Власти Москвы планируют расширить систему применения QR-кодовAlexander AntipovЕжедневный показатель количества "чек-инов" составил от 40 до 60 тысяч на прошедшей неделе.

«На сегодняшний момент мы считаем, что эта система работает, и работает достаточно чётко», рассказал глава столичного департамента торговли и услуг Москвы Алексей Немерюк.

По его словам, к настоящему моменту порядка полутора тысяч заведений города получили коды, в том числе те, для которых ни не являются обязательными.

Он напомнил, что систему регистрации посетителей со временем могут распространить и на другие заведения, если эксперимент с ночными клубами и барами окажется удачным.

Посетители и сотрудники должны регистриро…

В Сети обнаружено более 100 незащищенных ирригационных системAlexander AntipovКомпании установили системы ICC PRO без изменения заводских настроек, которые не содержат пароль для встроенной учетной записи.

Более 100 «умных» ирригационных систем оказались не защищены паролем, что позволяет любому пользователю получить доступ и внести изменения в работу программ полива сельскохозяйственных культур, лесных плантаций, городов и строительных комплексов.

Все системы используют «умное» программное обеспечение Irrigation Control Center Pro (ICC PRO), разработанное компанией Motorola для использования в сельском хозяйстве и управления ландшафтом.

По словам экспертов, компании и городские власти уста…

HackerU Defensive CTF — защити свою ИТ-крепость от атак извнеAlexander Antipov30 октября мы запускаем новый Capture The Flag (CTF) — HackerU Defensive CTF, участникам которого нужно будет разобраться с тем, что произошло в их сети.

Расследовать несколько инцидентов и обнаружить следы злоумышленника в отдельных системах ИТ-инфраструктуры необходимо будет за 48 часов.Лучшие же 10 участников смогут использовать сертификат с 20% скидкой, поступив на наши профессиональные курсы.

Главный приз — годовая подписка на материалы « Xakep.ru »???

?Мы ждём как новичков в активном поиске знаний, так и специалистов, желающих протестировать свои боевые навыки!

Любые вопросы вы можете задать в чате канала Ha…

Facebook возглавила рейтинг компаний, собирающих максимум данных о пользователяхAlexander AntipovСпециалисты компании Clario рассказали, какие данные собирают о пользователях те или иные компании.

Некоторым приложениям также нужны данные о работе, в том числе о зарплате и прошлых местах работы.

Больше всего данных о пользователях собирает компания Facebook и ее «дочка» Instagram.

Instagram собирает 58,82% данных, и в отличие от Facebook ее не интересуют данные о расе, семейном положении и сексуальной ориентации.

Их не интересует столько подробностей о пользователях, как Facebook, зато им нужно знать их рост и подробности о банковских счетах.

Китай намерен избавиться от информационного хаоса в своих мобильных браузерахAlexander AntipovМасштабная проверка будет сосредоточена на браузерах от Huawei, Alibaba Group, Xiaomi Corp, Qihoo 360, Oppo и Sogou.

Управление по вопросам киберпространства КНР объявил о намерениях провести «исправление» китайских мобильных интернет-браузеров с целью разрешить социальные опасения по поводу «информационного хаоса» в интернете.

«В течение некоторого времени мобильные браузеры развивались нецивилизованным образом... и стали местом сбора и усилителем для распространения хаоса с помощью медиа, которые создают сами пользователи», — сообщили в ведомстве.

После «исправления» мобильные браузеры с нерешенн…

Microsoft временно ограничила доступность Windows 10 20H2Alexander AntipovВ настоящее время Microsoft известно о двух проблемах с Windows 10 20H2.

Компания Microsoft временно ограничила доступность новой версии своей ОС, Windows 10 20H2, с целью обеспечения пользователям гладкой и бесперебойной загрузки и обновления ОС.

Согласно данным панели мониторинга работоспособности Windows 10 Health Dashboard, в ближайшие несколько недель Microsoft будет снижать доступность Windows 10 20H2 ради обеспечения надежной загрузки обновления.

В настоящее время Microsoft известно о двух проблемах с Windows 10 20H2, связанных с аудиодрайверами Conexant и Synaptics или Conexant ISST.

Проблемы затрагивают устро…

Защищенность бизнеса и востребованность киберучений: опрос Positive TechnologiesAlexander AntipovМы часто слышим о том, что мир стоит на пороге технологической революции, которая изменит нашу жизнь к лучшему.

Мы часто слышим о том, что мир стоит на пороге технологической революции, которая изменит нашу жизнь к лучшему.

Речь идет о киберучениях – проведении контролируемых атак с целью проверки и улучшения навыков служб ИБ по обнаружению киберугроз и реагированию на них.

Positive Technologies проводит опрос среди российских специалистов по информационной безопасности, чтобы выяснить, насколько востребованы российским бизнесом киберучения.

Все данные будут использованы в обезличенном виде, а и…

Нейросети помогут пользователям выбирать более надежные паролиAlexander AntipovПароль с 12 символами одного класса может быть надежнее шестнадцадизначных паролей с использованием символов и цифр.

Используя модель нейронной сети исследователи провели анализ ряда различных рекомендаций по созданию паролей, от восьмизначных с использованием одного класса (букв, например) до шестнадцадизначных паролей с использованием четырех классов (строчных букв, прописных букв, цифр и символов).

Как показали результаты исследования, использование всего лишь 12 символов одного класса и соблюдение рекомендаций нейронной сети позволило создать трудные для взлома пароли, которых должно хватить для большинства с…

Предварительный просмотр ссылок в мессенджерах может привести к утечке данныхAlexander AntipovПриложения могут нарушать конфиденциальность своих пользователей, отправляя ссылки на свои серверы для предварительного просмотра.

Они могут привести к раскрытию IP-адресов пользователя, раскрытию отправленных через зашифрованные чаты ссылок, и даже незаметной загрузке гигабайтов данных в фоновом режиме.

Предварительный просмотр ссылок является обычной функцией в большинстве приложений для общения, что позволяет осуществлять предварительный просмотр и демонстрировать краткое описание общей ссылки.

Хотя такие приложения, как Signal и Wire, дают пользователям возможность включать или выключать предва…

Google работает над исправлением уязвимости в DRM-технологии WidevineAlexander AntipovPoC-эксплоит для уязвимости в виде расширения для Google Chrome на Microsoft Windows доступен на Github.

Во второй раз за много лет Google работает над исправлением уязвимости в своей технологии управления цифровыми правами (digital rights management, DRM) Widevine, использующейся компаниями Disney, Hulu и Netflix для защиты своего контента от пиратства.

В январе 2019 года исследователь безопасности Дэвид Бьюкенен (David Buchanan) сообщил в Twitter об обнаруженной им уязвимости в L3, но не стал публиковать PoC-эксплоит до того, как Google ее исправит.

Компании, транслирующие видео в режиме online с помощью…

Palo Alto Networks угрожает судом за публикацию сравнений ее продуктов с другимиAlexander AntipovСогласно пользовательскому соглашению Palo Alto Networks, пользователи не имеют права публиковать обзоры и сравнения ее продуктов.

Palo Alto Networks пригрозила судом разработчику облачных решений Orca Security за публикацию видеоролика, где сравниваются продукты обеих компаний.

В ответ на публикацию видео юридический отдел Palo Alto Networks в начале сентября направил Orca Security письмо-предупреждение о возможных санкциях.

Palo Alto Networks попросила Orca Security удалить контент и прекратить распространять его и демонстрировать клиентам.

«В своем письме Palo Alto Networks не приводит никаки…

Добавление произвольных файлов на сервер при помощи загрузчика плагинов в WordPressAlexander AntipovПлагины, загружаемые в WordPress через административную панель, не проверяются на предмет соответствия ZIP-архивам, что позволяет добавлять на сервер php-скрипты, картинки и другие типы файлов.

Автор: Иша ГуптаВведениеПлагины, загружаемые в WordPress через административную панель, не проверяются на предмет соответствия ZIP-архивам, что позволяет добавлять на сервер php-скрипты, картинки и другие типы файлов.

Заходим по адресу 127.0.0.1/phpmyadmin, создаем базу данных и в таблице wp_options меняем значения некоторых параметров с 127.0.0.1 на 192.168.86.13x (IP-адрес ОС Windows).

Вносим изменен…

Вымогатель LockBit нарушил работу крупнейшего индийского информагенстваAlexander AntipovСерверы информационного агентства Press Trust of India были отключены почти 11 часов.

Компьютерные системы крупнейшего индийского информационного агентства Press Trust of India (PTI) подверглись масштабной атаке с использованием программ-вымогателей, которая нарушила работу серверов на несколько часов.

По словам представителя компании, IT-инженеры PTI работали над поэтапным восстановлением систем 11 часов, и никакого выкупа уплачено не было.

Программы-вымогатели остаются одной из основных проблем, особенно с учетом того, что подобные группировки все чаще демонстрируют высокий уровень навыков и изощреннос…

Эксперты вычислили автора популярных эксплоитов по почеркуAlexander AntipovВ общей сложности специалисты выявили пять эксплоитов авторства PlayBit, имеющие общие черты.

Однако, поскольку эксплоиты используются во многих семействах вредоносного ПО, вся «слава» достается создателям вредоносных программ, а разработчики эксплоитов остаются в тени.

Исследователи разработали методологию и техники отслеживания разработчиков по «почерку», то есть, по оставляемым ими цифровым отпечаткам (так называемый фингерпринтинг).

С ее помощью им уже удалось найти связь между 16 эксплоитами и их разработчиками, известными как Volodya (он же BuggiCorp) и PlayBit (он же luxor2008).

К примеру, как и Volodya, PlayB…

Хакер из Брянского села осужден на 1,5 года за создание вредоносной программыAlexander AntipovМужчина создал хакерскую программу в "целях саморазвития", а в итоге стал фигурантом уголовного дела.

Жителя села Усох, что в Трубчевском районе Брянской области, осудили за создание нелегального программного обеспеченияВ прокуратуре рассказали, что злоумышленник создал программное обеспечение якобы для саморазвития и самообразования, но правоохранительных смогли установить, что это компьютерное ПО было создано для того, чтобы тайно копировать нужную информацию.

– Суд приговорил виновного к 1 году 6 месяцам лишения свободы условно, – говорят в надзорном ведомстве.

Приговор по не вступил в законную …

ВведениеМы регулярно проводим аудиты ИБ в различных компаниях: помогаем клиентам оценивать их уровень защищённости, закрывать регуляторные требования, планировать развитие ИБ и обосновывать штат ИБ-специалистов.

Как и с кем взаимодействует ИБ?

Визуализация проведения аудита ИБ в нотации IDEF0Когда использовать процессное моделированиеПо нашему опыту, есть три основных сценария, когда стоит использовать процессное моделирование.

Она требуется, когда ИБ выстроена, но присутствуют системные или повторяющиеся проблемы и нужно понять, где они возникают и как их устранить.

Эти стандарты помогают выстроить управление ИБ «сверху вниз», учитывают современные тенденции ИБ и ландшафт угроз и позволяют…

ВведениеИзначально сети Wi-Fi в компаниях играли роль средства удобного доступа к интернету в холлах или конференц-залах.

К современным беспроводным сетям предъявляются те же самые требования по безопасности, что и к проводным.

Безусловно, учитывая то, что в IT сейчас трендом и требованием бизнеса является автоматизация рутинных (и не только) задач, невозможно представить беспроводную сеть без централизованного управления и мониторинга.

Комплексный подход позволяет IT-специалистам видеть каждую точку доступа в отдельности и общую картину целиком, а также в дистанционном режиме определять и устранять неисправности в сети.

Современные технологии требуют интеграции различных систем друг с друг…

Как обычно, по ходу дискуссии мы задали зрителям конференции несколько вопросов, чтобы узнать, как они используют UTM / NGFW и какие функциональные возможности таких решений наиболее востребованны.

Более трети опрошенных — 34,25 % — признались, что не используют режим предотвращения кибератак в UTM / NGFW.

Что важно заказчику при выборе UTM / NGFW?

Можно ли перенести UTM / NGFW в облако?

Готовы ли вы использовать UTM / NGFW по сервисной модели из облака?

При выборе сервисной модели заказчик должен оплатить только ежегодную подписку — в данном случае она составляет 2 млн рублей в год.

Расходы:• подписка на сервис — 2 млн рублей в год;• суммарно в периоде 7 лет — 14 млн рублей.

рублей в год).

рублей для организации ГОСТ VPN c минимальным классом защиты в первый год, техподдержка в размере 40 тыс.

рублей — в первый год для организации ГОСТ VPN c высоким классом защиты, а также ежегодная техподдержка вендора в размере 100 тыс.

Сравним Kaspersky EDR и «Kaspersky EDR для бизнеса Оптимальный», чтобы помочь разобраться, какой продукт выбрать при построении системы защиты информации.

