платформе организации обучения по ИБ и организации фишинговых симуляций, первая часть является вендор-независимой и рассказывает о некоторых примерах и лайфхаках по этому вопросу.

Судя по комментариям коллег после презентации, много было полезного контента.

Так что я решил запостить его и в блог.

Презентация доступна у меня в Telegram-канале.

В ряде прошлых заметок я коснулся темы обнаружения угроз и показал отличия этих двух тем сейчас и 20 лет назад.

20 лет назад основным источником данных для обнаружения угроз служили сырой сетевой трафик (для сетевых систем обнаружения вторжений/атак) и журналы регистрации (для хостовых систем обнаружения вторжений).

Указанные источники данных для обнаружения угроз необходимо анализировать не только на границе Интернета и корпоративной сети и не только на границах сегментов и контуров внутренней сети, где обычно ставят сенсоры систем обнаружения атак.

Такой подход не позволял своевременно выявлять подготовку к реализации угроз злоумышленниками и не допускал работу на опережение.

За прошедшие…

В январе выступал на конференции Oracle Security Day с рассказом об актуальных на тот момент требованиях регуляторов к средствам защиты информации.

Оказывается видео этого выступления было официально выложено на Youtube:ЗЫ.

Понятно, что с января много воды утекло, но многие аспекты остаются пока еще актуальными.

В истории, послужившей причиной для данной заметки, вроде как это не так, но в теории такое вполне может быть.

Настраивайте права доступа мобильных приложений и не разрешайте им то, что не нужно.

Если вы достаточно известный человек, то что вы будете делать, если в Интернете появится ваши нелицеприятные видео или фото?

А если они еще и юридически будут подкованы, то цены такому специалисту не будет, а сам он будет нарасхват.

Почему "бизнес-коуч-тренеры" по продвижению себя в Инстаграмме есть и зашибают они немало денег, а консультантов по безопасности личного профиля нет?

На праздничных выходных я прочитал и законспектировал официальный мануал для подготовки к экзамену CDPSE (Certified Data Privacy Solutions Engineer) от ISACA, и сегодня расскажу вам о нем.1. Книга стоит 105$ для членов ISACA и 135$ для всех остальных.2. Это совсем свежая книга, ее опубликовали примерно месяц назад. Но до этого ISACA уже выпускала несколько больших книг по privacy. Например, "Implementing a Privacy Protection Program: Using COBIT 5 Enablers With ISACA Privacy Principles".3. Странно, но этот учебник ISACA предлагает не в формате pdf, который удобно читать на любом устройстве, а выдают лишь ссылку, которую можно открыть лишь в защищенном формате в Adobe Digital Edition. Каких-…

Начало года отмечено новым рекордным штрафом за нарушение требований GDPR при использовании систем видеонаблюдения (CCTV): 10,4 млн.евро штрафа для notebooksbilliger.de. Для себя составил вот таблицу со всеми известными мне штрафами по этой теме. Нарушения стандартные: нарушение баланса интересов, слишком длительное хранение данных, несоответствие обработки целям и избыточный сбор данных.Ссылки на все штрафы выложены на моем Патреоне - https://www.patreon.com/posts/gdpr-fines-video-46114870Там же есть и мои детальные рекомендации по использованию CCTV (и легализации этого процесса) - https://www.patreon.com/posts/39537997И большая презентация "Employee Monitoring and Privacy" - https://www.…

Целью этой стратегии является укрепление коллективной устойчивости Европы к кибер-угрозам и обеспечение того, чтобы все граждане и предприятия могли в полной мере воспользоваться преимуществами надежных и заслуживающих доверия услуг и цифровых инструментов.

А также положения об объединенном сообществе (Joint Cyber Unit) для обмена информацией об угрозах и оказания помощи в реагировании.

Планы по перезапуску и усилению CERT-EUВ отдельное приложение выделены меры по безопасности сетей 5G.

На ближайшие 7 лет запланировано очень много важных и полезных изменений...А вот, кстати, официальный QnA по стратегии - https://ec.europa.eu/commission/presscorner/detail/en/QANDA_20_2392P.S.

Помимо этого с…

Сегодня я посетил вебинар - встречу с новым финским Омбудсменом по защита персональных данных (the Data Protection Ombudsman) и после этого решил в очередной раз сравнить европейский подход (GDPR и ePrivacy) с подходом российского РКН (152-ФЗ). Для этого я пересмотрел запись публичного семинара для операторов ПДн от РКН, который прошел 26 ноября 2020.Меня очень порадовало, что Контемиров Юрий Евгеньевич (начальник Управления по защите прав субъектов ПДн) в этот раз отдельно рассказал про отношение РКН к GDPR. Приведу текст выступления практически полностью, чувствую, что он еще пригодится:1. GDPR к деятельности российских компаний может применяться в исключительных случаях. 2. Российский оп…

Пару недель назад я прошел 5-дневное обучение по курсу ISMS ISO 27001:2013 Lead Auditor (Ведущий аудитор систем управления информационной безопасностью по стандарту ISO 27001) и сегодня расскажу вам о нем.Что это такое и зачем это надо?По сути, это обучение является обязательным шагом для получения статуса ведущего аудитора по ISO 27001. Соответствующий статус необходим аудиторам для проведения сертификационных аудитов СУИБ (это может быть довольно неплохой работой / подработкой для специалистов по ИБ), а также часто требуется для внутренних аудиторов, внешних аудиторов (при аудитах второй стороны (подрядчиков и партнеров)) или внешних консультантов. Однако он заточен именно на стандарт ISO…

Попробовал свести в одну майндкарту важные управленческие модели, которые могут быть полезны руководителям департаментов и консультантам по информационной безопасности, а также инспекторам по защите персональных данных (DPO). На удивление, получился очень большой перечень. Держите майндкарту и общий список.Вот общий список:Strategy1. Governance by COBIT2. SWOT3. GAP analysis and Benchmarking4. Hype Cycle5. Components by COBIT (ex.Enablers)6. McKinsey 7-S FrameworkObjectives, KPIs and metrics7. Balanced Scorecard (BSC)8. Goal Cascade by COBIT9. ISO 27001 for IS objectives10. SMART11. Metrics12. Metric Life CycleProcesses13. PPT Triangle14. RACI chart CI Cycles15. PDCA16. OODA17. COBIT Implem…

Некоторые европейские надзорные органы, например, Финский DPA, не рекомендуют совмещать роли CISO и DPO из-за возможного конфликта интересов. Посветил этой проблеме 1 слайд в своей новой презентации "Employee Monitoring and Privacy", которую выложил на Патреон:

Выложил на Патреон детальную майндкарту для ИТ стартапов, которые планируют работать в ЕС и соответствовать GDPR - https://www.patreon.com/posts/43224350Кратко она выглядит так:

Недавно была опубликована свежая статистика по выданным сертификатам ISO, ISO Survey 2019. Выбрал самое важное.Общее количество выданных сертификатов на 31.12.2019, рост на 3.8% по сравнению с 2018 годом:Количество сертификатов по ISO 27001 выросло за год на 14%.Топ 10 стран по количеству сертификатов ISO 27001:China - 8356Japan - 5245United Kingdom of Great Britain and Northern Ireland - 2818India - 2309Italy - 1390Germany - 1175Spain - 938Netherlands - 938United States of America - 757Turkey - 729В России - 81, в Финляндии - 66.Больше всего сертификатов в отрасли ИТ - 8562.

Подготовил небольшую таблицу с ответом на вопрос "какие стандарты и лучшие практики использовать для защиты персональных данных". Есть из чего выбрать...Все ссылки и pdf-файл доступны мои подписчикам на Патреон - https://www.patreon.com/posts/42520555

Обновил и выложил на Патреон (платная подписка) все свои майндкарты по стандартам и "лучшим практикам", которые использую в своей работе. Держите весь список:ISMSISO 27001:2013 - https://www.patreon.com/posts/32914010The ISF Standard of Good Practice for Information Security 2020 (SoGP) - https://www.patreon.com/posts/36496886NIST SP 800-53 rev.5 "Security and Privacy Controls for Federal Information Systems and Organizations" - https://www.patreon.com/posts/42255805AuditISO 19011:2018 Guidelines for auditing management systems - https://www.patreon.com/posts/32391752Data Protection and PrivacyGDPR - https://www.patreon.com/posts/30623884One-page document with key points of GDPR - https://w…

У меня на Патреоне (платная подписка) опубликованы 2 документа, раскрывающие требования и рекомендации по легитимному использованию систем видеонаблюдения в контексте защиты персональных данных и выполнения требований GDPR (в частности, ограничения по размещению камер, необходимые уведомления, ограничения по длительности хранения и все такое). В принципе, на них стоит ориентироваться и при обработке ПДн по 152-ФЗ.CCTV and GDPR (checklist) - https://www.patreon.com/posts/39537997The 12 guiding principles in the Surveillance Camera Code of Practice - https://www.patreon.com/posts/41607308

Привет! Этим летом я пересмотрел и обновил все документы, входящие в мой комплект GDPR Implementation Toolkit, а также разработал несколько новых. Теперь все документы выровнены друг с другом, оформлены в одном стиле и актуализированы с учетом новых рекомендаций надзорных органов. Скачать их могут мои подписчики на Патреоне (платная подписка) - https://www.patreon.com/posts/gdpr-toolkit-2-0-41151893

I have prepared my GDPR Implementation Toolkit! It is available for my followers on Patreon:GDPR Short Assessment Template - https://www.patreon.com/posts/gdpr-short-30630519Data Protection Scope (template and example) - https://www.patreon.com/posts/data-protection-32496303GDPR Implementation Roadmap - https://www.patreon.com/posts/gdpr-roadmap-33173554The DPO's first 90 days checklist - https://www.patreon.com/posts/dpos-first-90-34493733List of GDPR documents - https://www.patreon.com/posts/list-of-gdpr-30630426Privacy Information Management System (PIMS) documents by ISO 27701 - https://www.patreon.com/posts/privacy-system-30748394GDPR RACI chart - https://www.patreon.com/posts/gdpr-rac…

В этом месяце я опубликовал на Патреоне (платная подписка) большую презентацию с обзором стандартов и "лучших практик" по управлению информационной безопасностью при взаимодействии с поставщиками - https://www.patreon.com/posts/36989990И еще несколько майндкарт по отдельным документам и подходам:NIST Supply Chain Risk Management - https://www.patreon.com/posts/36769458COBIT 2019 APO10.Managed Vendors - https://www.patreon.com/posts/36765092ISF SGP 2020. Supply Chain Management - https://www.patreon.com/posts/36730264ISO 27036 Information security for supplier relationships - https://www.patreon.com/posts/36357822

Традиционно с началом нового года начинают действовать и новые изменения в законодательстве. Ниже собрал основные нововведения, так или иначе касающиеся информационных технологий. Ссылки на первоисточники - в конце поста.