Позиции Kaspersky EDR и «Kaspersky EDR для бизнеса Оптимальный» в комплексах продуктов «Лаборатории Касперского»Основные различия Kaspersky EDR и «Kaspersky EDR для бизнеса Оптимальный»АрхитектураКритерий Kaspersky EDR Kaspersky EDR для бизнеса Оптимальный Лёгкое начало работы для компаний, использующих «Kaspersky Endpoint Security для бизнеса» Нет.

Требования к конечным станциям эквивалентны требованиям KESB Да ДаЛицензирование и сертификацияКритерий Kaspersky EDR Kaspersky EDR для бизнеса Оптимальный Для запуска требуется лицензия на KE…

«Антифишинг» — система, которая содержит электронные курсы и тесты, а также сценарии и шаблоны имитированных атак для непрерывного обучения, повышения осведомлённости, тренировки навыков сотрудников.

Помимо этого в системе «Антифишинг» реализованы возможности по созданию различных отчётов и выгрузке журналов по широкому спектру действий и событий.

Общее количество проведённых атак с информацией о том, сколько сотрудников прошли атаку и с каким результатом.

Пример отчёта по обучению в «Антифишинге»Отчёт по обучению содержит полную статистику по курсам и сотрудникам, которые их проходят:Статусы по курсу: «прошёл» / «не прошёл» / «отменено».

Выводы«Антифишинг» версии 2.4.2 предлагает вполне пр…

Очевидно, что интеграция BAS с другими системами, используемыми в SOC, позволит значительно повысить эффективность работы центра.

Интеграция BAS и SIEMИнтеграция BAS-систем с SIEM-системами позволяет оценить эффективность работы последних и показывает, насколько успешно они способны распознавать информацию о потенциальных киберинцидентах.

Интеграция BAS и SOARТак же, как и в случае с SIEM, BAS-система способна повысить эффективность работы продуктов класса SOAR.

Интеграция BAS и GRCСистемы управления рисками и соответствием требованиям (GRC), как правило, используются крупными компаниями и государственными учреждениями, чья деятельность подпадает под действие множества регламентирующих акто…

Во-вторых, дополнительный фактор для аутентификации можно выбирать из многих вариантов, включая такой необычный, как мессенджер Telegram.

Решения, основанные на таком методе, называются системами двухфакторной аутентификации (two-factor authentication, 2FA) или многофакторной аутентификации (multi-factor authentication, MFA).

Подтверждение доступа в Multifactor через TelegramПосле выполнения этого действия будет загружена консоль администрирования.

Таким образом, для осуществления аутентификации в Multifactor применяется JW-токен (JSON Web Token) — стандарт создания метки доступа для обмена аутентификационной информацией между двумя сторонами.

Журналирование событий в системе MultifactorПро…

Система SafeCopy предназначена для защиты компаний от рисков, связанных с несанкционированным распространением печатных и электронных копий документов.

Одной из практических реализаций такого подхода является система для защиты печатных и электронных копий документов SafeCopy, разработанная НИИ СОКБ.

Дополнительно при интеграции системы SafeCopy с другими решениями может потребоваться установка вспомогательных модулей.

Создание группы получателей в SafeCopyСистема SafeCopy позволяет администратору создать новую группу получателей защищённых копий документов в любом домене.

Маркированные копии документов в SafeCopyПользователь системы, имеющий доступ к списку всех копий документов домена, мо…

Продвижение достижений в сфере защиты происходит на профильных конференциях и путём написания стандартов и общих практик, которых должны придерживаться все участники.

Из данных достижений возникают технологии, которые сами по себе весьма сложны и неполноценны, но энтузиасты отрасли «толкают» их на поверхность и стараются адаптировать их к реалиям бизнеса.

В нём компания отражает своё видение роста популярности тех или иных средств защиты приложений в целом и веб-приложений в частности.

Современный веб, как и тогда, строится на основе протокола HTTP и ряда языков разметки / программирования, таких как HTML, JavaScript и PHP.

Но это продолжалось недолго, и в версию протокола HTTP/1.0 добавили…

Многие компании в процессе развития ИБ-систем приходят к необходимости создания центра мониторинга и реагирования на инциденты в области информационной безопасности (Security Operations Center, SOC).

ВведениеДля многих компаний центр мониторинга и реагирования на инциденты (SOC) является ключевой точкой обработки и хранения данных от средств информационной защиты, инфраструктурных элементов сети и прикладных систем.

Решить эти вопросы можно собственными силами, построив SOC внутри компании, или с использованием облачных сервисов.

При этом организация может передать необходимую часть функциональности или даже всю работу по строительству и обслуживанию SOC квалифицированным специалистам.

Выво…

Чтобы победить в нём, необходимо тщательно выбирать и технологии защиты, и способы их применения, и внешних поставщиков услуг anti-DDoS; при этом нужно учесть множество особенностей защищаемого ресурса и быть готовым к новому витку схватки со злоумышленником.

Защищаемость от DDoS-атак можно и нужно закладывать в решение ещё на стадии проектирования его архитектуры: хорошее проектирование позволит повысить доступность и снизить расходы на защиту от атак.

Классификация по типу решенияНа самом высоком уровне комплексы для защиты от DDoS-атак можно классифицировать следующим образом:1.

Исходя из этого, решения для защиты от DDoS-атак можно разделить на три категории:Обеспечивающие защиту от пак…

Кроме того, SafePhone на уровне политик позволяет разрешить или запретить установку приложений из магазинов App Store и Google Play.

С помощью SafePhone возможен геомониторинг в режиме реального времени с заданной администратором частотой опроса местоположения мобильных устройств.

Чтобы начать работать с SafePhone, необходимо набрать в интернет-браузере URL сервера SafePhone.

Создание сотрудника в SafePhoneКомплекты являются основными объектами учёта в SafePhone.

Раздел «Геозоны» в SafePhoneРегистрация устройств в SafePhoneSafePhone предоставляет возможность самостоятельной регистрации пользователей мобильных устройств при помощи кодов приглашений.

О защите от таких атак с помощью решений Anti-APT говорили на круглом столе «ANTI-APT ONLINE», который организовала компания «Инфосистемы Джет».

ВведениеПредставители ведущих отечественных вендоров поделились сценариями применения решений Anti-APT и дали прогнозы по дальнейшему развитию отрасли.

Anti-APT находит что-то подозрительное, но именно человек должен решить, что это такое и что с этим делать.

Поэтому в случае с удалённой работой подход Anti-APT граничит с интеграционным консалтингом: правильно настроенные права доступа, правильно настроенная «двухфакторка».

Вскоре рынок, не только российский, но и международный, будет насыщен хорошими продуктами, и цены станут приемлемыми для заказ…

Здесь мы перечислим некоторые расширения, ориентированные на безопасность и приватность работы. Большинство из них работают в Chrome, это сейчас самый популярный браузер с долей около 40% в России, но многие из расширений выпускаются также под Firefox. В целом набор полезных расширений можно разбить на пять категорий: Блокировка рекламы Скрытие и подделка информации (IP, геолокация, user agent) Очистка данных в браузере Настройки приватности Защита от зловредов и майнинговых скриптов Ряд браузеров основаны на движке Chromium, его расширения совместимы с Brave, Opera и Vivaldi. Читать дальше →

Zabbix 5.2 выпущен с поддержкой IoT и комплексного синтетического мониторинга.

27 октября 2020 года Читать дальше →

Время от времени нам приходится писать статьи о проверке очередной версии какого-то компилятора. Это неинтересно. Однако, как показывает практика, если этого долго не делать, люди начинают сомневаться, достоин ли анализатор PVS-Studio звания хорошего ловца багов и потенциальных уязвимостей. Возможно, новый компилятор уже умеет это делать? Да, компиляторы не стоят на месте. Однако развивается и PVS-Studio, вновь и вновь демонстрируя возможности находить ошибки даже в коде таких высококачественных проектов, как компиляторы. Читать дальше →

DevOps появился из-за культурных, функциональных и технических разногласий между командами разработчиков, желающими часто выпускать свой продукт, и командами эксплуатации, желающими сохранить надежность и стабильность. Культура DevOps затрагивает как сотрудничество, принципы мышления, так и методы достижения этих целей, включая методы DevOps — непрерывную интеграцию и доставку (CI/CD), инфраструктуру как код (IaC), AIOps, использующий машинное обучение для мониторинга приложений.

По мере роста числа людей и компаний, принявших DevOps, стало ясно, что понятие «DevOps» не может полностью описать полное состояние движения, его принципы и цели. Я чуть ранее называл все это словом DevQaOps, и ре…

Acronis Global Cyber Summit 2020 официально закончился! Это была наша первая гибридная виртуальная конференция, в которой приняло участие более 9500 человек. Мы обсудили отраслевой опыт и оценки аналитиков, говорили о защите и построении ИТ-бизнеса. Часть мероприятия была посвящена таким вопросам как построение женской карьеры в технических компаниях и работа с ИТ-журналистами. Кроме этого для участников были подготовлен интересный развлекательный контент, спортивные и детские виртуальные зоны. Сегодня мы подводим итоги, рассказываем о самых интересных моментах и выступлениях. Под катом — дайджест ивента, мнения ведущих спикеров и ссылки на интересные видео. Читать далее

В июле 2020 года мы выпустили исследование целевых атак на государственные учреждения Казахстана и Киргизии с подробным разбором вредоносных программ, найденных в скомпрометированных сетях. Список тогда получился настолько внушительный, что одни только IoC’и заняли несколько страниц текста. В процессе расследования этих инцидентов среди прочего ВПО мы изучили образцы мультимодульных бэкдоров PlugX, которые использовались для первичного заражения локальных сетей пострадавших организаций. Применение программ этого семейства свидетельствует о возможной причастности к атакам китайских APT-групп. Главный объект изучения сегодняшней статьи — бэкдор ShadowPad — попал в нашу вирусную лабораторию с …

Очная ставка NeoQUEST-2020 прошла под девизом «максимум безопасности»: гости в масках, постоянная дезинфекция, а также супер-актуальные доклады по кибербезопасности! Впечатляет, не правда ли? В статье расскажем о том, как прошел NeoQUEST-2020, кто выиграл в соревновании хакеров, а также о том, что привело гостей в полный восторг — выступление команды импровизации :) Читать дальше →

Необычная активность bing-ботов наблюдается со вчерашнего дня. И, казалось бы, в сканировании сайтов поисковыми системами (и даже bing'ом) нет ничего плохого, но только до тех пор, пока они соблюдают собственные правила идентификации.

В разборе дальше будет упомянут только 51.143.124.155, хотя в логах также мелькали 52.250.62.82,

52.250.19.204,

52.250.119.153,

но они ведут себя более культурно. Читать дальше →

Представляем еще одну библиотеку, написанную на Go – GoTransparencyReport предназначенную для автоматизации сбора и обработки SSL-сертификатов по API сайта transparencyreport.google.com (ранее мы уже размещали библиотеку для поиска данных о корпоративных email по домену). Суть GoTransparencyReport довольно проста: ввел домен — получил аккуратненькую JSON-табличку с сертификатами и остальными полями. Без нее пришлось бы вводить домен на сайте Google, ставить галочку на выборе субдоменов, просматривать кучу сведений, колонок и дополнительных данных, а потом неизвестно как перетаскивать их на свой источник — мы же упростили этот процесс. Ссылка на GitHub прилагается. Читать дальше →

Всем привет! Добро пожаловать на заключительный урок курса FortiAnalyzer Getting Started. Данный урок будет чисто теоретическим - в нем мы рассмотрим все моменты, которые связаны с сопровождением устройства, и по каким-то причинам не попали в прошлые уроки. Также мы рассмотрим схему лицензирования FortiAnalyzer. Под катом представлен материал данного урока в виде статьи, а также в форме видеоурока. Читать далее

Давайте начнем с одного простого и уже всем набившего оскомину тезиса: информационные технологии беспрестанно развиваются. Помимо очевидных преимуществ, которые влекут за собой подобные качественные изменения, существует и ряд вполне очевидных трудностей. Наиболее релевантным из них для нас, как ИБ-специалистов, является усложнение систем защиты информации.

Если когда-то давно можно было обойтись простым разграничением доступа и шифрованием конфиденциальной информации, то сейчас так сразу и не разберешься, что именно использовать. К некоторым аббревиатурам (вроде IPS, DLP и WAF) уже многие привыкли. Однако копнешь чуть глубже – откроется невиданный мир многофункциональных систем защиты и ма…

Поддержать проект вниманием: https://basement.redbull.com/cs-cz/projects/3359Как решить проблему личной кибер-безопасности в условиях городской среды?Мы пришли к выводу, что решение проблемы лежит в симбиозе между модой и технологиями. Мы начали работу над коллекцией одежды "Водомерка", которая будет рефлексировать на тему современной городской среды. Читать далее

Разработчики из NVIDIA залатали две серьезные уязвимости в утилите GeForce Experience. Эта программа устанавливается вместе с драйверами для видеокарт, отвечает за автоматическое обновление ПО и другие функции. В версиях GeForce Experience до 3.20.5.70 нашлась серьезная проблема, в теории позволяющая получить полный контроль над системой. При установке сервисного ПО на компьютере пользователя поднимается веб-сервер на базе NodeJS, отвечающий за связь с инфраструктурой производителя. Он автоматически подгружает необходимые библиотеки. В одном случае расположение этого компонента находится под контролем потенциального атакующего, и тот может подменить его на вредоносный код. Уязвимость CVE-20…

Топ-10 лучших дистрибутивов Linux для этичного взлома и пентеста в 2020 году

В зависимости от задач этичный хакинг требует использования большого арсенала хакерских инструментов. Самостоятельный поиск – длительный и трудоемкий процесс, который по душе не каждому. Благо, что существуют уже готовые дистрибутивы со всем необходимым инструментарием для: Этичного взлома.

Пентестов.

Других операций в сфере кибербезопасности. Читать дальше →

30 октября 2020 (в 19:00 по московскому времени) стартует новый Capture The Flag (CTF) — HackerU Defensive CTF, участникам которого предстоит разобраться с тем, что произошло в их сети.

То есть HackerU Defensive CTF продлится 48 часов и завершится 1 ноября 2020 года, в 19:00 по московскому времени.

Турнир будет состоять из отдельных задач, которые будут ждать участников в момент старта состязания.

Все объявления будут публиковаться в Telegram-канале HackerU CTF Channel.

Любые возникающие вопросы можно задать в чате CTF — HackerU CTF Chat.

Исследователи из компании Imperva выяснили (1, 2), что ботнет KashmirBlack, активный с конца 2019 года, заразил сотни тысяч сайтов, работающих на базе популярных CMS, в том числе WordPress, Joomla, PrestaShop, Magneto, Drupal, vBulletin, osCommerce, OpenCart и Yeager.

Как правило, ботнет использует серверы зараженных ресурсов для добычи криптовалюты, перенаправляет легитимный трафик на спам-сайты, задействует взломанные сайты для атак на другие ресурсы и поддержания своей активности, а порой и вовсе устраивает дефейсы.

Специалисты пишут, что изначально KashmirBlack был небольшим ботнетом, однако за прошедшие месяцы он разросся и превратился угрозу, способную атаковать тысячи сайтов в день.

…

ПочитатьБезопасность экрана блокировки в Android 11Lockscreen and authentication improvements in Android 11 — статья раз­работ­чиков из коман­ды безопас­ности Android об изме­нении в работе механиз­мов аутен­тифика­ции по отпе­чат­кам паль­цев и сним­ку лица.

До Android 11 сис­тема аутен­тифика­ции Android работа­ла по сле­дующим пра­вилам:Па­роль или PIN-код — счи­тает­ся наибо­лее надеж­ным методом аутен­тифика­ции и поэто­му дает пол­ный кон­троль над устрой­ством без вся­ких огра­ниче­ний.

В Android 11 появи­лось понятие надеж­ности спо­соба биомет­ричес­кой аутен­тифика­ции.

Нап­ример, ненадеж­ный спо­соб аутен­тифика­ции нель­зя будет исполь­зовать для аутен­тифика­ции в сто­рон­них п…

Аналитик компании Avast Якуб Вавра (Jakub Vávra) рассказал о том, как ему с коллегами удалось обнаружить в официальном Google Play Store 21 вредоносное приложение, содержавшее рекламную малварь HiddenAds.

Вредонос представляет собой классическую рекламную малварь и специализируется на показе огромного количества навязчивой рекламы, открывает в мобильных браузерах жертв промо-страницы или страницы с большим количеством объявлений.

Очевидно, это работало, так как суммарно приложения были загружены около 8 000 000 раз.

Учитывая, что подобную рекламную малварь в целом и HiddenAds в частности обнаруживают в официальном магазине приложений нередко, Вавра в очередной раз призвал пользователей быть…

­Разработчики Microsoft продолжают постепенный отказ от поддержки браузера Internet Explorer, чья доля рынка уже давно не превышает 5%, в пользу нового Edge на движке Chromium.

Так, в компании сообщили, что скоро более 1000 сайтов более нельзя будет открыть в Internet Explorer: для них будет срабатывать автоматическое перенаправление в браузер Edge.

В результате со следующего месяца пользователи IE не смогут загружать сайты из вышеупомянутого списка: сайты будут автоматически открываться в новом окне Edge.

При желании принудительное перенаправление в другой браузер можно будет отключить или, по крайней мере, контролировать некоторые аспекты его поведения.

Также подчеркивается, что нововведе…

В конце прошлой недели правообладатели из Американской ассоциации звукозаписывающих компаний (RIAA) добились удаления с GitHub проекта youtube-dl.

Данная Python-библиотека применялась во многих инструментах и ​​сервисах для копирования контента с YouTube, имела более 72 000 звезд на GitHub и представляла собой один из наиболее популярных репозиториев на сайте.

В общей сложности по юридическому запросу RIAA с GitHub были изъяты 18 проектов и все это – репозитории, относившиеся к проекту youtube-dl.

В итоге RIAA, которая представляет интересы примерно 85% всей звукозаписывающей индустрии в США, потребовала, чтобы с GitHub немедленно удалили youtube-dl вместе со всеми форками.

— Parker Higgins…

По сути, любой софт для Mac теперь должен проходить автоматизированное сканирование в Apple, проверку на наличие вредоносных компонентов и проблем с подписанием кода.

Если проверки пройдены, приложение попадает в белый список, и Gatekeeper разрешает без проблем запускать и устанавливать его в системе.

К сожалению, как и в случае с Bouncer (автоматизированной системой защиты, которая сканирует приложения для Android перед их загрузкой в ​​Google Play Store), процесс нотаризации приложений Apple тоже работает неидеально.

Эксперт пишет, что Apple отозвала сертификат разработчика этих вредоносов раньше, чем специалисты Intego успели закончить свое расследование.

Неясно, как в Apple обнаружили э…

А в 2018 году в FireEye пришли к выводу, что московский ЦНИИХМ имеет какое-то отношение к этим атакам.

Заявление Министертсва финансов гласит, что с тех пор малварь не раз применялась против других компаний.

Наложенные теперь санкции запрещают американским компаниям каким-либо образом сотрудничать с ЦНИИХМ, а также направлены на конфискацию любых активов института, размещенных в США.

Тогда местные СМИ писали, что в период с апреля по май 2015 года APT28 проникла во внутреннюю сеть Бундестага.

Теперь власти ЕС наложили санкции не только на Дмитрия Бадина, но и еще и на Игоря Костюкова — нынешнего главу ГУ Генштаба.

С веб‑стра­ниц язык JavaScript при­шел на сер­веры, а с сер­веров — на дес­кто­пы, и вот ста­рые баги заиг­рали новыми крас­ками.

Ведь Node.js в целом и дви­жок Electron в час­тнос­ти все боль­ше набира­ют популяр­ность и исполь­зуют­ся во мно­гих рас­простра­нен­ных при­ложе­ниях.

300\ modules\ discord_desktop_core\ node_modules C:\ Users\ User\ AppData\ Roaming\ discord\ 0.

300\ modules\ node_modules C:\ Users\ User\ AppData\ Roaming\ discord\ 0.

300\ node_modules C:\ Users\ User\ AppData\ Roaming\ discord\ node_modules C:\ Users\ User\ AppData\ Roaming\ node_modules C:\ Users\ User\ AppData\ node_modules C:\ Users\ User\ node_modules C:\ Users\ node_modules C:\ node_modules C:\ Users\ Us…

Так, за период с января по июнь 2020 года, по данным МВД, рост киберпреступности составил 91,7% по сравнению с аналогичным периодом прошлого года.

При этом число «классических преступлений» снижалось: уличных разбоев стало меньше на 23,6%, грабежей — на 20,7%, краж — на 19,6%, угонов машин — на 28,7%.

Практически 70% зарегистрированных преступлений, связанных с незаконным оборотом оружия в 2020 году тоже совершалось с использованием интернета — дистанционно и анонимно.

«На протяжении всего 2020 года Group-IB наблюдала активный набор в преступные мошеннические сообщества.

Так же как и предложения по взлому мессенджеров и соцсетей, эти услуги рекламируются в Telegram и на хакерских форумах.

Разработчики Nvidia устранили три уязвимости в составе GeForce Experience.

Уязвимости были обнаружены во всех версиях GeForce Experience вплоть до 3.20.5.70 и представляли угрозу для Windows-систем.

Этот же баг позволяет выводить из строя компьютеры с уязвимой версией GeForce Experience на борту, провоцируя на машинах отказ в обслуживании (DoS).

Недостаток был найден в составе службы nvcontainer.exe, и с его помощью можно повысить привилегии и спровоцировать отказ в обслуживании.

Пользователям рекомендуется как можно быстрее обновить GeForce Experience до версии 3.20.5.70, где все эти проблемы были исправлены.

Основной особенностью вредоноса является то, что T-RAT позволяет контролировать зараженные системы через Telegram-канал, а не через веб-панель администрирования, как это бывает обычно.

Создатели малвари уверяют, что это обеспечивает более быстрый и легкий доступ к зараженным компьютерам из любого места, и позволяет оперативно похищать данные.

Это позволяет успешно перехватывать транзакции Qiwi, WMR, WMZ, WME, WMX, Яндекс.Деньги, Payeer, CC, BTC, BTCG, Ripple, Dogecoin и Tron.

Эксперты G DATA пишут, что T-RAT — лишь одно из многих семейств малвари, которые оснащены возможностью управления через Telegram, и это не первый RAT, работающий по такой модели.

Так, похожей функциональностью обладают…

Агентство по кибербезопасности и защите инфраструктуры, организованное при Министерстве внутренней безопасности США (DHS CISA) и ФБР опубликовали совместный бюллетень безопасности, в котором заявили, что спонсируемая российским правительством хакерская группа Energetic Bear (она же TEMP.Isotope, Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti и Koala) атаковала правительственные сети США и успешно их взломала.

Правоохранители пишут, что группа атакует правительственные сети и компании авиационного сектора как минимум с февраля 2020 года.

При этом, по состоянию на 1 октября 2020 года, хакерам якобы удалось « успешно взломать сетевую инфраструктуру и извлечь данные как минимум с двух …

"Apps that rely on servers to generate link previews may be violating the privacy of their users by sending links shared in a private chat to their servers."

Generating Link Previews at the Sender/Receiver SideLink previews are a common feature in most chat apps, making it easy to display a visual preview and a brief description of the shared link.

Although apps like Signal and Wire give users the option to turn on/off link previews, a few others like Threema, TikTok, and WeChat don't generate a link preview at all.

Slack, for instance, caches link previews for around 30 minutes.

In a separate case, the researchers also discovered it was possible to potentially execute malicious code link p…

Microsoft, in collaboration with MITRE, IBM, NVIDIA, and Bosch, has released a new open framework that aims to help security analysts detect, respond to, and remediate adversarial attacks against machine learning (ML) systems.

Called the Adversarial ML Threat Matrix, the initiative is an attempt to organize the different techniques employed by malicious adversaries in subverting ML systems.

"Despite these compelling reasons to secure ML systems, Microsoft's survey spanning 28 businesses found that most industry practitioners have yet to come to terms with adversarial machine learning," the Windows maker said.

Adversarial ML Threat Matrix hopes to address threats against data weaponization o…

Attention readers, if you are using Google Chrome browser on your Windows, Mac, or Linux computers, you need to update your web browsing software immediately to the latest version Google released earlier today.

Google released Chrome version 86.0.4240.111 today to patch several security high-severity issues, including a zero-day vulnerability that has been exploited in the wild by attackers to hijack targeted computers.

Glazunov also immediately reported the zero-day vulnerability to FreeType developers, who then developed an emergency patch to address the issue on October 20 with the release of FreeType 2.10.4.

"While we only saw an exploit for Chrome, other users of freetype should adopt …

Graphic for illustrationCybersecurity researchers on Tuesday disclosed details about an address bar spoofing vulnerability affecting multiple mobile browsers, such as Apple Safari and Opera Touch, leaving the door open for spear-phishing attacks and delivering malware.

Other impacted browsers include UCWeb, Yandex Browser, Bolt Browser, and RITS Browser.

The issue stems from using malicious executable JavaScript code in an arbitrary website to force the browser to update the address bar while the page is still loading to another address of the attacker's choice.

Back in 2018, Baloch disclosed a similar kind of address bar spoofing flaw that caused the browser to preserve the address bar and…

A Windows-based remote access Trojan believed to be designed by Pakistani hacker groups to infiltrate computers and steal users' data has resurfaced after a two-year span with retooled capabilities to target Android and macOS devices.

According to cybersecurity firm Kaspersky, the malware — dubbed "GravityRAT" — now masquerades as legitimate Android and macOS apps to capture device data, contact lists, e-mail addresses, and call and text logs and transmit them to an attacker-controlled server.

But even as the latest evolution of GravityRAT goes beyond anti-malware evasion capabilities to gain multi-platform support — including Android and macOS — the overall modus operandi remains the same:…

Follow THN on Facebook Twitter  and LinkedIn to read more exclusive content we post.