Молодым специалистам «откроют» только электронные трудовые книжки

Россиянам, впервые поступившим на работу, больше не будут оформлять бумажные трудовые книжки. Переход на электронные трудовые книжки начался в России в 2020 году. До 31 декабря этого года каждый работник должен принять решение — хочет ли он оставить бумажную трудовую книжку или перейти на электронную, и в письменном виде проинформировать о сделанном выборе отдел кадров. Если сотрудник откажется от бумажной т…

Нестандартный по формату проводимых мероприятий 2020 год под конец ознаменовался целой чередой попыток провести что-то большее, чем очередной типовой вебинар по информационной безопасности, в коих и в прошлые годы недостатка не было.

Пишу попыток, так как далеко не все мероприятия можно признать удачными. Ниже кратко перечислю те, в которых принял участие (не как слушатель), и отмечу их особенности.

Безопасная среда

30 сентября принимал участие в проекте “Безопасная среда” коллег из ЭКСПО-ЛИНК, где прочитал короткий доклад про особенности мониторинга информационной безопасности для АСУ ТП.

Чем отличалось от типового вебинара? доклад предварялся разговором на заданную тему нескольких приглаш…

Вышел в свет свежий выпуск журнала «CONNECT. Мир информационных технологий», с темой номера “Защита КИИ в отраслевом разрезе. О практической реализации требований № 187-ФЗ в отраслях”.

Открывает раздел моя статья: Субъекты КИИ: торопитесь не торопясь!

Правда, изначально тема звучала как “Общее состояние дел с выполнением требований законодательства в области защиты КИИ”, но редактору виднее =)

По приведённой выше ссылке на сайте издательства CONNECT качество иллюстраций в статье не самое лучшее, что особенно обидно для схемы, так что вот отредактированный авторский вариант: pdf, speakerdeck.com, slideshare.net.

Текст, к слову, подвергся минимальным правкам, но за время, пока публикация гото…

Рейтинг CNews Security: Крупнейшие компании России в сфере защиты информации публикуется с 2003 года, но только по итогам 2006 года, правда, сразу две компании, перешагнули годовую выручку в 1 миллиард рублей. Этими двумя компаниями были Информзащита и Лаборатория Касперского, которая в то время в свой отчёт ещё включала выручку ИнфоВотч.

Следующими в клуб миллиардеров вступили тоже сразу две компании: ЛЕТА и Эр-Стайл, но сделали они это только два года спустя. Обе эти компании в рейтинге CNews Security больше не участвуют. О причинах (наблюдая со стороны) можно только догадываться, но, видимо, дело в не самых ярких показателях.

Аналитики CNews не раскрывают состав стоящих за брендами юриди…

На организованной Гротек в сентябре онлайн-конференции “Кибербезопасность АСУ ТП критически важных объектов” одним из докладчиков выступил Алексей Валентинович Кубарев, заместитель начальника управления ФСТЭК России.

Доклад его мне представляется важным - как минимум с той точки зрения, что понятным человеческим языком сформулированы основные тезисы и даны ответы на многие вопросы и конкретную критику в адрес ФСТЭК России.

Взял на себя смелость в связи с этим улучшить монтаж исходного ролика, заодно заменив изображения слайдов на более качественные из публично доступной презентации. Впрочем, так как формат видео не слишком удобен для последующего оперативного поиска нужного ответа, решил вы…

По приглашению коллег из ЭКСПО-ЛИНК принял участие в их проекте “Безопасная среда” и прочитал короткий доклад про особенности мониторинга информационной безопасности для АСУ ТП.

Постарался перечислить основные сложности практического создания систем мониторинга для промышленных сегментов, а также варианты их (сложностей) нивелирования.

Запись велась и после обработки будет выложена на YouTube, а пока делюсь своей презентацией. Другие записи моих выступлений можно посмотреть здесь: https://zlonov.com/speeches/.

Знаете ли вы, что сегодня создать поддельное (deepfake) видео можно буквально за полчаса, не обладая при этом никакими специальными знаниями и не имея в своём распоряжении никаких особых вычислительных мощностей?

Само преобразование выполняется с помощью Wav2Lip, онлайн-демо которого можно протестировать на этой странице: https://bhaasha.iiit.ac.in/lipsync/.

Правда, у меня так и не получилось подобрать нужные исходные файлы, не приводящие к появлению ошибки: 413 Request Entity Too Large .

Так что пришлось воспользоваться чуть более сложным, но зато сработавшим вариантом на базе Google Colab.

Ну, и не могу не воспользоваться случаем процитировать вот этот свой твит:

Знаете ли вы, что сегодня создать поддельное (deepfake) видео можно буквально за полчаса, не обладая при этом никакими специальными знаниями и не имея в своём распоряжении никаких особых вычислительных мощностей?

Вот пример наложения слов персонажа Глеба Жеглова на выступление глубоко уважаемого мной Виталия Сергеевича Лютикова, который, надеюсь, не будет в обиде за этот невинный ролик =) Не самый впечатляющий результат, но зато единственные специальные утилиты, которые потребовались для создания этого видео - это браузер и простейший видеоредактор (и то только для нарезки исходных материалов). Всё остальное было сделано онлайн.

Само преобразование выполняется с помощью Wav2Lip, онлайн-демо…

Помню, как на заре становления темы ИБ АСУ ТП в России на меня произвело впечатление решение от одной компании, предлагающей специализированные промышленные межсетевые экраны с встроенной функцией VPN.

Экран как экран, VPN как VPN, но особенностью решения был аппаратный (физический) ключ, поворот которого исключал возможность удалённого подключения.

Позиционировалось этот как некая гарантированная защита от злоумышленников/разгильдяев как с легальным доступом, но, например, получающих доступ вне рамках установленной процедуры, так и от внешних злодеев (читай — хакеров).

Оперативно на сайте производителя подобных решений в современной линейке его оборудования найти не удалось, так что ссылок…

Помню, как на заре становления темы ИБ АСУ ТП в России на меня произвело впечатление решение от одной компании, предлагающей специализированные промышленные межсетевые экраны с встроенной функцией VPN.

Экран как экран, VPN как VPN, но особенностью решения был аппаратный (физический) ключ, поворот которого исключал возможность удалённого подключения.

Позиционировалось этот как некая гарантированная защита от злоумышленников/разгильдяев как с легальным доступом, но, например, получающих доступ вне рамках установленной процедуры, так и от внешних злодеев (читай - хакеров).

Оперативно на сайте производителя подобных решений в современной линейке его оборудования найти не удалось, так что ссылок…

Традиционный обзор новинок Государственного реестра сертифицированных средств защиты информации (СрЗИ) в этот раз будет не квартальным, а сразу полугодовым.

Средства сетевой защитыМежсетевые экраны (МЭ) — традиционно самый широко представленный тип средств защиты информации в реестре ФСТЭК России.

:№4228 — модуль доверенной загрузки Numa Arce Соответствует требованиям документов: Требования к СДЗ, Профиль защиты СДЗ(базовой системы ввода-вывода четвертого класса защиты.

ИТ.ОС.А2.ПЗ)№4220 — операционная система Аврора Соответствует требованиям документов: Требования доверия(4), Требования к ОС, Профиль защиты ОС(А четвертого класса защиты.

ИТ.ОС.А4.ПЗ)Корпоративнные и офисные приложения№4211…

Традиционный обзор новинок Государственного реестра сертифицированных средств защиты информации (СрЗИ) в этот раз будет не квартальным, а сразу полугодовым. Так что и новых сертификатов (выданных на серию) сегодня больше обычного - 50 штук.

Вот они, разбитые на отдельные (весьма условные, правда) подгруппы.

Средства сетевой защиты

Межсетевые экраны (МЭ) - традиционно самый широко представленный тип средств защиты информации в реестре ФСТЭК России. При этом отдельные решения (Check Point, FortiGate, Dionis DPS) одновременно совмещают в себе ещё и функции систем обнаружения вторжений (СОВ), а, например, Trend Micro Deep Security 10 дополнительно к МЭ и СОВ является сертифицированным средством…

На Rusprofile.ru (независимый источник информации о российских организациях) размещена бухгалтерская отчетность компаний за 2019 год.

Так что можно, не дожидаясь очередного отчёта CNews 100 или рейтинга TAdviser, бегло оценить, как обстоят дела у подрядчиков/конкурентов/партнёров с финансовым положением.

Например, если взять юридические лица, упомянутые в отчёте Anti-Malware.ru Сравнение токенов с аппаратной поддержкой алгоритмов ГОСТ и сертификатом ФСБ, то можно получить некоторое представление о тенденциях и перспективах отечественного рынка аппаратных токенов. Юрлицо

Токен

Выручка 2018, млн руб

Выручка 2019, млн руб

Дельта АО «Актив-софт»

Рутокен S, РУТОКЕН ЭЦП 2.0

1168

1231

5 % ISBC Gro…

Сформулированный для краткости немного в вольной форме вопрос в теме этого поста развернуть можно так: Необходимо ли организации получать лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации в случаях, когда организация осуществляет лицензируемый вид деятельности для собственных нужд? Вопросу не один год, найти на него ответ можно и в законодательстве и в других источниках, но мне понравилась формулировка коллег из УЦСБ, с которыми этот вопрос недавно обсуждали.

Официальный ответ зафиксирован в Постановлении Правительства РФ №79 от 03.02.2012 «О лицензировании деятельности по ТЗКИ», а неофициальный звучит так: Те пункты, где фигурируют «работы» — нужна лиц…

OWASP TOP-10 недостаточно быстро обновляется в современных реалиях и построен на непрозрачных для сообщества метриках — подумали в Wallarm и, используя базу Vulners, выкатили свой OWASP TOP-10 2021, собрав более 4 миллионов бюллетеней безопасности от 144 поставщиков.https://lab.wallarm.com/owasp-top-10-2021-proposal-based-on-a-statistical-data/

​#рекламаОнлайн-мероприятие Cisco для малого и среднего бизнеса!За время пандемии мы осознали, что его можно вести, не будучи привязанными к своим традиционным рабочим местам. Теперь мы можем работать из любой точки мира, где есть Интернет, к которому можно подключить свой ноутбук, планшет или смартфон и получить доступ к приложениям и данным, находящимися в нашем ЦОДе или в облаке.Но с этими возможностями пришли и новые страхи:• Могу ли я доверять облачным сервисам или личным устройствам работников?• Как мне обезопасить подключение удаленного или мобильного работника?• Как гарантировать, что к моим данным не получит доступ злоумышленник, прикрывающийся учетной записью моего сотрудника?• Ка…

Неплохой материал про опыт RedTeam при пентесте Active Directory, где автор рассказыват про инструменты и возможности обхода встроенных средств защиты с помощью обфускации, дополнительного шифрования пейлоада и упаковки исполняемого файла несколькими пакерами.Команде защиты также на вооружение и проверок на своей инфраструктуре.https://luemmelsec.github.io/Circumventing-Countermeasures-In-AD/p.s также там есть и другие полезные материалы https://luemmelsec.github.io/

Где-то слышал мнение, что у современных анти-чит систем методы обнаружения куда более продвинутые, чем у EDR, представленных сегодня на рынке, или по крайней мере есть, что можно позаимствовать. Справедливости ради стоит отметить, что задачи у EDR куда шире, учитывая, что они не привязаны к конкретным процессам, как в случае с анти-читами.Поэтому кто заскучал и хочет попробовать чего-то новенького, можно погрузиться в базовый реверс и исследование того, как работают видеоигры и читерский софт. https://gamehacking.academy/А вообще любопытная тема для изучения.В заключение небольшая проверка на олдфагов: ArtMoney помните?)

Как вам такой аудит сети РЖД?https://habr.com/ru/post/536750/

Вчера в блоге Tenable появилась любопытная статья про локальное повышение привилегий в PsExec, позволяющее процессу, запущенному не от администратора, перейти в SYSTEM. Работает для Windows 10 и более младших версий, вплоть до XP. Тестируемые версии PsExec v1.72 и до актуальной v2.2.PoC прилагается.https://medium.com/tenable-techblog/psexec-local-privilege-escalation-2e8069adc9c8

Ого, вышлая новая версия OWASP Web Security Testing Guide! https://github.com/OWASP/wstg/releases/tag/v4.2

—Партнерский пост—Мир кибербезопасности очень инертен, вымогателей становится только больше, промышленные системы и различные отрасли экономики каждый день страдают от масштабных APT-атак, а активные действия спецслужб только добавляют всему этому шоу пикантности. Ситуация эта вряд ли в ближайшем времени как-то изменится, и лишь продолжит усугубляться, поэтому наш долг держать руку на пульсе. С этой задачей отлично справляется канал SecAtor. Ребята мониторят все горячие новости, шутят, разбирают отчеты крупных компаний, а их главная фишка — обзоры APT-группировок, вместе с их проделками.Все по делу и на постоянной основе.«Руки-ножницы российского инфосека» — SecAtor

Ребята из Digital Security рассказали на Хабре о своем выборе плагинов для Burp Suite, которые они используют для повседневных задач. https://habr.com/ru/company/dsec/blog/529088/

InfoSec Black Friday Deals 2020Традиционная подборка интересных предложений «Чёрной пятницы» из сферы инфосек — https://github.com/0x90n/InfoSec-Black-Fridayhttps://github.com/Securityinfos/Black-Friday-Deals1Password с 50% скидкой, много платформ для обучения, трейнингов и лаб по скидке (SANS, Practical DevSecOps, PentesterLab и пр.) и многое другое. Большая часть скорее всего появится завтра, но уже есть из чего выбирать.

Ребята из Digital Security рассказали на Хабре о своем выборе плагинов для Burp Suite, которые они используют для повседневных задач.https://habr.com/ru/company/dsec/blog/529088/

У подразделения PortSwigger Research есть максимально полезная шпаргалка по XSS, которую они постоянно обновляют, убирая уже устаревшие пейлоады и наоборот, собирая и добавляя актуальные, в том числе присланные от комьюнити по всему миру.https://portswigger.net/web-security/cross-site-scripting/cheat-sheet

Очень крутой кейс про то, как имея на руках только снапшот виртуальной машины в момент ее компроментации и зашифированный pcap, автор смог не только вытащить сессионные ключи ssh, но и расшифровать трафик. Правда для этого пришлось проанализировать структуру OpenSSH, разложить все буквально на кусочки, понять в каких блоках памяти ОС хранятся данные, связанные с текущей ssh сессией, и в результате получить сессионный ключ.Говорит, что было бы круто добавить эту функциональность в Wireshark.https://research.nccgroup.com/2020/11/11/decrypting-openssh-sessions-for-fun-and-profit/

Как говорится — не bWAPP'ом единым!Подборка заранее уязвимых приложений, сервисов, ОС и пр. для вашего обучения, либо тестирования различного рода сканеров.https://github.com/vavkamil/awesome-vulnerable-apps/

Кстати, уже завтра стартует The Standoff — кибербитва и онлайн-конференция по информационной безопасности. Помимо самого противостояния организаторы обещают насыщенную программу с докладами, поэтому у вас ещё есть время зарегистрироваться.Программу обещают опубликовать завтра, а само мероприятие продлится до 17 ноября. https://standoff365.com/ru

SUNSPOT monitors running processes for those involved in compilation of the Orion product and replaces one of the source files to include the SUNBURST backdoor code.

Several safeguards were added to SUNSPOT to avoid the Orion builds from failing, potentially alerting developers to the adversary’s presence.

Analysis of a SolarWinds software build server provided insights into how the process was hijacked by StellarParticle in order to insert SUNBURST into the update packages.

The design of SUNSPOT suggests StellarParticle developers invested a lot of effort to ensure the code was properly inserted and remained undetected, and prioritized operational security to avoid revealing their presence…

Friday Squid Blogging: China Launches Six New Squid Jigging VesselsFrom Pingtan Marine Enterprise:The 6 large-scale squid jigging vessels are normally operating vessels that returned to China earlier this year from the waters of Southwest Atlantic Ocean for maintenance and repair.

These vessels left the port of Mawei on December 17, 2020 and are sailing to the fishing grounds in the international waters of the Southeast Pacific Ocean for operation.

I wonder if the company will include this blog post in its PR roundup.

As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Posted on January 15, 2021 at 4:03 PM • 0 Comments

Click Here to Kill Everybody SaleFor a limited time, I am selling signed copies of Click Here to Kill Everybody in hardcover for just $6, plus shipping.

Note that I have had occasional problems with international shipping.

At this price, international orders are at the buyer’s risk.

Also, the USPS keeps reminding us that shipping — both US and international — may be delayed during the pandemic.

When they’re gone, the sale is over and the price will revert to normal.

Cell Phone Location PrivacyWe all know that our cell phones constantly give our location away to our mobile network operators; that’s how they work.

It protects users from fake cell phone towers (IMSI-catchers) and surveillance by cell providers.

The players are the user, a traditional mobile network operator (MNO) like AT&T or Verizon, and a new mobile virtual network operator (MVNO).

Here’s how it works:One-time setup: The user’s phone gets a new SIM from the MVNO.

All connectivity is data connectivity in cell networks today.

Upcoming Speaking EngagementsThis is a current list of where and when I am scheduled to speak:I’m speaking (online) as part of Western Washington University’s Internet Studies Lecture Series on January 20, 2021.

I’m speaking at ITY Denmark on February 2, 2021.

I’m being interviewed by Keith Cronin as part of The Center for Innovation, Security, and New Technology’s CSINT Conversations series, February 10, 2021 from 11:00 AM – 11:30 AM CST.

I’ll be speaking at an Informa event on February 28, 2021.

Posted on January 14, 2021 at 11:42 AM • 0 Comments

Security researcher Ahmed Hassan has shown that spoofing the Android’s “People Nearby” feature allows him to pinpoint the physical location of Telegram users:Using readily available software and a rooted Android device, he’s able to spoof the location his device reports to Telegram servers.