There is a person in every organization that is the direct owner of breach protection.

The management's security grasp is paramount in moving the needle in the right direction.

Either we have succeeded in reaching our defined objectives, or we have failed.

In each case, transparency in presenting the results of deployed security products and the work of the security team creates and enhances trust.The definitive 'Security for Management' presentation template is tailor-made for anyone who invests effort in achieving organizational security and strives to communicate its actual value.Download the ultimate '…

The US government on Monday formally charged six Russian intelligence officers for carrying out destructive malware attacks with an aim to disrupt and destabilize other nations and cause monetary losses.

The individuals, who work for Unit 74455 of the Russian Main Intelligence Directorate (GRU), have been accused of perpetrating the "most disruptive and destructive series of computer attacks ever attributed to a single group," according to the Justice Department (DoJ).

"The object of the conspiracy was to deploy destructive malware and take other disruptive actions, for the strategic benefit of Russia, through unauthorized access ('hacking') of victim computers," the prosecutors said.

"For …

Google security researchers are warning of a new set of zero-click vulnerabilities in the Linux Bluetooth software stack that can allow a nearby unauthenticated, remote attacker to execute arbitrary code with kernel privileges on vulnerable devices.

According to security engineer Andy Nguyen, the three flaws — collectively called BleedingTooth — reside in the open-source BlueZ protocol stack that offers support for many of the core Bluetooth layers and protocols for Linux-based systems such as laptops and IoT devices.

The second unpatched vulnerability (CVE-2020-12352) concerns a stack-based information disclosure flaw affecting Linux kernel 3.6 and higher.

"Potential security vulnerabiliti…

The COVID-19 outreach is turning out to be not only health, social, and economic hazard but also a cybersecurity crisis.

Coronavirus themed phishing emails and malicious websites claiming useful information on COVID-19 have emerged as the top threats to the companies.

Ignoring Internal Security Threats — Enterprises are more focused on guaranteeing business continuity with seamless operations than bridging the gaps in their remote infrastructure.

Detectable Weak Points During Remote Work — The main weak points, which get exposed during the sudden shift to remote work include Weak Authentication Techniques, Insufficient Monitoring, and Exposed Servers (DNS, VPN, RDP, etc.)

With adequate nati…

German investigating authorities have raided the offices of Munich-based company FinFisher that sells the infamous commercial surveillance spyware dubbed 'FinSpy,' reportedly in suspicion of illegally exporting the software to abroad without the required authorization.

The Munich public prosecutor's office is now investigating "suspected violations of the Foreign Trade Act against managing directors and employees of FinFisher GmbH and at least two other companies," said a spokeswoman to BR and NDR.

The raids were part of a criminal complaint [pdf] filed by the GFF, Netzpolitik, Reporters Without Borders (ROG), and the European Center for Constitutional Rights and Human Rights (ECCHR) agains…

A financially-motivated threat actor known for its malware distribution campaigns has evolved its tactics to focus on ransomware and extortion.

"Recent FIN11 intrusions have most commonly led to data theft, extortion and the disruption of victim networks via the distribution of CLOP ransomware," Mandiant said.

"FIN11's high-volume email distribution campaigns have continually evolved throughout the group's history," Andy Moore, senior technical analyst at Mandiant Threat Intelligence, told The Hacker News via email.

"FIN11's monetization of intrusions via ransomware and extortion follows a broader trend among financially motivated actors," Moore said.

Despite these changes, however, recent …

They have the burden of protecting their client organizations from cyberattacks, with clients from different industries, different security stacks, and different support requirements.

MSSPs are turning to multitenant solutions to help reduce the complexity of managing multiple security solution instances across their client base.

And, effectively monitoring and responding to the torrent of security data across multiple clients requires a significant investment in resources.

Single Management Console - Unified visibility across all customers enables security teams to manage multiple customers efficiently and reduce response time.

Couple a robust multitenant platform with comprehensive, prove…

Microsoft on Tuesday issued fixes for 87 newly discovered security vulnerabilities as part of its October 2020 Patch Tuesday, including two critical remote code execution (RCE) flaws in Windows TCP/IP stack and Microsoft Outlook.

"If the current user is logged on with administrative user rights, an attacker could take control of the affected system," Microsoft noted in its advisory.

Other critical flaws fixed by Microsoft this month include RCE flaws in SharePoint, Media Foundation Library, Base3D rendering engine, Graphics Components, and the Windows Graphics Device Interface (GDI).

It's highly recommended that Windows users and system administrators apply the latest security patches to mi…

Days after the US Government took steps to disrupt the notorious TrickBot botnet, a group of cybersecurity and tech companies has detailed a separate coordinated effort to take down the malware's back-end infrastructure.

"With this evidence, the court granted approval for Microsoft and our partners to disable the IP addresses, render the content stored on the command and control servers inaccessible, suspend all services to the botnet operators, and block any effort by the TrickBot operators to purchase or lease additional servers," Microsoft said.

"Over the years, TrickBot's operators were able to build a massive botnet, and the malware evolved into a modular malware available for malware-…

Link previews in popular chat apps on iOS and Android are a firehose of security and privacy issues, researchers have found.

In the case of Instagram and LinkedIn, it’s even possible to execute remote code on the companies’ servers through the feature, according to an analysis.

Link previews are standard in most chat apps, and they can be very useful.

“This way, the receiver would be protected from risk if the link is malicious.”iMessage, Signal (if the link preview option is turned on in settings), Viber and WhatsApp all follow this best-practice approach, they noted.

However, they also warned that link previews are a widespread phenomenon: “There are many email apps, business apps, dating…

Beyond admins, researchers say that 97 percent of all total Microsoft 365 users do not use multi-factor authentication.

Up to 78 percent of Microsoft 365 administrators do not have multi-factor authentication (MFA) security measures enabled.

Microsoft 365 accounts are a treasure trove for cybercriminals looking for sensitive organization data.

Attackers typically targeting Microsoft 365 accounts email-based phishing or spear phishing attacks, automated credential stuffing, or guessing attacks.

Also in September, Microsoft 365 faced another phishing attack–this one using a new technique to make use of authentication APIs to validate victims’ Office 365 credentials–in real time–as they enter …

As 2020 began, security leaders were already abuzz about the data security for the growing remote workforce.

The remote work shift is here to stayWith the pandemic hitting a fall/winter surge, many companies are now targeting summer 2021 for their return to in-person work.

More than 4 in 5 company leaders plan to continue allowing remote work going forward.

Getting a more secure remote work setup isn’t impossible, and the burden doesn’t all have to fall on IT and Security teams.

You can secure remote work — without stifling remote workersThe remote work shift is largely here to stay.

So those are really, really interesting finding that came out that we really didn’t expect.

LO: Right, right.

LO: Right, right.

CE: Right, right.

LO: Right, right.

Researchers have discovered a raft of malicious gaming apps on Google Play that come loaded with adware, signaling that the tech giant continues to struggle with keeping bad apps off its online marketplace.

This tactic is similar to an adware campaign researchers discovered in July also associated with malicious photo apps on Google Play.

Indeed, the adware found on Google Play is one in a series of recent discoveries of this type of malware on social networks.

Despite all of these efforts, Google continues to grapple with Android app security on the marketplace.

However, in early September, the company deleted six apps from its Google Play marketplace that were infecting users with Joker a…

Internet Explorer redirects more traffic to Edge Chromium browser as Microsoft warns of the upcoming demise of the once dominant browser.

As the death of the once dominant Internet Explorer (IE) draws closer, Microsoft is quickly pounding more nails into the browser’s coffin.

As a point of reference, the Microsoft Edge web browser comes built into Windows 10.

IE: The Long GoodbyePart of IE’s shuttering entails redirecting users to the Microsoft Edge 87, to be released November 17.

“Redirection from Internet Explorer to Microsoft Edge requires an Internet Explorer Browser Helper Object (BHO) named ‘IEtoEdge BHO,'” Microsoft explained.

InnerSloth is run by a three-person team consisting of one developer, one animator and game designer, and one artist.

Eric Loris Takes Over Among UsThis most recent round of attacks spammed players with ads from a player named Eric Loris, rendering the game useless.

“So far every single server I’ve joined is hacked by Eric Loris today,” one user with a NSFW handle name wrote two days ago.

InnerSloth’s recent record might back up Eric Loris’ point about scale.

We will be pushing out an emergency server update so people who are in game will get kicked from games.

A security vulnerability can be exploited to coerce the containerd cloud platform into exposing the host’s registry or users’ cloud-account credentials.

“A container image is a combination of a manifest file and some individual layer files,” he wrote in a recent post.

“The manifest file [in Image V2 Schema 2 format]…can contain a ‘foreign layer’ which is pulled from a remote registry.

Instead, an attacker would need to place the tainted image into a remote registry that the user already authenticates to.

containerd patched the bug, which is listed as medium in severity, in version 1.2.4; containerd 1.3.x is not vulnerable.

Cybercriminals have already reportedly posted the details of 300 Vastaamo patients – and are threatening to release the data of others unless a ransom is paid.

Cybercriminals have hacked the systems of psychotherapy giant Vastaamo – and are now reaching out to therapy patients, threatening to dump their patient files if they do not pay a ransom.

According to reports, the attackers acquired the records of patients who had registered before the end of November 2018.

Threatpost has reached out to Vastaamo regarding the nature of the data breach, what information was accessed and how data is stored and secured.

According to the company’s website, all patient records must be kept for at least 12…

Multiple chicken diners said their usernames and passwords were stolen and the accounts used to place high-volume orders.

The issue though is that payment-card information is not stored within Nando’s accounts, leaving some questions as to how the hacks occurred.

Credential-stuffing is accomplished by hackers who take advantage of users who often reuse the same passwords across multiple online accounts.

Multiple Nando’s customers said their usernames and passwords were stolen and the accounts used to place high-volume orders, according to reports.

We apologize to our customers who have been impacted by this.”Because of COVID-19, Nando’s customers must place an order online or by using a QR …

The latest in a flurry of actions this week, tied to foreign threats against U.S. computer systems, includes sanctions by the Department of the Treasury.

The Trump administration sanctioned a Russia government research institution on Friday claiming it was behind a series of cyberattacks using the highly destructive Triton malware.

“This cyber-attack was supported by the State Research Center of the Russian Federation FGUP Central Scientific Research Institute of Chemistry and Mechanics (TsNIIKhM), a Russian government-controlled research institution that is responsible for building customized tools that enabled the attack,” according to a Treasury Department statement issued Friday.

Over t…

The COVID-19 pandemic, coupled with an explosion in the number of connected devices, have led to a swelling in IoT infections observed on wireless networks.

Connected cameras, refrigerators and other seemingly-mundane internet-of-things (IoT) devices are a cybercriminal favorite this year, with new research showing a sharp increase (100 percent) in IoT infections observed on wireless networks.

IoT devices are now responsible for 32.72 percent of all infections observed in mobile and Wi-Fi networks – up from 16.17 percent in 2019.

“It’s not a surprise that IoT devices are the crown jewels for cybercriminals,” Dirk Schrader, global vice president at New Net Technologies, told Threatpost.

In S…

The National Guard has been called in to help stop a series of government-focused ransomware attacks in Louisiana, according to a report.

The Louisiana National Guard has declined to comment on the incidents.

This is not the first time that Louisiana has called out the National Guard to combat cyberattacks.

Declaring the state of emergency allowed coordination between cybersecurity experts from the National Guard, Louisiana State Police and the Office of Technology Services.

Ransomware attacks continue to surge in all sectors.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

The incident that started some time on Thursday took the form of a spam attack bombarding players in their in-game chats.

The onslaught of spam messages foisted on game participants in their chats promoted a cryptic “Eris Loris” handle, prompting players to subscribe to its YouTube channel.

Some messages took a threatening tone, warning players that unless they subscribe their devices would be hacked.

Players shared screenshots complaining about the spam attack across multiple social media, including Twitter.

However, he also warned that due to the irregularity of the process players who were in matches may get booted.

Security challenges for connected medical devices – Zero-day in Chrome gets patched – How to avoid USB drive security woesIs your internet-connected medical device vulnerable to cyberattacks and what are the odds that it could be compromised?

We look at five chinks in their armor.

Google has fixed a vulnerability in the Chrome web browser that was under active exploitation by attackers.

USB flash drives are a common sight across homes, offices and schools, but just how secure are they?

All this – and more – on WeLiveSecurity.com.

Why are connected medical devices vulnerable to attack and how likely are they to get hacked?

With some medical devices expected to be around for many years, that’s a long time to pay to support gear in the field.

EthernetMany medical devices plug into medical TCP/IP networks via Ethernet, but it would be very difficult for many clinicians and patients to notice a network tap placed inline with existing connections.

And while it may be making important strides, many medical devices have been performing fine all those years, lessening the perceived need to act.

Meanwhile, it might be wise to get to know any vulnerabilities that might affect your medical devices, especially if they are critic…

No fewer than 63 billion of them targeted the retail, travel, and hospitality sectors.

However, the perception of loyalty programs not being high risk isn’t strictly true.