By using just three different locations and measuring the corresponding distance reported by People Nearby, he is able to pinpoint a user’s precise location.

He then drew a circle around each of the three locations with a radius of the distance reported by Telegram.

The user’s precise location was where all three intersected.

When the Tinder app had a similar disclosure vulnerability, developers used thi…

That’s the same equipment and approximately the same amount of force I was able to use when a group of fans got a little feisty and tried to get backstage at a Vanilla Ice show.

[…]There’s not ever going to be enough police or security at any event to stop people if they all act in unison; if enough people want to get to Vanilla Ice at the same time, they’re going to get to Vanilla Ice.

Social constructs and basic decency, not lightweight security gates, are what hold everyone except the outliers back in a typical crowd.

[…]When there are enough outliers in a crowd, it throws the normal dynamics of crowd control off; everyone in my business knows this.

There aren’t enough police in your tow…

Extracting and later resealing the chip takes about four hours.

It takes another six hours to take measurements for each account the attacker wants to hack.

By observing the local electromagnetic radiations as the chip generates the digital signatures, the researchers exploit a side channel vulnerability in the NXP chip.

The exploit allows an attacker to obtain the long-term elliptic curve digital signal algorithm private key designated for a given account.

With the crypto key in hand, the attacker can then create her own key, which will work for each account she targeted.

If you’re a WhatsApp user, pay attention to the changes in the privacy policy that you’re being forced to agree with.

In 2016, WhatsApp gave users a one-time ability to opt out of having account data turned over to Facebook.

Now, an updated privacy policy is changing that.

Come next month, users will no longer have that choice.

Some of the data that WhatsApp collects includes:User phone numbersOther people’s phone numbers stored in address booksProfile namesProfile pictures andStatus message including when a user was last onlineDiagnostic data collected from app logsUnder the new terms, Facebook reserves the right to share collected data with its family of companies.

Friday Squid Blogging: Searching for Giant Squid by Collecting Environmental DNAThe idea is to collect and analyze random DNA floating around the ocean, and using that to figure out where the giant squid are.

No one is sure if this will actually work.

As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Read my blog posting guidelines here.

Posted on January 8, 2021 at 4:02 PM • 3 Comments

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

And a massive security failure on the part of the United States is also to blame.

Any system for acquiring software needs to evaluate the security of the software and the security practices of the company, in detail, to ensure they are sufficient to meet the security needs of the network they’re being installed in.

They need security attestations on the part of the vendors, with substantial penalties for misrepresentation or failure to comply.

But if we truly value our personal and national security, we need to be prepared to pay for it.

And while the industry will resist both, they are essential for national security in our increasingly computer-dependent worlds.

This information was part of the training data, and can be extracted with the right sorts of queries.

Paper: “Extracting Training Data from Large Language Models.”Abstract: It has become common to publish large (billion parameter) language models that have been trained on private datasets.

This paper demonstrates that in such settings, an adversary can perform a training data extraction attack to recover individual training examples by querying the language model.

Our attack is possible even though each of the above sequences are included in just one document in the training data.

We conclude by drawing lessons and discussing possible safeguards for training large language models.

The new charges have derailed plans to deport him under compassionate release because of the COVID-19 pandemic.

In December 2015, Ferizi was apprehended in Malaysia and extradited to the United States.

He’s charged with one count of aggravated identity theft and one count of wire fraud.

If convicted of wire fraud, he faces a maximum penalty of 20 years in prison and a fine of $250,000.

If convicted of aggravated identity theft, he faces a mandatory penalty of 2 years in prison in addition to the punishment imposed for a wire fraud conviction.

Joker’s Stash, by some accounts the largest underground shop for selling stolen credit card and identity data, says it’s closing up shop effective mid-February 2021.

But 2020 turned out to be a tough year for Joker’s Stash.

Gemini estimates that Joker’s Stash generated more than a billion dollars in revenue over the past several years.

Like many other top cybercrime bazaars, Joker’s Stash was a frequent target of phishers looking to rip off unwary or unsophisticated thieves.

In 2018, KrebsOnSecurity detailed a vast network of fake Joker’s Stash sites set up to steal login credentials and bitcoin.

Microsoft recently stopped providing a great deal of detail in their vulnerability advisories, so it’s not entirely clear how this is being exploited.

But Kevin Breen, director of research at Immersive Labs, says depending on the vector the flaw could be trivial to exploit.

Case in point: CVE-2021-1709, which is an “elevation of privilege” flaw in Windows 8 through 10 and Windows Server 2008 through 2019.

“It was also discovered by Google likely because this patch corrects a bug introduced by a previous patch,” ZDI’s Dustin Childs said.

You never know when a patch roll-up will bork your system or possibly damage important files.

More worrisome, the research suggests the insidious methods used by the intruders to subvert the company’s software development pipeline could be repurposed against many other major software providers.

In a blog post published Jan. 11, SolarWinds said the attackers first compromised its development environment on Sept. 4, 2019.

In October 2019, SolarWinds pushed an update to their Orion customers that contained the modified test code.

SolarWinds emphasized that while the Sunspot code was specifically designed to compromise the integrity of its software development process, that same process is likely common across the software industry.

“Our concern is that right now similar processes may e…

Ubiquiti, a major vendor of cloud-enabled Internet of Things (IoT) devices such as routers, network video recorders, security cameras and access control systems, is urging customers to change their passwords and enable multi-factor authentication.

The company says an incident at a third-party cloud provider may have exposed customer account information and credentials used to remotely manage Ubiquiti gear.

The statement continues:“We are not currently aware of evidence of access to any databases that host user data, but we cannot be certain that user data has not been exposed.

The warning from Ubiquiti carries particular significance because the company has made it fairly difficult for cust…

Nicholas Weaver, a lecturer at the computer science department at University of California, Berkeley, said the court document system doesn’t hold documents that are classified for national security reasons.

The New York Times on Wednesday reported that investigators are examining whether a breach at another software provider — JetBrains — may have precipitated the attack on SolarWinds.

These sealed documents will not be uploaded to CM/ECF.

“This new practice will not change current policies regarding public access to court records, since sealed records are confidential and currently are not available to the public,” the AO said.

Tags: Administrative Office of the U.S. Courts, Nicholas Weave…

Researchers who have studied more than 5,000 Q drops are convinced that there are two distinct authors of these coded utterances.

One reason Q watchers believe Ron and Jim Watkins may share authorship over the Q drops is that while 8chan was offline, the messages from Q ceased.

Like so many Q drops, Queequeg’s tattoos tell a mysterious tale, but we never quite learn what that full story is.

In any case, none of this is likely to matter to the diehard QAnon conspiracy theorists themselves, says Mike Rothschild, a writer who specializes in researching and debunking conspiracy theories.

Tags: 8chan, Hartford Courant, Herman Melville, Jake Angeli, Jim Watkins, Moby Dick, President Trump, Q Sham…

In October 2020, KrebsOnSecurity looked at how a web of sites connected to conspiracy theory movements QAnon and 8chan were being kept online by DDoS-Guard, a dodgy Russian firm that also hosts the official site for the terrorist group Hamas.

Following a brief disconnection, the sites came back online with the help of DDoS-Guard, an Internet company based in St. Petersburg, Russia.

It is possible that when and if CoreSite decides it’s too risky to continue doing business with DDoS-Guard, sites like those affiliated with Hamas, QAnon and 8Chan may become more difficult to reach.

The FBI in 2019 identified QAnon as a potential domestic terror threat, noting that some of its followers have bee…

Today marks the 11th anniversary of KrebsOnSecurity!

With the ongoing disruption to life and livelihood wrought by the Covid-19 pandemic, 2020 has been a fairly horrid year by most accounts.

A good chunk of the loyal readers here are understandably security- and privacy-conscious, and many block advertisements by default — including the ads displayed here.

Love them or hate ’em, these ads help keep the content at KrebsOnSecurity free to any and all readers.

Read ThisTurn on MFA Before Crooks Do it for YouRomanian Skimmer Gang in Mexico Outed by KrebsOnSecurity Stole $1.2 BillionWho’s Behind the ‘Web Listings’ Mail Scam?

U.S. government cybersecurity agencies warned this week that the attackers behind the widespread hacking spree stemming from the compromise at network software firm SolarWinds used weaknesses in other, non-SolarWinds products to attack high-value targets.

However, the SolarWinds compromise would have provided that internal access nicely.

“This has also been confirmed by SolarWinds own investigations to date.”The NSA has not yet responded to requests for comment.

On Dec. 17, DHS’s Cyber Security and Infrastructure Security Agency (CSIA) released a sobering alert on the SolarWinds attack, noting that CISA had evidence of additional access vectors other than the SolarWinds Orion platform.

So f…

FireEye said hacked networks were seen communicating with a malicious domain name — avsvmcloud[.

Asked about the changeover, Microsoft referred questions to FireEye and to GoDaddy, the current domain name registrar for the malicious site.

Today, FireEye responded that the domain seizure was part of a collaborative effort to prevent networks that may have been affected by the compromised SolarWinds software update from communicating with the attackers.

“SUNBURST is the malware that was distributed through SolarWinds software,” FireEye said in a statement shared with KrebsOnSecurity.

Tags: FireEye, GoDaddy, microsoft, Orion, RedDrip Team, SolarWinds breach, SUNBURST

On Dec. 14, Reuters reported the SolarWinds intrusion also had been used to infiltrate computer networks at the U.S. Department of Homeland Security (DHS).

Armed with that access, Microsoft should be able to tell which organizations have IT systems that are still trying to ping the malicious domain.

But in a response on Twitter, Microsoft spokesperson Jeff Jones seemed to confirm that control of the malicious domain had changed hands.