Depending on the number of accumulated points and the hotel chain, loyalty accounts can be sold on cybercrime forums for as much as US$850.

Some cybercriminals venture even further and operate their own dark-web “travel agencies”, using a combination of stolen credit cards and airline and hotel loyalty programs.

Beyond credential-stuffing attacks, threat actors also used SQL Injection and Local File Inclusion attacks to target the retail, hospitality, and travel industries.

“Google is aware of reports that an exploit for CVE-2020-15999 exists in the wild,” said Google about the zero-day flaw in FreeType, a widely used software development library that is also a Chrome component.

The flaw, classified as high-severity, was reported by Sergei Glazunov, a member of Google’s Project Zero, on October 19th, with the update released soon after.

Details about the zero-day remain sparse, although Google did disclose that the memory-corruption flaw causes heap buffer overflow in FreeType.

He also addressed concerns about whether the zero-day might also affect Chrome for Android.

However, if you haven’t enabled this option, you’ll have to do it yourself via the About Goog…

What are some of the key security risks to be aware of when using USB flash drives and how can you mitigate the threats?

So, if you only plug the flash drive into machines you trust, most of the time you should be safe.

You should also avoid storing personal data on your work flash drive and vice versa.

We mentioned the following advice in our recent article about USB flash drives, but repetition is the mother of wisdom.

And never underestimate the value of a reputable endpoint solution, which can go a long way in protecting you against various threats including infested USB drives.

The flaws, neither of which is being actively exploited, were fixed merely days after the monthly Patch Tuesday rolloutMicrosoft has rushed out fixes for two security vulnerabilities affecting Microsoft Windows Codecs Library and Visual Studio Code.

Indexed as CVE-2020-17022, the security loophole in the Windows Codecs Library does not affect users running Windows 10 in its default configuration.

The flaw – for which there are no known mitigations or workarounds – has to do with how Windows Codecs Library handles objects in memory.

It’s worth noting that instead of the usual Microsoft Update channel, the patch is being delivered via Microsoft Store.

Microsoft has released security updates t…

ESET joins global effort to disrupt the infamous Trickbot botnet – Criminals claim to have hijacked thousands of security cameras – Five ways to secure your home officeESET has joined a global coordinated operation to disrupt Trickbot, the infamous botnet that has compromised at least a million computers.

A hacker group is selling access to people’s private footage after allegedly hijacking more than 50,000 home security cameras.

What are some of the ways to secure your home office – without having to rely on an expert’s help?

All this – and more – on WeLiveSecurity.com.

“While criminals exploit social media and social networks to commit crimes involving child sexual abuse material, sex trafficking of a minor, and child sex tourism, the use of these platforms to facilitate child abductions is lesser-known,” said the Bureau.

Indeed, the FBI recently warned that human traffickers were luring victims using dating apps.

The modus operandi of child abductors involves creating accounts on various social media networks and dating platforms, where they search for their prospects.

RELATED READING: The best social networks for younger childrenThe Bureau also described three cases where victims were abducted after being contacted by criminals on social media apps.

All…

Since this week’s theme of Cybersecurity Awareness Month is “Securing devices at home and work”, here are five things you can do to secure your home office – without an advanced degree in cybersecurity or a budget in the millions.

Start with the routerThese days, the router that you use for internet access does far more than you might think.

You don’t have to be an expert in some of the crazier security features, but business routers are usually more secure out-of-the-box, and have good support to tell you what to enable.

By extension, your family shouldn’t really use the device for things like chatting with friends or streaming movies.

You may still be relatively new to remote work and may…

The videoconferencing platform is making the feature available to users of both free and paid tiersThe Zoom videoconferencing platform has announced that starting next week it will begin rolling out long-awaited end-to-end encryption (E2EE) to users.

The new E2EE feature is built on the same Galois/Counter Mode (GCM) encryption Zoom already uses to encrypt all its meetings, with the key difference being in how the encryption keys are distributed and stored.

“In typical meetings, Zoom’s cloud generates encryption keys and distributes them to meeting participants using Zoom apps as they join.

With Zoom’s E2EE, the meeting’s host generates encryption keys and uses public key cryptography to di…

Some footage has already appeared on adult sites, with cybercriminals offering lifetime access to the entire loot for US$150A hacker collective claims to have breached over 50,000 home security cameras before going on to steal people’s private footage and post some of it online.

The gang, whose group on the instant messaging app Discord has nearly 1,000 members, reportedly specializes in hacking security cameras.

They’re also reportedly willing to share access to all hijacked cameras with fellow members.

However, he hopes that the incident will prompt people to take security precautions when setting up their smart cameras.

warned about 3.5 million cameras from around the world that were sus…

The technique, which involves exploiting several flaws over the course of a single attack to infiltrate an organization’s network, is part of the gangs’ ramped-up efforts ahead of the US presidential election.

Malicious cyber actors are exploiting legacy vulnerabilities against SLTT, Critical Infrastructure, and Elections Organizations.

Actors have then been observed using legitimate remote access tools, such as VPN and Remote Desktop Protocol (RDP), to access the environment with the compromised credentials,” the agencies warned.

Moreover, institutions should update both their VPN and network infrastructure and use multi-factor authentication when signing into their respective VPN services…

Trickbot plugins are implemented as standard Windows DLLs, usually with at least these four distinctive exports: Start, Control, Release and FreeBuffer.

Configuration files for everyoneAlthough there are potentially many different downloaded configuration files present in a Trickbot installation, the main module contains an encrypted, hardcoded configuration.

Figure 6 presents a timeline of all gtags we extracted from Trickbot configuration files from September 2019 to September 2020.

T1552.001 Unsecured Credentials: Credentials In Files Trickbot can obtain passwords stored by several applications such as Outlook, Filezilla, and WinSCP.

T1552.002 Unsecured Credentials: Credentials in Regist…

Why deleting your personal data from social media may be impossible – How do you reset your face after a data breach?

– The perils of working from a hotelIf you think that deleting your accounts from various social media and instant messaging apps also deletes your personally identifiable information, you should think again.

It’s easy enough to reset your password or PIN after a data breach, but how do you reset your face in case your biometric data is compromised?

As many remote workers are renting hotel rooms as their makeshift offices, the FBI is warning them of the risks that using hotels’ Wi-Fi networks entails.

All this – and more – on WeLiveSecurity.com.

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

We can learn from that mistake, though, and that’s one of the reasons the Adversarial ML Threat Matrix has been created.

“With this threat matrix, security analysts will be able to work with threat models that are grounded in real-world incidents that emulate adversary behavior with machine learning,” he noted.

The Adversarial ML Threat Matrix“Unlike traditional cybersecurity vulnerabilities that are tied to specific software and hardware systems, adversarial ML vulnerabilities are enabled by inherent limitations underlying ML algorithms.

They also stressed that it’s going to be routinely updated as feedback from the security and adversarial machine learning community is received.

They enco…

Like most American businesses, middle market companies have been forced to rapidly implement a variety of work-from-home strategies to sustain productivity and keep employees safe during the COVID-19 pandemic.

A temporary regulatory grace period is needed, and soonThe decision is a pivotal one for a significant number of middle market companies.

Currently, the concept of a regulatory grace period is slowly gaining traction in Washington, but time is of the essence.

Middle market companies are quickly approaching the time when they will have to determine just what to disclose during these upcoming attestation periods.

Even a proposed grace period would not mean that middle market companies w…

In this interview, he discusses MDR services and the MDR market.

What are the essential building blocks of a robust MDR service?

MDR services require a hyper-vigilance with the ability to scale and rapidly adapt to secure emerging technology.

The MDR market is becoming more competitive and the number of providers continues to grow.

This means MDR firms need to up their game, and a tighter definition must come into play to weed out pretender firms.

Organizations are often forced to make critical security decisions based on threat data that is not accurate, relevant and fresh, a Neustar report reveals.

Just 60% of cybersecurity professionals surveyed indicate that the threat data they receive is both timely and actionable, and only 29% say the data they receive is both extremely accurate and relevant to the threats their organization is facing at that moment.

Few orgs basing decisions on near real-time dataWith regard to the timeliness of threat data, only 27% of organizations are able to base their security decisions on near real-time data, while 25% say they receive updates hourly and another 24% receive updates several times per day…

Microsoft 365 administrators fail to implement basic security like MFAThe survey research shows that approximately 78% of Microsoft 365 administrators do not have multi-factor authentication (MFA) activated.

Microsoft 365 admins given excessive controlMicrosoft 365 administrators are given excessive control, leading to increased access to sensitive information.

57% of global organizations have Microsoft 365 administrators with excess permissions to access, modify, or share critical data.

In addition, 36% of Microsoft 365 administrators are global admins, meaning these administrators can essentially do whatever they want in Microsoft 365.

Today’s remote and hybrid working environment require…

Cyber risk literacy of the populationCyber literacy, along with financial literacy, is a new 21st century priority for governments, educational institutions, and businesses.

Yet many citizens still lack the basic skills to keep themselves, their communities, and their employers safe.”50 geographies were assessed, including the European Union, on the present cyber risk literacy of its population, and the nature of related education and training available to promote and enable future cyber risk literacy.

The UK ranked third, has the most integrated cyber system because it incorporates cyber risk into both primary and secondary education.

Countries that rank lower lack an overall national stra…

Imperium announced the release of a significantly upgraded version of its flagship ID-validation tool RelevantID.

This major release is designed to help market research and panel organizations combat the rise of highly sophisticated synthetic identity frauds that are becoming increasingly difficult to catch using conventional fraud-detection models.

From today, the company’s powerful fraud-blocking tool Fraudience will be integrated into RelevantID as standard.

Since supercharging RelevantID with Fraudience and FraudProbabilityScore, we’re seeing fraud capture scores skyrocket—on average by more than 5x—from 2.5% to 13.8%.

The authors of the paper referred to an ID Analytics study estimatin…

Nozomi Networks Inc. today introduced Vantage, an innovative SaaS-based OT and IoT network visibility and monitoring solution designed to meet the evolving requirements of IoT-enabled infrastructures.

“Vantage is a game-changer when it comes to simplifying the integration and centralized management of visibility and security across converged OT, IoT and IT networks of any size,” said Nozomi Networks Co-founder and CPO Andrea Carcano.

As Gartner notes in its 2020 Hype Cycle for Managing Operational Technology, “OT security is part of comprehensive digital security for digital transformation.

The SaaS offering scales easily across multi-vendor environments to centralize security, visibility a…

Red Canary has announced the launch of Red Canary Cloud Workload Protection, a cloud workload protection (CWP) solution that provides visibility and threat detection for security and DevOps teams.

“Having used Red Canary’s CWP product for over a year now, we can happily say that CWP supports our diverse configurations with minimal performance impact, and it’s supported by the same passionate and knowledgeable resources behind all of Red Canary’s offerings.”Red Canary Cloud Workload Protection Overview:Red Canary Cloud Workload Protection offers continuous collection and analysis of telemetry across physical, virtual, and containerized workloads.

Cloud Workload Protection continuously monito…

Cybercriminals have recently hacked Vastaamo, a psychotherapy giant, and are trying to contact patients threatening to reveal their confidential patient files if they do not pay a ransom.

The Finnish psychotherapy company has over 40,000 patients, with customers registered between November 2018 and March 2019 likely to be affected by the breach, although it is unclear why the data is only surfacing now.

The breach and the blackmailing of patients has resulted in an emergency meeting held in the Finnish Cabinet on Sunday.

Vastaamo has reported that 300 patients names and contact details have been published alongside their patient records, but it is unclear how much more data was compromised …

Amazon has fired a number of employees responsible for a recent data leak which resulted in the exposure of customers data, including their email addresses to an unaffiliated third-party, violating the companies policiesUsers were alerted of the incident following an email announcement to those who were affected.

During the weekend there were reports across Twitter by multiple Amazon customer who had received the email about the data leak, with a number of the customers confused by the alert.

Their main concern was whether the incident had only affected those who were emailed, or whether it had affected other customers too who hadn’t been alerted.

Zain Jaffer tweeted, “Did anyone else get a…

Law firm Fragomen, Del Rey, Brensen and Loewy have confirmed they have suffered a data breach which involved the personal information of both current and former Google employees.

The law firm based in New York provides companies with employment verification screening services in order to determine whether potential employees are authorized to work in the United States.

In order to work in the United States, every employer must have a Form I-9 file of every employee in order to ensure that they are eligible to work in the United States legally, and will not be subject to any restrictive immigration rules.

However, these Form I-9 files contain a large amount of sensitive information on each i…

An issue has arisen with users accessing the NHS contact tracing app on the new iPhone 12 and iPhone 12 Pro that were released on Friday last week.

Although the new iPhone’s have no issues running the app, when the app is transferred over from a different iPhone through the cloud, it doesn’t ask users to enable permissions.

As a result, the app can’t use the phone’s Bluetooth required for the app to work.

Users can fix this by going to Settings – Notifications – Exposure Notifications – Allow Notifications.

Hitachi Europe limited and My1Login have announced a Technology Partnership to deliver enhanced security solutions to address one of the cybersecurity industry’s most compelling challenges – passwords.

The combined solution optimises security and convenience whilst enabling a significant ROI as a result of a number productivity and efficiency benefits.

The two companies will deliver solutions utilising Hitachi’s VeinID Five product together with My1Login’s Identity and Access Management software to eliminate the need for passwords in enterprise.

“My1Login has a powerful track record in addressing enterprise Identity and Access Management challenges by providing Single Sign-On for cloud and …

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

Cybercriminals have impersonated Marks & Spenser’s CEO, Steve Rowe, in order to trick customers into revealing their bank account details.

The scammer’s poster fraudulent adverts promising victims the opportunity to win a gift voucher as part of a prize draw promotion while under the guise of CEO Steve Rowe.

The emails contained an image of a man holding M&S bags who bared no resemblance to M&S CEO Steve Rowe.

The email read “Hello everyone, my name is Steve Rowe and I am the CEO of Marks and Spencer!

I’ve an announcement to make – To celebrate our 135th Anniversary, We are giving EVERYONE who shares & then comments by 11.59pm tonight one of these mystery bags containing a £35 M&S voucher p…

Facebook and Twitter chief’s, Mark Zuckerberg and Jack Dorsey, will be ordered to testify over the alleged censorship of a New York Post article shared on their platforms.

The article reveals emails and photographs copied from Hunter Biden, Joe Biden’s son’s laptop.

Twitter said that the article had violated its “hacked materials” policy and was blocking users from sharing the article, but it later changed its stance.

Facebook limited the spread on the article on their newsfeed while it was being fact-checked.

This resulted in accusations of censorship and bias towards Biden from Republican lawmakers.

Secureonix has recently announced an integration with Tanium, who together will provide organisations with stronger analytics to detect and respond to unknown threats across remote endpoints.

The integration between Secureonic and Tanium will include more than 50 out-of-the-box Tanium queries and over 80 out-of-the-box use cases across multiple product modules, including Tanium Threat Response, Tanium Comply and Tanium Asset.

The strategic integration between Securonix and Tanium will help create a unified solution providing enhanced visibility and context necessary to detect and respond to endpoint threats.

Secureonix will enrich the endpoint telemetry from Tanium with additional context t…

A new report from the US National Security Agency outlines the 25 vulnerabilities most commonly targeted by Chinese sponsored hackers.

Exploits for these vulnerabilities are already publicly available, but so are the patches for these flaws.

It’s important to have a procedure in place to update vulnerable software as soon as possible from the date the fix has been released.

Is the software we are using/system using the software so out of date that we need to change it?

Ideally, all software vulnerabilities would be addressed as soon as the vendor is made aware and releases a patch.

PayPal has recently announced that its customers will be able to use Bitcoin and other virtual currencies while buying and selling items using their PayPal accounts.

PayPal has revealed that they will be allowing this option to be used in the US in the next upcoming weeks.

They plan to have the option available to all users worldwide by early 2021, with users being able to buy items with cryptocurrency from the 26 million sellers accepting PayPal.

Following the news, there was an increase in Bitcoin prices, breaking the £9,170 ($12,000) mark.

The US is blaming Iran for the email shot sent from the far-right group, Proud Boys, urging Democratic voters to vote for Trump.

In these emails, the extremist group where threatening registered Democrats with consequences if they didn’t vote for Trump in the upcoming election.

Although the group claimed to have sent this email to all registered Democrats, it was only sent to those registered in the Alaska, Arizona and Florida.

In a press conference, the Director of the FBI and Director of National Intelligence were able to link the spam emails back to Iran.

https://www.zdnet.com/article/us-blames-iran-for-spoofed-proud-boys-emails-threatening-democrat-voters/

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

What happens in the sandbox, stays in the sandboxA sandbox is a preventative analysis technology used for security deception.

When running without a sandbox, an application can require access to many of your system’s critical resources.

Sandboxing programs - A good example of a sandboxing program is the popular Sandboxie, a sandbox for Windows.

By isolating threats and malware, security researchers can learn more about new threats, which will help stop future attacks.

Remember — what happens in the sandbox, stays in the sandbox.

Let’s now discover what Attack Surface Mapper is, by exploring the installation, configuration, and testing process.

Attack Surface Mapper, as its name implies, is a free, multi-platform (for Linux, macOS, and Windows) tool used to create a full map of your attack surface.

InstallationInstalling Attack Surface Mapper is pretty straightforward, requiring only three simple commands to get it working.

Let’s cover the process step by step:Download Attack Surface Mapper from their Github repo:$ git clone https://github.com/superhedgy/AttackSurfaceMapper Cloning into 'AttackSurfaceMapper'... remote: Enumerating objects: 66, done.

SummaryAttack Surface Mapper stands out among reconnaissance tools …

Cyber exposure is considered to be the worst-case scenario in the event of an organization suffering a cyber attack, and the probability of the attack occurring.

What you don’t know, will hurt you: The cyber exposure gapWhile talking about cyber exposure, there is one term we should go over to aid in understanding the entire concept of exposure.

Measure effectiveness, rinse, and repeatAfter every cyber exposure life cycle, there is that time when victories and losses both need to be counted and the effectiveness of cyber exposure techniques and tools is measured.

Cyber Exposure IndexThe Cyber Exposure Index is the result of a research project that looks at the amount of cyber exposure withi…

We’ve been having some Friday fun running SecurityTrails Recon Safari on Twitter.

And as a result, Recon Safari began in the form of long Twitter threads, eventually evolving into fun and digestible infographics, ultimately followed by a writeup on our blog.

For this first Recon Safari on our blog, we’re looking into recent data breaches to see what we uncover.

Our team’s initial reaction was to dig a bit into our OSINT data using SurfaceBrowser™, our go-to tool when we need to know everything quickly.

We hope you’ve enjoyed our first Recon Safari post on the SecurityTrails Blog and that you can see how SecurityTrails can make your infosec investigations so much easier.

Now you can integrate the SecurityTrails API™ into your existing SecureX Dashboards, by using a serverless relay running Amazon’s Lambda infrastructure.

Using the Cisco SecureX platform in conjunction with the SecurityTrails API™ module will empower your infosec efforts by taking your cyber threat intelligence endeavors to the next level.

Check the SecurityTrails module, and click on the Add New Module button.

Now we’re ready to start using the SecurityTrails module inside Cisco SecureX, by utilizing the AWS Lambda Serverless relay we’ve configured.

SummaryToday we’ve covered the integration between the power of SecurityTrails’ historic database and Cisco’s SecurityX platform.

And if that data falls into the hands of cyber criminals, sensitive information could be at risk.

This is why we’ve prepared 10 do’s and don’ts of staying safe while connected.

Look in the address bar for the lock icon that shows you the website allows for encrypted connection to your browser, indicating shared and private information are safe.

Staying logged into all your accounts just gives them sort of a “right of passage” to collect all your private information.

Instead, we took this opportunity to share some quick do’s and don’ts of staying safe while connected.

The above outline of our API leads us to an independent developer (Chaitanya Krishna), building his own script to enumerate subdomains using the SecurityTrails API™.

We’ll demonstrate this by attempting to extend or modify the script for different purposes, using the SecurityTrails API™.

Installing Subdomain-EnumLet’s now proceed with installing the Python script.

In the examples above we took the Subdomain-Enum script, added a few modifications, and were able to perform two other OSINT investigations using the SecurityTrails API™.

Get to know our current API integrations and discover more ways to utilize SecurityTrails products and services within your own apps!

The shields at the forefront of this battle for privacy and secure internet access are VPNs and proxies, and more notably residential IP proxies.

While claiming to offer anonymization to users, residential proxies also account for some security issues.

Residential IP proxies are used for ads, shopping, and social networks, but a number of them are used for malicious purposes.

Cyber criminals and bot developers are anonymizing their traffic using residential IP proxies, whose small footprint makes them harder to detect.

Spur Intelligence started as an industry exposé of VPNs, residential proxies, malware proxies and other anonymization behaviour, and their role in cybercrime and fraud.

We are thrilled to announce new features for SurfaceBrowser™, our SecurityTrails API™, and Console.

With SurfaceBrowser™ you now have the ability to download data from more pages, and can benefit from our Host Page improvements, Egress Activity, and much more.

For example, you can use the activity data to scan all newly seen hostnames.

Egress ActivityWe’ve also reintroduced the Egress Activity option, which helps you detect outgoing traffic from any specific IP or subnet.

Host Page: new data about SSL and HTTPS crawlsThe host page overview now has a new SSL Crawl summary that incorporates important details about your SSL certificates, such as:Issuer (organization, city, state, country, etc.)

ProTip 1: Open databases and how to secure themMost of the databases left open at the moment are MongoDB and Elasticsearch servers.

500 servers were touched on the first day and the attack would keep running strong for the next two weeks:2020-07-20 : 501 unique IPs 2020-07-21 : 804 unique IPs 2020-07-22 : 1146 unique IPs 2020-07-23 : 661 unique IPs 2020-07-24 : 1189 unique IPs 2020-07-25 : 1091 unique IPs 2020-07-26 : 1403 unique IPs 2020-07-27 : 1693 unique IPs 2020-07-28 : 1664 unique IPs 2020-07-29 : 1727 unique IPs 2020-07-30 : 488 unique IPs 2020-07-31 : 549 unique IPs 2020-08-01 : 202 unique IPsThere would be no sign of new infections until the 12th of August, followed by a total of ~…

The Equinix attackAccording to an unknown source that reported to BleepingComputer, this attack was perpetrated by the infamous Netwalker ransomware.

The ransomware ecosystemWhile ransomware attacks are nothing new, their increasing number of high-level targets being compromised is startling.

Common ransomware attack vectorsRansomware doesn’t enter the target’s infrastructure by itself.

We have backups and antivirus, we’re goodDespite this common belief, ransomware malware goes after backups to compromise them as well.

Decrypting ransomwareLet’s assume a scenario where you’ve been compromised by a ransomware malware.

While working with bigger companies, they continue to bring innovation to the web security field.

We met with Tzury (while social distancing) to learn more about the vision behind Reblaze and how they were able to “Reblaze” web security.

Even though there was competition, we knew we could do better, and we created the Reblaze platform.

How does the traditional approach to web security differ from API security?

What is unique in Reblaze’s approach to API security in order to fill the gaps that other solutions have left?

Do I have SSL certificates deployed?

Then, we’ll use our SecurityTrails API™ to show how you can do nearly the same thing using different tools and interfaces.

Scraping your company’s certificates using SurfaceBrowser™After logging into the interface you’ll find the text box with the option Company Domain selected.

Find your company’s SSL historical records with SecurityTrails API™API documentation is available here and you can also find SSL-related functionality at Domains > SSL Certificates (Pages) and Domains > SSL Certificates (Streams).

SummaryService communication encryption using SSL/TLS is an incredibly exciting, sometimes obscure, and often difficult to understand topic which we’ve…

Dan Sherry started Pulsedive with the goal of combating the sensory overload that comes with the noise generated by open source threat intelligence.

How would you explain that approach in the threat intelligence domain, and how does it differ to the target-centric one?

You have engineers who deploy solutions and make threat intelligence work with the rest of their environment, and researchers and threat intelligence analysts who dive into the data and publish insights and research.

What are the main challenges organizations face when trying to maximize results from threat intelligence and its positive impact on their security posture?

Besides threat intelligence, what are some of the places…

What is Voice over LTE (VoLTE)?

Voice over LTE networks (also known as HD voice) are basically an additional feature to the whole LTE/4G stack that brings high-quality voice communications to LTE networks by using the actual LTE frequency bands.

VoLTE has improved this by taking advantage of the LTE reserved spectrum and by sending voice in a voice over IP fashion.

When the attacker finds a vulnerable base station, this means that the cell giving the phone line service is reusing the keystreams in different phone calls.

SummaryWe’ve covered this novel attack against telecommunications by sharing the researchers’ approach of using a well known vulnerability against vulnerable LTE cells that …

Продолжим вчерашнюю тему про дашборды для руководства, но выйдем за рамки темы АСУ ТП.

Сегодня я выложил видеозапись своего выступления (оно вдвое длиннее, чем на Kaspersky ICS Security Conference) с CISO Forum , прошедшем в этом сентябре, в рамках которого я вновь коснулся темы дашбордов, но уже в более расширенном варианте.

В начале сентября, первым моим очным мероприятием стала конференция Лаборатории Касперского Kaspersky ICS Security Conference, где я выступил на тему дашбордов по ИБ АСУ ТП.

Остальные видеозаписи с Kaspersky ICS Security Conference 2020 можно посмотреть в плейлисте на Youtube (постепенно туда выкладывают обработанные записи докладов).

Это мое выступление по сути продолжает прошлогоднее, в котором я рассказывал про измерение эффективности ИБ АСУ ТП.

Поэтому я дам ссылку еще и на него, чтобы можно было сложить А и Б, то, что мы измеряем, и то, как мы это визуализируем.