Based on the timeline known so far, the perpetrators of this elaborate hack would have had a fairly good idea back in March which of SolarWinds’ 18,000 Orion customers were worth targeting, and perhaps even in what order.

Andrew Morris, founder of the security…

According to a Reuters story, hackers believed to be working for Russia have been monitoring internal email traffic at the U.S. Treasury and Commerce departments.

“Treat all hosts monitored by the SolarWinds Orion monitoring software as compromised by threat actors and assume that further persistence mechanisms have been deployed,” CISA advised.

According to a blog post by Microsoft, the attackers were able to add malicious code to software updates provided by SolarWinds for Orion users.

The Reuters story quotes several anonymous sources saying the intrusions at the Commerce and Treasury departments could be just the tip of the iceberg.

Tags: APT29, Cybersecurity and Infrastructure Security…

Payment card processing giant TSYS suffered a ransomware attack earlier this month.

But the company says the malware did not jeopardize card data, and that the incident was limited to administrative areas of its business.

TSYS provides payment processing services, merchant services and other payment solutions, including prepaid debit cards and payroll cards.

In a written response to requests for comment, TSYS said the attack did not affect systems that handle payment card processing.

The report notes that by a wide margin, Ryuk continues to be the most prolific ransomware threat targeting financial services firms.

Your email account may be worth far more than you imagine.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Members of one of England’s most exclusive golf clubs has warned its 4000 members that their personal details may have fallen into the hands of hackers following a ransomware attack.

The prestigious private Wentworth golf and country club, whose members include high profile celebrities, sports stars, and top business people, has sent out an email offering its “profuse apologies” after its members’ list was accessed by cybercriminals.

As is increasingly common, the attackers did not just encrypted data on the private golf and country club’s network – but also stolen some of it in an attempt to increase their chances of a payout.

Wentworth Golf Club has informed the Information Commissioner’s…

As Bleeping Computer reports, hackers are still making hay hijacking the accounts of verified users to promote cryptocurrency scams.

Clicking on the link takes unsuspecting users to a webpage that promotes a bogus Bitcoin giveaway, supposedly run by Elon Musk and Tesla.

It’s not just Elon Musk whose name is being abused in this fashion, however.

In this instance, the scammers have managed to seize control of the verified account of Baywatch actress Kelly Rohrbach, and change her profile name and avatar.

One presumes that not an awful lot of effort has been put into securing her Twitter account either.

In other instances, malicious hackers had been seen phishing for users’ cloud service account login credentials through email phishing attacks that claimed to link to a “secure message” hosted on a legitimate site which required users to login.

The actors then sent emails from the user’s account to phish other accounts within the organization.

In the case it cited, CISA said it believed the malicious hackers may have used a “pass-the-cookie” attack to waltz around MFA.

It later transpired that phishing attacks had taken users to a site purporting to be Binance, which asked them to enter their password and MFA codes.

Although it’s clear that attackers can circumvent MFA through social engine…

Graham Cluley Security News is sponsored this week by the folks at Orca Security.

Security teams need to secure everything, but attackers need only find one weak link.

For most organizations, cloud workload security is dependent upon the installation and maintenance of security agents across all assets.

Connect your first cloud account in minutes and see for yourself.

If you’re interested in sponsoring my site for a week, and reaching an IT-savvy audience that cares about computer security, you can find more information here.

All this and much more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault, joined this week by The Cyberwire’s Dave Bittner.

Hosts:Graham Cluley – @gcluleyCarole Theriault – @caroletheriaultGuest:Dave Bittner – @bittnerShow notes:Sponsor: 1Password With 1Password you only ever need to memorize one password.

Take the 14 day free trial now at 1password.comSponsor: CrowdSec CrowdSec is open-source and crowd-powered software enabling you to detect and block attacks.

Learn more and try it for yourself at crowdsec.net/smashingFollow the show:Follow the show on Twitter at @SmashinSecurity, on the Smas…

This week, as part of its long-standing monthly “Patch Tuesday” regime, Microsoft released security updates to fix more than 80 flaws in its software.

Amongst the critical security vulnerabilities patched by Microsoft was one that – ironically – exploited usage of the company’s own Windows security product, Microsoft Defender Antivirus.

The actively-exploited remote code execution flaw (given the technical name of CVE-2021-1647) can be triggered by the mere act of Microsoft Defender attempting to scan a boobytrapped file for malware.

As soon as Microsoft Defender sees the boobytrapped file on your computer it will try to scan it, get its knickers in a twist, and allow malicious code to run …

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

According to Reuters, the CEO of FireEye received a mysterious postcard at his home mere days after the cybersecurity firm uncovered initial evidence that it had been hacked, but before the news was made public.

It’s also possible, of course, that whoever sent the card had no knowledge of the FireEye hack at all, and the timing was purely coincidental.

FireEye and the FBI aren’t offering any comment, and haven’t shared an image of the postcard.

But it does sound awfully like a postcard with similar wording received by Rand disinformation researcher Todd Helmus in 2019.

pic.twitter.com/dydVaNmIsf — Todd Helmus (@Helmus) March 15, 2019Helmus received the unsolicited postcard from an unknown p…

The biographies of outgoing US President Donald Trump and his Vice President Mike Pence were mysteriously changed on the official US State Department website at some point on Monday.

It’s quite possible that they’re an ex-employee by now.

At the time of writing, anyone attempting to view Trump and Pence‘s biography pages are greeted with an error message.

Please try again in a few moments.”Presumably they’re trying to ensure that only trusted, authorised parties are able to edit the pages – or they’re trying to find the backup where the previous biographies were stored.

Follow Graham Cluley on Twitter to read more of the exclusive content we post.

And one of them is to specifically target the sensitive information stored on the computers used by a company’s top executives, in the hope of finding valuable data that can best pressure bosses into approving the payment of a sizeable ransom.

They have also valued highly the prize of exfiltrating sensitive data such as business plans, financial details, and intellectual property that corporate victims would dread falling into the public domain or their commercial rivals.

And where better to find such commercially sensitive information than on the workstation of a chief executive, chief financial officer, or communications director.

So, what should your company be doing to protect itself ag…

As previously reported, Hackney Council acknowledged that it had been hit by a “serious cyber attack” in early October 2020, which left it unable to make housing benefit payments to the needy, and caused house purchases to fall through.

At the time of writing, months after the initial attack, Hackney Council continues to advise that it is unable to provide all of its normal services.

Hackney Council has been notably tight-lipped about the precise nature of the “serious cyber attack”.

Now four months on, at the start of a new year and as we are all responding to the second wave, they have decided to compound that attack and now release stolen data.

Past victims of the PYSA/Mespinoza ransomwa…

Security researchers at Trustwave have revealed the latest attempt by cybercriminals to infect Windows computers using this tried-and-trusted technique, although it feels somewhat ill-conceived.

According to Trustwave senior security researcher Diana Lopera, emails have been spammed out with the subject line “GOOD LOAN OFFER!

Yup, it’s filename purports to be a some sort of sex scandal video involving the outgoing President of the United States.

So, if you do find yourself tempted despite every bone in your body telling you that you shouldn’t click (heck – even if it was a Donald Trump sex video you surely wouldn’t really want to see that, would you?)

make sure not to initiate the RAT insta…

Чем лучше мы будем понимать modus operandi киберпреступников и масштабы их операций, тем эффективнее можно будет организовать борьбу с ними.

Жертвы шифровальщиков, у которых защитных продуктов не было, зачастую предпочитают молчать о факте атак (особенно если решают заплатить злоумышленникам).

Но описанный метод может применяться и по сей день, да и собранные ими данные в любом случае позволяют получить представление о доходах киберпреступников.

Дело в том, что биткойн поддерживает операцию «совместной проводки» (co-spending), когда средства с нескольких кошельков переводятся на один.

Что еще интересно, порядка 90% дохода пришлось на семейства Locky и Cerber (это были самые активные шифрова…

Самое главное: сквозное шифрование в Telegram по умолчанию не используетсяПервое, что нужно знать о Telegram: в «облачных» чатах — так Telegram называет стандартный тип чатов, которые используются по умолчанию, — не применяется сквозное шифрование.

Как включить сквозное шифрование в Telegram: «секретные» чатыПри этом сквозное шифрование в Telegram есть — просто его нужно включать отдельно.

В «секретных» чатах и текст сообщений, и картинки, и видео, и все остальные файлы передаются с использованием сквозного шифрования.

Как внутри чата понять, включено ли сквозное шифрование: иконка с замочкомПоскольку в Telegram есть два типа чатов — обычные «облачные» и «секретные», в которых включено скво…

Но чаще всего работодатели считают такой сценарий скорее гипотетическим и не уделяют ему должного внимания.

В результате компания не смогла в срок поставлять оборудование, в том числе и средства индивидуальной защиты для врачей.

Причем в данном случае дело даже не в убытках из-за простоя или срыва сроков поставки — из-за пандемии коронавируса COVID-19 средства защиты нужны врачам как никогда.

То есть человек пренебрег не только интересами бывших коллег, но и возможными последствиями для здоровья врачей и пациентов.

Независимо от должности, удобства и специфики бизнес-процессов, служба информационной безопасности и IT должны знать о возможности доступа сотрудника к корпоративным системам или…

Человека можно с очень высокой точностью идентифицировать по отпечатку пальца — и по отпечатку браузера.

Юлиан Фиткау (Julian Fietkau) и команда сотрудников Университета бундесвера в Мюнхене разработали плагин для браузера, который позволяет отслеживать, какие сайты собирают ваши отпечатки браузера и как они это делают.

При этом отпечаток браузера — это не куки (cookies), хотя их и можно использовать похожим образом.

Более того, от снятия отпечатка браузера не спасает и режим «Инкогнито», поскольку почти все параметры браузера и устройства остаются прежними и по ним можно идентифицировать, что вы — это вы.

Как используют отпечатки браузера (и почему это не всегда хорошо)Отпечатки браузера ч…

Статистика показывает, что на планете сейчас насчитывается 1,92 миллиарда цифровых покупателей, получающих приобретенные товары через различные службы доставки.

Пользуясь этим, мошенники рассылают случайным пользователям письма с просьбой доплатить незначительную сумму (в пределах 3 €), чтобы доставка была осуществлена.

Письмо от службы доставкиВсе начинается с уведомление на е-mail от имени известной службы доставки.

Подделки не очень тщательные: во всех изученных нами образцах мошеннических писем адреса отправителей — случайные и не имеют никакого отношения к официальным адресам почтовых служб.

Для удобства получателя несуществующей посылки авторы письма размещают в нем ссылку на фишингов…

Почему безопасники давно не любят FlashПо сути, контент в формате Flash представляет собой небольшие программы, которые скачиваются на компьютеры пользователей и исполняются при помощи Flash Player.

В результате уязвимости разного уровня опасности находились в Flash Player с завидной регулярностью.

Всего за время существования Flash Player в нем было найдено более тысячи уязвимостей.

До декабря прошлого года компания Adobe продолжала следить за безопасностью Flash Player и старательно закрывала обнаруживаемые уязвимости.

Если вы не используете контент, написанный на Flash, то все равно лучше внимательно изучить свои веб-сайты — не осталось ли где-нибудь какого-нибудь интерактивного элемента…

В ряде аппаратных межсетевых экранов и контроллеров беспроводной сети обнаружилась недокументированная учетная запись администратора zyfwp с неизменяемым паролем.

Так что в ряде сетей этот порт открыт для доступа из Интернета.

Однако в его сообщении говорится, где этот пароль можно найти, так что на ряде ресурсов, посвященных кибербезопасности, он уже был опубликован.

Уязвимы устройства для малого бизнеса с функциональностью межсетевого экрана серий ATP, USG, USG FLEX, VPN с прошивками версии ZLD V4.60.

Полный список моделей, нуждающихся в срочном обновлении прошивки, вместе со ссылками на соответствующие патчи доступен на сайте ZyXel.

При этом сетевые устройства допускают переключение скорости передачи данных – и, соответственно, смену частоты.

Передача данныхПереключение скорости передачи данных — не единственный возможный метод модуляции сигнала.

Дальнейшие экспериментыВ целом такой метод передачи данных воспроизводится и на офисных устройствах (ноутбуках, маршрутизаторах), правда, с разной эффективностью.

Если что-то подобное используется и в вашей компании, то о потенциальной возможности утечки информации из системы за воздушным зазором лучше не забывать.

Кроме того, нужно учитывать, что в качестве улавливающего устройства исследователь использовал достаточно недорогой бытовой приемник, подключаемый через USB.

Чтобы секретная информация точно не попала к злоумышленникам, ее помещают на устройствах, не подключенных ни к локальной сети, ни уж тем более к Интернету.

Не он один, конечно, но за последние годы именно при его участии открыли пару десятков таких методов.

Метод Air-Fi особенно неприятен с точки зрения кибербезопасности, потому что он не требует администраторских прав на изолированном компьютере, все делается из-под обычной учетной записи рядового пользователя.

Как бороться с Air-FiПо классификации излучений Air-Fi относится к электромагнитным методам, соответственно, бороться с ним можно следующими мерами:Зонирование помещений.

В целом Air-Fi, как и все подобные методы, слишком сложен и н…

Мы, например, активно расширялись — не только в традиционном сегменте компьютерной кибербезопасности, но и в смежных областях, таких как защита от дронов или электронная коммерция.

Kaspersky сотрудничает с Nexway уже много лет, и коньком этой площадки всегда была хорошая адаптация к законодательству и платежным реалиям каждой страны, в которой она работает.

Так и с обработкой данных и платежей.

Хочу особо отметить, что мы поможем Nexway с воплощением этого видения, но не планируем существенных организационных изменений.

Мы надеемся, что все текущие партнеры Nexway будут продолжать сотрудничать с ней, и что прозрачность и открытость позволят привлечь новых.

Общим же элементом во всех версиях является центральный инцидент с туфелькой/башмачком — именно он представляет наибольший интерес с точки зрения кибербезопасности.

При всей привлекательности египетской версии сказки опираться мы будем на европейские варианты как на наиболее известные и привычные читателю.

И в какой-то момент он также становится недействительным, после чего система моментально обрубает подключение (если, конечно, эта система разумно устроена).

Как и следовало ожидать, у сестер ничего не получается — сигнатурный движок принца понимает, что хеш не очень-то совпадает.

Советуем воспользоваться этой удобной возможностью — хотя бы для того, чтобы труды таких именитых экспертов по…

Сегодня утром наши защитные решения начали с интервалом несколько секунд выдавать предупреждения об опасности у многих пользователей браузера Google Chrome.

Объясняем, что это было и что с этим делать.

Что это было?

Иными словами, расширения скрытно от пользователей проигрывали в их браузере интересующие злоумышленников видео, тем самым накручивая просмотры этих видео в онлайн-кинотеатрах.

По словам коллег из «Яндекса», иногда у пользователей некоторых из таких расширений начинала проигрываться звуковая дорожка от скрытого видео.

Не успела игра Cyberpunk 2077 выйти для Windows и консолей, как мы обнаружили в Сети «бета-версию для Android».

Cyberpunk 2077 превращается… в шифровальщикСайт «мобильной версии» внешне совершенно не похож на официальный сайт Cyberpunk 2077, зато подозрительно напоминает Google Play.

Некоторые из них даже оставили отзывы, отметив, что для бета-версии игра неплоха.

Кроме того, в каждую папку зловред поместил файл README.txt с той же запиской, что и в окне приложения.

Например, авторы фейковой беты Cyberpunk 2077 для Android распространяют еще и шифровальщик для Windows, маскирующийся под эту же игру.

Tactic; TechniqueInitial Access (TA0001); External Remote Services (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192) Execution (TA0002); Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047) Persistence (TA0003); Registry Run Keys / Startup Folder (T1060), Scheduled Task (T1053), Valid Accounts (T1078) Defense Evasion (TA0005); Code Signing (T1116), Deobfuscate/Decode Files or Information (T1140), Disabling Security Tools (T1089), File Deletion (T1107), Masquerading (T1036), Process Injection (T1055) Credential Access (TA0006); Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056) Discovery (TA0007); Ac…

Why so serious?

Через некоторое время отдел кадров удаляет фото (снимки экрана здесь и далее частично заретушированы, чтобы не раскрывать реальные имена), но оно упорно возвращается, его опять удаляют, и так происходит еще несколько раз.

В отделе кадров понимают, что намерения у кота самые серьезные, уходить он не хочет, и призывают на помощь веб-программиста — человека, который делал сайт и разбирается в нем, а сейчас его администрирует.

Программист заходит на сайт, еще раз удаляет надоевшего кота, выявляет, что его разместили от имени самого отдела кадров, затем делает предположение, что пароль отдела кадров утек к каким-то сетевым хулиганам, и меняет его.

Кот больше не появляется.

On December 11th, 2020, the U.S. government and the company SolarWinds disclosed a breach into their SolarWinds Orion Platform network management software.

SolarWinds Orion is a commonly used network management software stack used to manage complex switched and routed IT/OT architectures.

The adversary was able to penetrate SolarWinds software development infrastructure, and bolt malware into a legitimate software update from SolarWinds for their Orion platform.

At the time of this posting, SolarWinds customer exposure is stated to be less than 18,000 of the 30,000 Orion platform customers.

It is also important to note that the attack on the SolarWinds Orion platform can absolutely cause an…

This was the key fundamental principle of Cloud Mailbox Defense that we introduced in our earlier blogs.

So how did the first customers and partners to try Cloud Mailbox Defense (CMD) think we did?

Cloud Mailbox Defense is the first solution that is ‘as easy as it claims to be’.

Now simplicity may be the cornerstone of Cloud Mailbox Defense, but can a security product be too simple to be effective?

Start your free 30-day trial of Cloud Mailbox Defense today and check out www.cisco.com/go/cmd and the At-A-Glance for more details about Cloud Mailbox Defense.

Since the earliest days of computing, we’ve endeavored to provide users with efficient, secure access to the critical applications which power the business.

With today’s workforce being increasingly remote, the delivery of secure, remote access to corporate IT resources and applications is more important than ever.

Who is connecting remotely to the virtual desktop?

Can the virtual desktop in any way open a reverse tunnel or proxy out to the Internet?

If the remote device is infected by virus or malware, is there any possible way that might infect the virtual desktop?

Today we launch our brand new publication, ‘Defending Against Critical Threats: A 12 month roundup’.

Inside, we take a retrospective look at cyber threats, and how they have evolved in the last 12 months.

Our intention is to help inform strategic decision-making, as organizations prepare for threats they may encounter in the future.

In other topics, we’ve seen a large evolution in ransomware over the past year.

Edmond Brumaghin, threat researcher for Cisco Talos, has pulled together some terrific research on Big Game Hunting attacks.

Today, Talos is publishing a glimpse into the most prevalent threats we’ve observed between January 8 and January 15.

Instead, this post will summarize the threats we’ve observed by highlighting key behavioral characteristics, indicators of compromise, and discussing how our customers are automatically protected from these threats.

Additionally, please keep in mind that IOC searching is only one part of threat hunting.

Detection and coverage for the following threats is subject to updates, pending additional threat or vulnerability analysis.