Оказалось, что я видео этого выступления в блоге не выкладывал, так что исправляюсь.

И карты "Тройка"/"Стрелка" могут спокойно циркулировать в семье между ее членами, не обязательно находясь в руках одного конкретного человека.

В итоге переложил это требование на своих поддопечных - на финансовые организации, которые уже сами выставляют требования к покупаемому софту.

Но вернусь к цели - бороться с коронавирусом это не поможет, но мэрия это не понимает, потому что см.

Четвертая цель сбора персданных москвичей - надевание москвичей на кукан, то есть продолжение отработки процесса мониторинга граждан на примере самого крупного города страны.

Если это получится здесь, то в менее населенных населенных пунктах это будет сделать чуть проще (хотя там появятся свои сложности из-за …

Проводим мы тут аудит одного SOCа и в рамках выполняемых работ есть у нас задача проверки и выработки рекомендаций по улучшению системы показателей эффективности SOC (метрик), дашбордов, отчетности и вот этого вот всего.

В процессе воркшопа, в рамках которого мы выясняем детали реализации процесса изменения эффективности, руководитель SOC делится своей болью.

Но при этом метрики пересмотреть забыли и их по-прежнему считали исходя из прежнего технологического стека, ориентированного на преимущественно ручную обработку многих инцидентов.

В продвинутых SOC этим занимается отдельный человек или отдел, который контролирует качество процессов SOC и предлагает их улучшения.

В итоге в рамках проект…

Технические требования по защите теперь прописаны в ГОСТ 57580.1, а не в самом Положении как раньше (хотя часть требований остались в самом Положении).

Недавно ЦБ выложил проект изменений в 683-П, в котором было сделано пару небольших, но важных изменений.

Во-вторых, в проекте изменений 683-П "лицензиат ФСТЭК" был заменен на "проверяющую организацию", а в 719-П старое требование про лицензиатов.

В-третьих, в проекте нового 683-П допускается самостоятельная оценка соответствия банковского ПО, а в 719-П - нет.

Вообще, иногда кажется, что в ЦБ выпуская новые нормативные акты, немного забывают про то, что уже было выпущено ранее.

Если чуть погрузиться в детали, то речь идет не совсем о шифровании, сколько о квантовом распределении ключей, но не суть.

И вот спрашивается, кому нужно решение, которое работает на столь малых расстояниях.

И в чем тогда смысл всех этих сотен миллионов инвестиций в НИРы, если практической значимости в этом немного?

Правда, открытых НИРов в этой области они не анонсируют, но и приведенных на слайде алгоритмов достаточно.

В любом случае, я пока достаточно скептичен в отношении квантового шифрования, которое в последнее время все чаще попадает в заголовки новостей.

Одно из них - расширение запрета на использование элементов значимого объекта КИИ не только 1-й, но уже и 2-й категорией.

Хотя допускаю, что регулятор не рассматривает сервера обновлений как угрозу для ОКИИ и не включает их в контур контроля.

Учитывая курс ФСТЭК на засекречивание всего и вся, боюсь, что обычный субъект КИИ, владеющий значимыми объектами КИИ, получить их не сможет.

То есть, по сути, сертификация, пусть и не функциональная, а по уровням доверия, но становится обязательной для любого средства защиты значимого объекта КИИ.

Закупка обновлений средств защиты без 6-го уровня доверия не будет ли рассматриваться для госкомпаний или госорганов, как нецелевое расходование средств со в…

На прошлой неделе выступал на TLDCON 2020, конференции администраторов и регистраторов национальных доменов верхнего уровня, где рассказывал про возможности использования DNS для расследования инцидентов и анализа вредоносных инфраструктур, которые используют киберпреступники и мошенники для своих афер - рассылки вредоносных программ, хостинга командных серверов, фишинговых сайтов и т.п.

Презентация выложена на Slideshare и в моем канале в Telegram.

В пятницу, на CISO Forum, я завершал это отличное мероприятие мастер-классом о том, как надо готовить презентации и отчеты по ИБ для руководства компании.

Тема эта непростая и за один час изложить ее непросто, но я попытался показать отдельные важные моменты.

Рассказал и про то, на чем делать акцент, и что в отчете обязательно нужны KPI/КПЭ, привлекающие внимание, и как увязать KPI по ИБ с KPI топ-менеджера, и как учитывать интересы целевой аудитории и многое другое.

Но все-таки час - это час.

А пока выкладываю презентацию - на Slideshare и в канал в Telegram.

Продолжаю публиковать ранее невыкладываемые материалы с "Кода ИБ".

На этот раз это будет презентация "13 советов, от которых зависит успешность вашего SOC", которую я читал в апреле 2019 года, то есть более года назад.

Хочу отметить, что вчерашняя презентация про Threat Intelligence читалась мной 2,5 года назад и сегодня на нее смотришь немного иначе, чем тогда.

Так и с презентацией по SOCам - что-то уже не так актуально, но что-то продолжает оставаться достаточно важным и полезным.

Презентацию выкладываю на Slideshare и в свой канал в Telegram.

Пытливые читатели моего блога помнят, что я не раз упоминал серию конференций "Код ИБ.

Профи", в которой также неоднократно (а именно 5 раз) принимал участие (а также в региональных конференциях "Код ИБ").

Профи" и "Код ИБ".

К сожалению, надо признать, что вопрос до сих пор так и не решился, несмотря на несколько напоминаний.

Поэтому я решил, что имею полное право выложить все свои материалы в открытый доступ, что и начинаю делать.

В сентябре у меня организовалось достаточно много различных выступлений, в онлайн и оффлайн формате.

Формат - онлайн.

Формат - онлайн.

Все-таки с таким явлением, как самоизоляция, мы сталкиваемся впервые и для многих она стала неожиданностью, как и последствия для ИБ.

Формат - онлайн.

После почти двухмесячного молчания в блоге, компенсированного активностью в Twitter и Telegram, возвращаюсь и на эту площадку :-) И начну с выкладывания презентации, которую я читал на Kaspersky ICS Security Conference.

Посвящена она дашбордам по ИБ АСУ ТП, хотя ее положения могут быть без особых отличий применяться и не только в АСУ ТП, так как принципы визуализации и донесения информации до лиц, принимающих решения, мало чем отличаются от отрасли к отрасли.

Времени было не так много - всего 30 минут, поэтому не удалось рассказать все, что хотел, но главное все-таки успел.

После доклада ко мне подошел человек из команды организаторов, могу ошибаться, но возможно это был кто-то из звукорежи…

Курс Криса по-прежнему ориентирован только на руководителей/аудиторов/проектантов SOC и не является дополнением к чему бы-то ни было.

Показать, нужен ли SOC организации и если да, то какой, и по какой модели его строить.

Например, как обосновать необходимость SOC руководству компании, какие доводы использовать, каким ролям CxO важны какие задачи SOC и т.п.

Упомянул вчера про прохождение курса по SOCам (для тех, кто думает, что SoC - это System-on-Chip, сообщаю, что это Security Operations Center) и хочу поделиться некоторыми впечатлениями.

Одним нужны курсы по Threat Hunting, другим по реагированию на инциденты, третьим по организации Red Team (если это часть сервисной модели SOC), четверты…

И что я могу сказать по итогам такого образовательного дистанционного интенсива?..

А все потому, что используемая платформа не позволяет организовать именно обучение, а не вебинар.

В одном из курсов это происходило только в чате и только во время присутствия лектора, а в другом - организаторы создали специальные группы в Фейсбуке и Телеграме для постоянного общения.

А я в следующей заметке попробую описать свой опыт прохождения курса по SOCам.

Так сложилось, что я не очень люблю отечественные учебные центры; не важно, в какой области они преподносят свои курсы - в ИБ ли или в чем-то ином.

Недавно была опубликована свежая статистика по выданным сертификатам ISO, ISO Survey 2019. Выбрал самое важное.Общее количество выданных сертификатов на 31.12.2019, рост на 3.8% по сравнению с 2018 годом:Количество сертификатов по ISO 27001 выросло за год на 14%.Топ 10 стран по количеству сертификатов ISO 27001:China - 8356Japan - 5245United Kingdom of Great Britain and Northern Ireland - 2818India - 2309Italy - 1390Germany - 1175Spain - 938Netherlands - 938United States of America - 757Turkey - 729В России - 81, в Финляндии - 66.Больше всего сертификатов в отрасли ИТ - 8562.

Подготовил небольшую таблицу с ответом на вопрос "какие стандарты и лучшие практики использовать для защиты персональных данных". Есть из чего выбрать...Все ссылки и pdf-файл доступны мои подписчикам на Патреон - https://www.patreon.com/posts/42520555

Обновил и выложил на Патреон (платная подписка) все свои майндкарты по стандартам и "лучшим практикам", которые использую в своей работе. Держите весь список:ISMSISO 27001:2013 - https://www.patreon.com/posts/32914010The ISF Standard of Good Practice for Information Security 2020 (SoGP) - https://www.patreon.com/posts/36496886NIST SP 800-53 rev.5 "Security and Privacy Controls for Federal Information Systems and Organizations" - https://www.patreon.com/posts/42255805AuditISO 19011:2018 Guidelines for auditing management systems - https://www.patreon.com/posts/32391752Data Protection and PrivacyGDPR - https://www.patreon.com/posts/30623884One-page document with key points of GDPR - https://w…

У меня на Патреоне (платная подписка) опубликованы 2 документа, раскрывающие требования и рекомендации по легитимному использованию систем видеонаблюдения в контексте защиты персональных данных и выполнения требований GDPR (в частности, ограничения по размещению камер, необходимые уведомления, ограничения по длительности хранения и все такое). В принципе, на них стоит ориентироваться и при обработке ПДн по 152-ФЗ.CCTV and GDPR (checklist) - https://www.patreon.com/posts/39537997The 12 guiding principles in the Surveillance Camera Code of Practice - https://www.patreon.com/posts/41607308

Привет! Этим летом я пересмотрел и обновил все документы, входящие в мой комплект GDPR Implementation Toolkit, а также разработал несколько новых. Теперь все документы выровнены друг с другом, оформлены в одном стиле и актуализированы с учетом новых рекомендаций надзорных органов. Скачать их могут мои подписчики на Патреоне (платная подписка) - https://www.patreon.com/posts/gdpr-toolkit-2-0-41151893

I have prepared my GDPR Implementation Toolkit! It is available for my followers on Patreon:GDPR Short Assessment Template - https://www.patreon.com/posts/gdpr-short-30630519Data Protection Scope (template and example) - https://www.patreon.com/posts/data-protection-32496303GDPR Implementation Roadmap - https://www.patreon.com/posts/gdpr-roadmap-33173554The DPO's first 90 days checklist - https://www.patreon.com/posts/dpos-first-90-34493733List of GDPR documents - https://www.patreon.com/posts/list-of-gdpr-30630426Privacy Information Management System (PIMS) documents by ISO 27701 - https://www.patreon.com/posts/privacy-system-30748394GDPR RACI chart - https://www.patreon.com/posts/gdpr-rac…

В этом месяце я опубликовал на Патреоне (платная подписка) большую презентацию с обзором стандартов и "лучших практик" по управлению информационной безопасностью при взаимодействии с поставщиками - https://www.patreon.com/posts/36989990И еще несколько майндкарт по отдельным документам и подходам:NIST Supply Chain Risk Management - https://www.patreon.com/posts/36769458COBIT 2019 APO10.Managed Vendors - https://www.patreon.com/posts/36765092ISF SGP 2020. Supply Chain Management - https://www.patreon.com/posts/36730264ISO 27036 Information security for supplier relationships - https://www.patreon.com/posts/36357822

Моя презентация про использование RACI матрицы для распределения ответственности за внедрение и поддержание процессов соответствия GDPR, которую я сегодня рассказывал на конференции GDPR Day, доступна подписчикам моего Патреон - https://www.patreon.com/posts/37176801

Недавно ISACA анонсировала новую программу сертификации для специалистов по ИБ, а точнее, по privacy - Certified Data Privacy Solutions Engineer (CDPSE), которая будет доступна со следующего года. Для подтверждения нужно будет сдать экзамен, подтвердить необходимый опыт и ежегодно отчитываться о часах CPE (непрерывное обучение).От специалистов потребуются знания по 3м доменам: Privacy Governance, Privacy Architecture и Data Cycle. Подробнее представил информацию в виде майндкарты (в pdf и xmind доступна на Патреоне):А пока сертификация только набирает популярность, есть хорошая возможность для специалистов с опытом получить сертификат без экзамена. Для этого надо соответствовать критериям:H…

В апреле я подготовил и выложил на Патреон две большие презентации с разбором важных тем по обработке и защите персональных данных в контексте GDPR. 1. "GDPR and Personal Data Transfers". 30 слайдов про передачу ПДн между организациями и особенности трансграничного обмена данным.2. "GDPR and Security", это обновленный и сильно расширенный вариант моей старой презентации про требования информационной безопасности (был 21 слайд, стало 81).Если тема вам близка и интересна, то подписывайтесь на мой Патреон и получите доступ ко всем презентациям, майндкартам, чек-листам и шаблонам документов по управлению информационной безопасностью...