As always, please remember that all IOCs contained in this document are indicators, and that one single IOC does not indicate maliciousness.

What was the political context at the time, and what was the overall process for election security in 2016?

After the 2016 DNS breach, the Department of Homeland Security became the critical infrastructure touch point from the federal government for election security.

At the time I remember thinking that this was crazy, and that there really should be more federal involvement in election security.

In 2016, he was the point person at the Department of Homeland Security for election security issues.

There isn’t a huge amount of transparency about election security, for obvious reasons.

In 2020, we unveiled the result of a huge investment with the launch of our integrated platform, Cisco SecureX.

In our recent, worldwide, double-blind survey, over 4,800 respondents delivered a resounding ‘yes.’Up-to-date, well-integrated tech leads to better protectionIn the Cisco 2021 Security Outcomes Study, we analyzed the use of 25 security best practices to determine which ones had the greatest impact on improving organizational defenses.

Practices most strongly correlated with overall security program successCisco SecureX is embedded into every Cisco security product.

The 2021 Security Outcomes Study also analyzed how much various security best practices increased organizations’ chan…

As various private organizations and high-value government bodies figure out the blast radius of the recent state-sponsored SolarWinds attack, with Cisco Endpoint Security Analytics (CESA) in your toolkit you could quickly assess your own exposure…like the CESA customer noted below.

CESA brings together the unparalleled endpoint behavioral visibility of Cisco’s AnyConnect Network Visibility Module (NVM) and the data transformation power of the Splunk analytics platform to help address the endpoint visibility gap left behind by traditional EDR/EPP solutions and network security analytics platforms.

With this information we could quickly understand what our endpoint exposure was for all manag…

We will define actionable zero trust segmentation controls that can be applied by Cisco Secure Workload with immediate effect to protect your enterprise from the “SUNBURST” trojan and backdoor.

Use Cisco Secure Workload to raise it.

Cisco Secure Workload will dynamically compute a list of all assets that meet the criteria defined.

In addition to the many benefits of implementing a zero trust segmentation control, Cisco Secure offers Cisco SecureX, a cloud-native, built in platform experience.

With the Cisco Secure platform approach, you will be able to provide greater visibility, faster response and more efficient security operations.

The Radicati Group has named Cisco a Top Player in the Endpoint Security – Market Quadrant 2020.

Cisco Secure Endpoint (formerly AMP for Endpoints) stands out from the competition for many reasons, and it all starts with our world-class threat intelligence organization, Talos.

So, Cisco Secure Endpoint goes beyond prevention by providing advanced Endpoint Detection and Response (EDR) capabilities to give you deep visibility into telemetry and potentially malicious file activity across your endpoint environment.

Built-in to Cisco Secure Endpoint, the Cisco SecureX platform delivers threat response with automatic threat context enrichment and unified threat response capabilities across the en…

Much has been written about the Sunburst attack, a supply chain attack using the SolarWinds Orion application.

Piecemeal Security ParadigmDespite an increase in security investments, most organizations are experiencing longer threat dwell times within their security ecosystem — 280 days on average1.

Shatter the Piecemeal Security ParadigmCisco believes a platform approach will help build fortified defenses to deal with the ever more devastating threat landscape.

assists in the identification of compromised assets and the application of network restrictions to control network traffic through central automation of distributed firewalls at the workload level.

Simplify Incident ResponseDespite …

IntroductionNetwork and security teams seem to have had a love-hate relationship with each other since the early days of IT.

Network teams tend to focus on building architectures that scale and provide universal connectivity, while security teams tend to focus more on limiting that connectivity to prevent unwanted access.

while security teams configure access controls (ACLs/Dot1x/Snooping/etc.).

For containers, this means the firewalls running on the worker nodes must secure traffic between containers (pods) within the node, as well as between nodes.

If you’re now interested, this is just the beginning of what can be achieved with Cisco Secure Workload.

How do you feel when you hear phrases like, “the pandemic”, “remote working”, “the new (or next) normal”?

Most of us are experiencing online fatigue as a result of working from home for months now.

Worse, we’re physically and mentally fatigued by the shift to the “always on” mode with remote working.

Simplify, simplify, simplify.

Recapture Your Time and Get More Out of Secure Remote WorkingThursday, January 14 at 3:00 p.m.

News summary Lokibot is one of the most well-known information stealers on the malware landscape. In this post, we’ll provide a technical breakdown of one of the latest Lokibot campaigns. Talos also has a new script to unpack the dropper’s third stage. The actors behind Lokibot usually have the ability to steal multiple types of […]

Companies operating with a Zero Trust mentality across their entire environment are more resilient, consistent, and responsive to new attacks—Solorigate is no different.

When we look at how attackers compromised identity environments with Solorigate, there were three major vectors: compromised user accounts, compromised vendor accounts, and compromised vendor software.

Not only is it easier to maintain (fewer moving parts for attackers to exploit), your Zero Trust policy should be informed by cloud intelligence.

For organizations—including Microsoft—thorough application of a Zero Trust security model provided meaningful protection against even this advanced attacker.

Configure for Zero Trus…

IT leaders everywhere turned to Zero Trust approaches to alleviate the challenges of enabling and securing remote work.

Using Zero Trust to secure users, data, and devices (wherever they may be) has changed from optional to a business imperative overnight.

Most IT leaders are already using Zero Trust practices with their identity management solutions.

However, surprisingly, the majority of IT leaders do not rate identities as the most mature component in their Zero Trust strategy.

Despite substantial growth in Zero Trust efforts over the past twelve months, only one in ten IT leaders report feeling very confident in their Zero Trust identity management roadmap.

Simplify compliance with Microsoft Compliance ManagerMicrosoft Compliance Manager is the end-to-end compliance management solution included in the Microsoft 365 compliance center.

It empowers organizations to simplify compliance, reduce risk, and meet global, industry, and regional compliance regulations and standards.

Compliance Manager helps customers prioritize work by associating a score with each action, which accrues to an overall compliance score.

The image below is an example of the Overall compliance score section of the Compliance Manager dashboard.

Figure 3: Compliance Score from Microsoft Compliance ManagerFor more information on Microsoft Compliance Manager, please visit the Mi…

This blog will cover:The recommendations on this blog are based on our current analysis of the Solorigate attack.

Deploying Azure Defender for Servers enables Defender for Endpoint for your virtual machines to provide comprehensive detection coverage across the Solorigate attack chain.

Enable additional infrastructure protection and monitoringTo help provide additional in-depth defenses against Solorigate, Azure Defender recently introduced new protection modules for Azure resources.

Enabling these protections can improve your visibility into malicious activities and increase the number of Azure resources protected by Azure Defender.

Unsecure account attributes security assessment in the Mi…

Howdy folks,The past year has shown us all just how critical frontline workers are to our communities and our economy.

Yet because of high scale, rapid turnover, and fragmented processes, frontline workers often lack the tools to make their demanding jobs a little easier.

We believe identity is at the center of digital transformation and the key to democratizing technology for the entire frontline workforce including managers, frontline workers, operations, and IT.

This week at the National Retail Federation (NRF) tradeshow, we announced several new features for frontline workers.

This makes signing in for frontline workers simple and secure, delivering quick access to the apps they need mo…

To combat these kinds of attacks, Microsoft developed virtualization-based security (VBS) and Hypervisor-protected code integrity (HVCI, also commonly referred to as memory integrity).

The Surface Pro 7+ for Business joins existing recently shipped devices like the Surface Book 3, Surface Laptop Go, and the Surface Pro X in enabling VBS and HVCI by default.

Today, the Surface Pro 7 + for Business, Surface Book 3, Surface Laptop Go, and Surface Pro X already ship with VBS and HVCI enabled by default.

Most recent Surface devices and Windows PCs from many other OEMs that have virtualization support are also capable of using these features.

Customers can turn on the Memory integrity feature in …

Using Microsoft 365 Advanced Audit and Advanced eDiscovery to better understand the scope of the breach can minimize the burden on customers as well as the financial and reputational cost to the organization.

A changing privacy landscapeIn 2005 ChoicePoint, a Georgia-based financial data aggregator had a data breach of 145,000 of its customers.

Use Microsoft 365 Advanced Audit and Advanced eDiscovery to investigate compromised accountsThe Microsoft 365 Advanced Audit solution makes a range of data available that is focused on what will be useful to respond to crucial events and forensic investigations.

The MailItemsAccessed audit data item will indicate if a mailbox item has been accessed b…

A huge majority of people who get into cybersecurity these days want to be red team.

If you don’t have a solid blue team and have holes today in your defenses, you shouldn’t have a red team.

When people say, “We need our own internal red team,” my question is, “Have you had an external red team come in and do a red team evaluation?

Let’s make sure that you’ve got a blue team that is functioning today and ready to roll forward with the recommendations from the red team.

If I still have a lot of blue team gaps, investing in red team would be throwing more gaps at blue team, which causes huge morale issues.

By combining the power of Azure AD with Forcepoint security solutions, organizations can scale a risk-adaptive approach to identity and access management and cloud application access without changing their existing infrastructure.

Forcepoint risk scores are designed to continuously calculate the level of risk associated with individual behavior in the past, present, and future.

Forcepoint + Azure Active Directory = Better togetherForcepoint has partnered with the Azure Active Directory team on a series of integrations designed to provide remote workers secure access to their cloud and legacy on-premise applications.

Forcepoint provides secure access solutions without compromising employee p…

This blog covers:Tracking the cross-domain Solorigate attack from endpoint to the cloudThe Solorigate attack is an example of a modern cross-domain compromise.

Threat analytics report on Solorigate attackWe recommend Microsoft 365 Defender customers to start their investigations here.

All alerts in Microsoft 365 Defender provided by different Microsoft 365 products are correlated into incidents.

Customers who do not have Microsoft Defender for Endpoint or are not early adopters for Microsoft 365 Defender can see our recommended advanced hunting queries.

In addition to watching for alerts, security analysts can hunt across identity data in Microsoft 365 Defender for signs of identity comprom…

Make sure to follow best practices for securing this tenant, especially administrative accounts and rights by default.

Review Administrative rights in your environments Review privileged access in the cloud and remove any unnecessary permissions.

Implement Privileged Identity Management (PIM); setup Conditional Access policies to limit administrative access during hardening.

Implement Privileged Identity Management (PIM) and conditional access to limit administrative access.

Restrict administrative access to limited users and from limited IP address ranges by leveraging Windows Firewall policies for Remote Desktop.

Microsoft Defender for Endpoint product and hardening guidanceSupply chain compromise continues to be a growing concern in the security industry.

Analysts can then use investigation and remediation tools in Microsoft Defender Endpoint to perform deep investigation and additional hunting.

Microsoft Defender for Endpoint detections across the Solorigate attack chainSeveral Microsoft Defender for Endpoint capabilities are relevant to the Solorigate attack:Next generation protectionMicrosoft Defender Antivirus, the default antimalware solution on Windows 10, detects and blocks the malicious DLL and its behaviors.

Microsoft Defender for Endpoint detections of suspicious LDAP query being launched…

Because its scope goes beyond security, insider risk management necessitates diverse perspectives and thus inherently requires collaboration among key stakeholders in the organization.

At Microsoft, our insider risk management strategy was built on insights from legal, privacy, and HR teams, as well as security experts and data scientists, who use AI and machine learning to sift through massive amounts of signals to identify possible insider risks.

This research partnership with Carnegie Mellon University experiments with innovative ways to identify indicators of insider risk.

Microsoft will continue investing in partnerships like Carnegie Mellon University to learn from experts and deliver…

Do you wish there was a quick approach for security configurations in Azure Active Directory (Azure AD) and Office 365?

“This blog post will provide an overview of Microsoft Secure Score and security defaults—two features that are easy to utilize and can significantly improve your security in Azure AD and Office 365 configurations.”What is Microsoft Secure Score?

Figure 1: Microsoft Secure Score screen imageHow does Secure Score help organizations?

It would be best if you used security defaults in the following cases:If you want to increase the overall security posture and don’t know how or where to start, security defaults are for you.

Bumps in the roadMicrosoft Secure Score and security d…

atheris.Setup(sys.argv, TestOneInput)atheris.Fuzz()Atheris is a native Python extension, and uses libFuzzer to provide its code coverage and input generation capabilities.

Python Code CoverageAtheris is a native Python extension, and is typically compiled with libFuzzer linked in.

When you initialize Atheris, it registers a tracer with CPython to collect information about Python code flow.

Then, whenever a new Python line is reached, Atheris allocates a PC and 8-bit counter to that line; Atheris will always report that line the same way from then on.

For integer comparison, Atheris uses the appropriate function to report integer comparisons, such as __sanitizer_cov_trace_cmp8.

Starting today, the Chrome Vulnerability Rewards Program is offering a new bonus for reports which demonstrate exploitability in V8, Chrome’s JavaScript engine.

but we'd like to know more about the exploitability of different V8 bug classes, and what mechanisms are effective to go from an initial bug to a full exploit.

In the past, exploits had to be fully functional to be rewarded at our highest tier, high-quality report with functional exploit.

Any V8 bug report which would have previously been rewarded at the high-quality report with functional exploit level will likely qualify with no additional effort from the reporter.

V8 reports at the high-quality level may also qualify if they incl…

Crucially, this growth has been both in the design verification collateral required for high volume production-quality silicon, as well as the digital design itself, a first for any open source silicon project.

Innovating for Open Silicon DevelopmentBesides writing code, we have made significant advances in developing processes and security framework for high quality, secure open source silicon development.

On the strength of the OpenTitan open source project’s engineering progress, we are excited to announce today that Nuvoton and Google are collaborating on the first discrete OpenTitan silicon product.

We look forward to sharing more on the industry’s first open source root of trust silic…

Over the years, developers increasingly have relied on reusable open source components for their applications.

It is paramount that these open source components are secure and reliable.

With OSS-Fuzz , Google provides a platform for fuzzing open source software.

One of this year’s intern projects ported internal fuzz targets to OSS-Fuzz, which led to the discovery of new bugs.

But our dedication to security was still front and center as our intern team worked on improvements in open source software

Increasingly, security issues discovered in modern web applications hinge upon the misuse of long-standing web platform behaviors, allowing unsavory sites to reveal information about the user or their data in other web applications.

To improve the state of web security, we're inviting the security community to work with us on expanding the XS-Leaks wiki with information about new offensive and defensive techniques.

DefensesAn important goal of the wiki is to help web developers understand the defense mechanisms offered by web browsers that can comprehensively protect their web applications from various kinds of cross-site leaks.

The Security Team at Google has benefited from over a decade o…

Security keys and your phone’s built-in security keys are reshaping the way users authenticate online.

So, today we are releasing a new open source security key test suiteThe protocol powering security keysUnder the hood, roaming security keys are powered by the FIDO Alliance CTAP protocols , the part of FIDO2 that ensures a seamless integration between your browser and security key.

Over the last two years, our test suite grew to include over 80 tests that cover all the CTAP2 features.

Back in March 2020, we demonstrated our test suite to the FIDO Alliance members and offered to extend testing to all FIDO2 keys.

We got an overwhelmingly positive response from the members and have been work…

Presenting a Driving License is simple, right?

Mobile Driving License ISO StandardThe ISO 18013-5 “Mobile driving licence (mDL) application” standard has been written by a diverse group of people representing driving license issuers (e.g.

This ISO standard allows for construction of Mobile Driving License (mDL) applications which users can carry in their phone and can use instead of the plastic card.

Instead of handing over your plastic card, you open the mDL application on your phone and press a button to share your mDL.

Compared to the plastic card, this is a huge improvement; a plastic card shows all your data even if the verifier doesn’t need it.

Open source software is the foundation of many modern software products.

It is paramount that these open source components are secure and reliable, as weaknesses impact those that build upon it.

Google cares deeply about the security of the open source ecosystem and recently launched the Open Source Security Foundation with other industry partners.

syzkaller, a kernel fuzzing tool from Google, has been instrumental in finding kernel vulnerabilities in various operating systems.

Given the overall success of these efforts, we plan to continue hosting fuzzing internships every year to help secure the open source ecosystem and teach incoming open source contributors about the importance of fuzz…

In Android 11, Gboard also launched the contextual input suggestion experience by integrating on-device smarts into the user's daily communication in a privacy-preserving way.

In Android 11, Gboard launched a consistent and coordinated approach to access contextual input suggestions.

The smart input suggestions are rendered with a transparent layer on top of Gboard’s suggestion strip.

Gboard strives to build privacy-preserving effortless input products for users to freely express their thoughts in 900+ languages while safeguarding user data.

We will keep pushing the state of the art in smart input technologies on Android while safeguarding user data.

To check whether you have any compromised passwords, Chrome sends a copy of your usernames and passwords to Google using a special form of encryption.

Additionally, Chrome Password Manager allows you to autofill saved passwords into iOS apps or browsers if you enable Chrome autofill in Settings.

Earlier this year, Chrome began securing and blocking what’s known as “mixed content”, when secure pages incorporate insecure content.

Additionally, Chrome 86 will block or warn on some insecure downloads initiated by secure pages.

Currently, this change affects commonly abused file types, but eventually secure pages will only be able to initiate secure downloads of any type.

Posted by Kylie McRoberts, Program Manager and Alec Guertin, Security EngineerGoogle’s Android Security & Privacy team has launched the Android Partner Vulnerability Initiative (APVI) to manage security issues specific to Android OEMs.

As part of that effort, we have a range of existing programs to enable security researchers to report security issues they have found.

For example, you can report vulnerabilities in Android code via the Android Security Rewards Program (ASR), and vulnerabilities in popular third-party Android apps through the Google Play Security Rewards Program.

Google releases ASR reports in Android Open Source Project (AOSP) based code through the Android Security Bulletin…

This blog post outlines recent improvements around how users interact with the lockscreen on Android devices and more generally with authentication.

Secondary Tier - Biometrics: The second tier consists primarily of biometrics, or something the user is.

These constraints reflect the length of time before a biometric falls back to primary authentication, and the allowed application integration.

You can see a summary of the details in the table below, or the full details in the Android Android Compatibility Definition Document (CDD).

Improvements to BiometricPromptAndroid 10 introduced the BiometricManager class that developers can use to query the availability of biometric authentication and…

Google’s Advanced Protection Program helps secure people at higher risk of targeted online attacks, like journalists, political organizations, and activists, with a set of constantly evolving safeguards that reflect today’s threat landscape.

As a first step, today Chrome is expanding its download scanning options for users of Advanced Protection.

Advanced Protection users are already well-protected from phishing.

In August 2019, Chrome began warning Advanced Protection users when a downloaded file may be malicious.

If you’re a user at high-risk of attack, visitg.co/advancedprotectionto enroll in the Advanced Protection Program.

To take it one step further, and as of today, we are announcing increased reward amounts for reports focusing on potential attacks in the product abuse space.

The nature of product abuse is constantly changing.

Identification of new product abuse risks remains the primary goal of the program.

The final reward amount for a given abuse risk report also remains at the discretion of the reward panel.

We plan to expand the scope of We plan to expand the scope of Vulnerability Research Grants to support research preventing abuse risks.