Сегодня принял участие в виртуальной встрече специалистов по обработке и/или защите персональных данных, которую проводили мои друзья из RPPA и KPMG. На ней совсем кратко (у меня было всего 15 минут) рассказал про самые важные различия в подходах к работе с ПДн в России и Европе. Держите презентацию: Data protection RU vs EU from Andrey Prozorov, CISM Если со slideshare сложности, то можете скачать презентацию в ВК - https://vk.com/wall-153623342_3600Ну, и еще посмотрите мою январскую заметку на эту же тему "Различия в подходах к обработке и защите ПДн в Европе и России", там таблица и дополнительные комментарии.

Посмотрел на новый проект методики моделирования угроз безопасности информации от ФСТЭК России. Документ интересен в качестве методического, из него можно взять много полезных идей и моделей (например, сам процесс моделирования угроз, примеры негативных последствий, виды нарушителей и их возможности, тактика нарушителей).Но проблема в том, что предполагается, что он будет обязательным для широкого списка ИС:"Методика определяет порядок и содержание работ по моделированию угроз безопасности информации, включая персональные данные, в информационных (автоматизированных) системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, в том числе отнесенных к объектам…

Наконец-то удалось выделить достаточно времени для вдумчивого изучения книг COBIT 2019. На текущий момент комплект состоит из 4х базовых (COBIT® 2019 Framework: Introduction and Methodology, COBIT® 2019 Framework: Governance and Management Objectives, COBIT® 2019 Design Guide: Designing an Information and Technology Governance Solution, COBIT® 2019 Implementation Guide: Implementing and Optimizing an Information and Technology Governance Solution) и дополнительной книги Implementing the NIST cybersecurity framework using COBIT 2019.Как и прошлые редакции методологии COBIT ее крайне полезно использовать для управления ИТ, и довольно удобно (после некоторой адаптации) применять и для управлен…

Кратко подведу итоги ведения страницы на Патреон (доступ к контенту по платной подписке) за 1й квартал 2020 года. Это вторые 3 месяца моей активности на этой платформе, про итоги первых трех я писал в заметке тут.1. Наличие подписчиков очень меня дисциплинирует, за первые 3 месяца года я подготовил и опубликовал следующие материалы:ISO 27001 Mindmap. Майндкарта по стандарту ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements.Evolution of Data Protection Law in Europe (with short description). Краткая история развития privacy в Европе, требуется для подготовки к экзамену CIPP/E.CIPP/E Resource List (for the exam preparation…

По приглашению коллег из ЭКСПО-ЛИНК принял участие в их проекте “Безопасная среда” и прочитал короткий доклад про особенности мониторинга информационной безопасности для АСУ ТП.

Постарался перечислить основные сложности практического создания систем мониторинга для промышленных сегментов, а также варианты их (сложностей) нивелирования.

Запись велась и после обработки будет выложена на YouTube, а пока делюсь своей презентацией. Другие записи моих выступлений можно посмотреть здесь: https://zlonov.com/speeches/.

Знаете ли вы, что сегодня создать поддельное (deepfake) видео можно буквально за полчаса, не обладая при этом никакими специальными знаниями и не имея в своём распоряжении никаких особых вычислительных мощностей?

Само преобразование выполняется с помощью Wav2Lip, онлайн-демо которого можно протестировать на этой странице: https://bhaasha.iiit.ac.in/lipsync/.

Правда, у меня так и не получилось подобрать нужные исходные файлы, не приводящие к появлению ошибки: 413 Request Entity Too Large .

Так что пришлось воспользоваться чуть более сложным, но зато сработавшим вариантом на базе Google Colab.

Ну, и не могу не воспользоваться случаем процитировать вот этот свой твит:

Знаете ли вы, что сегодня создать поддельное (deepfake) видео можно буквально за полчаса, не обладая при этом никакими специальными знаниями и не имея в своём распоряжении никаких особых вычислительных мощностей?

Вот пример наложения слов персонажа Глеба Жеглова на выступление глубоко уважаемого мной Виталия Сергеевича Лютикова, который, надеюсь, не будет в обиде за этот невинный ролик =) Не самый впечатляющий результат, но зато единственные специальные утилиты, которые потребовались для создания этого видео - это браузер и простейший видеоредактор (и то только для нарезки исходных материалов). Всё остальное было сделано онлайн.

Само преобразование выполняется с помощью Wav2Lip, онлайн-демо…

Помню, как на заре становления темы ИБ АСУ ТП в России на меня произвело впечатление решение от одной компании, предлагающей специализированные промышленные межсетевые экраны с встроенной функцией VPN.

Экран как экран, VPN как VPN, но особенностью решения был аппаратный (физический) ключ, поворот которого исключал возможность удалённого подключения.

Позиционировалось этот как некая гарантированная защита от злоумышленников/разгильдяев как с легальным доступом, но, например, получающих доступ вне рамках установленной процедуры, так и от внешних злодеев (читай — хакеров).

Оперативно на сайте производителя подобных решений в современной линейке его оборудования найти не удалось, так что ссылок…

Помню, как на заре становления темы ИБ АСУ ТП в России на меня произвело впечатление решение от одной компании, предлагающей специализированные промышленные межсетевые экраны с встроенной функцией VPN.

Экран как экран, VPN как VPN, но особенностью решения был аппаратный (физический) ключ, поворот которого исключал возможность удалённого подключения.

Позиционировалось этот как некая гарантированная защита от злоумышленников/разгильдяев как с легальным доступом, но, например, получающих доступ вне рамках установленной процедуры, так и от внешних злодеев (читай - хакеров).

Оперативно на сайте производителя подобных решений в современной линейке его оборудования найти не удалось, так что ссылок…

Традиционный обзор новинок Государственного реестра сертифицированных средств защиты информации (СрЗИ) в этот раз будет не квартальным, а сразу полугодовым.

Средства сетевой защитыМежсетевые экраны (МЭ) — традиционно самый широко представленный тип средств защиты информации в реестре ФСТЭК России.

:№4228 — модуль доверенной загрузки Numa Arce Соответствует требованиям документов: Требования к СДЗ, Профиль защиты СДЗ(базовой системы ввода-вывода четвертого класса защиты.

ИТ.ОС.А2.ПЗ)№4220 — операционная система Аврора Соответствует требованиям документов: Требования доверия(4), Требования к ОС, Профиль защиты ОС(А четвертого класса защиты.

ИТ.ОС.А4.ПЗ)Корпоративнные и офисные приложения№4211…

Традиционный обзор новинок Государственного реестра сертифицированных средств защиты информации (СрЗИ) в этот раз будет не квартальным, а сразу полугодовым. Так что и новых сертификатов (выданных на серию) сегодня больше обычного - 50 штук.

Вот они, разбитые на отдельные (весьма условные, правда) подгруппы.

Средства сетевой защиты

Межсетевые экраны (МЭ) - традиционно самый широко представленный тип средств защиты информации в реестре ФСТЭК России. При этом отдельные решения (Check Point, FortiGate, Dionis DPS) одновременно совмещают в себе ещё и функции систем обнаружения вторжений (СОВ), а, например, Trend Micro Deep Security 10 дополнительно к МЭ и СОВ является сертифицированным средством…

На Rusprofile.ru (независимый источник информации о российских организациях) размещена бухгалтерская отчетность компаний за 2019 год.

Так что можно, не дожидаясь очередного отчёта CNews 100 или рейтинга TAdviser, бегло оценить, как обстоят дела у подрядчиков/конкурентов/партнёров с финансовым положением.

Например, если взять юридические лица, упомянутые в отчёте Anti-Malware.ru Сравнение токенов с аппаратной поддержкой алгоритмов ГОСТ и сертификатом ФСБ, то можно получить некоторое представление о тенденциях и перспективах отечественного рынка аппаратных токенов. Юрлицо

Токен

Выручка 2018, млн руб

Выручка 2019, млн руб

Дельта АО «Актив-софт»

Рутокен S, РУТОКЕН ЭЦП 2.0

1168

1231

5 % ISBC Gro…

Сформулированный для краткости немного в вольной форме вопрос в теме этого поста развернуть можно так: Необходимо ли организации получать лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации в случаях, когда организация осуществляет лицензируемый вид деятельности для собственных нужд? Вопросу не один год, найти на него ответ можно и в законодательстве и в других источниках, но мне понравилась формулировка коллег из УЦСБ, с которыми этот вопрос недавно обсуждали.

Официальный ответ зафиксирован в Постановлении Правительства РФ №79 от 03.02.2012 «О лицензировании деятельности по ТЗКИ», а неофициальный звучит так: Те пункты, где фигурируют «работы» — нужна лиц…

Пару советовТеперь я Клауд Практитионер!100 минут (сдал минут за 50)65 вопросов90 евро~неделя подготовки, но на экзамене пришлось понервничать.

Лучше, конечно, не рисковать и потратить месяц.Все в облако, ну и я в облако.

).Подходы Amazon к миграции данных, много финансовых вопросов про стоимость сервисов.Я не могу сказать, что сертификация расчитана на какою-то конкретную роль.

Могу предположить, что такая политика увеличивает продажы за счёт перездач.Очень много было вопросов с несколькими правильными ответами (выбери два-три из них).

Вероятность угадать 2 из 5-ти существенно ниже, чем 1 из 4х (0.11 против 0.25).В целом, конечно, экзамен базовый, проходной и опциональный, если ваша цель A…

Продолжая цикл материалов, рассказывающих про проект Atomic Threat Coverage и их инициативу по развитию коммьюнити вокруг MITRE ATT&CK, не могу не анонсировать их второй двухнедельный спринт Open Security Collaborative Development (OSCD) по наполнению и распространению знаний и общих проблем кибербезопасности. В этот раз ребята сфокусируются на Threat Simulation, Threat Detection и Incident Response и будут разрабатывать тесты для , и , улучшая их покрытие фреймворков MITRE ATT&CK и ATC RE&CT. Спринт стартует 5-го октября и продлится 2 недели. Если идея глобального объединения для борьбы с угрозами вам близка, то смело пишите ребятам в телегу и записывайтесь: @aw350m3 @zinint @yugoslavskiy …

Достойный материал про напрасно позабытый метод HTTP Request Smuggling, который позволил управлять корпоративными мобильными устройствами (вплоть до полного сброса), отправляя поддельные запросы на MDM сервер Citrix, и получить $17,000+ в качестве вознаграждения по Bug Bounty. https://medium.com/@ricardoiramar/the-powerful-http-request-smuggling-af208fafa142

Управление уязвимостями. Кто кого? Задумывались ли вы, насколько эффективно выявляете и устраняете уязвимости? Positive Technologies решили выяснить, как ИБ-специалисты оценивают качество управления уязвимостями в своих компаниях. Приглашаем принять участие в опросе. Результаты будут опубликованы в виде аналитической статьи на сайте Positive Technologies. Опрос анонимный. https://ru.research.net/r/JZGBRBG

Помните материал про , где автор рассказывал об унификации процесса обмена и реагирования на угрозы ИБ, с привязкой к MITRE ATT&CK? Сегодня я хочу вам рассказать об одном проекте под названием Atomic Threat Coverage. Ребята подружили Atomic Red Team, предназначенный для проведения автоматизированных тестов, имитирующих действия RedTeam, с проектом Sigma и их правилами обнаружения угроз, обвязали все это вокруг MITRE ATT&CK, прикрутив туда аналитику и визуализацию. Т.е по факту вы получаете собственную структурированную базу знаний, с возможностью загрузки/выгрузки как публичной, так и собственной аналитики, и все это с наложением на самый популярный рабочий фреймворк от MITRE. Недавно они з…

Помните я недавно рассказывал об Atomic Threat Coverage? На днях вышло интервью с основателем этого проекта, Даниилом Югославским. Даня рассказал про свой профессиональный рост в качестве специалиста, сферу обнаружения и реагирования на угрозы, и свои defensive-проекты. Для досугового просмотра рекомендую. https://www.youtube.com/watch?v=3nMhmbZnmdg

DetectionLab — проект, позволяющий за несколько часов развернуть небольшую виртуальную лабу на базе Windows, для использования ее в исследовательских целях и тестировании. В чем суть? Весь деплой и конфигурация уже автоматизированы (DevOps, мать его) на базе Terraform, Ansible и Vagrant, а Packer вам пригодится только если вы решите использовать собственные образы ОС. На выходе вы получаете 4 сконфигурированные тачки с правильными настройками логирования, рабочий домен, log forwarder, Splunk и пр. Все это можно использовать для самых разнообразных целей и гибко менять. Хотите видеть какие типы событий и журналов генерят бинари, инструменты или техники атак, пишите SIGMA правила, администрир…

Я не любитель писать о таких событиях, но 10 000 подписчиков на канале это серьезный юбилей. Только представьте 10 000 человек разных возрастов и специальностей, объединенных тематикой информационной безопасности. В связи с этим хочу выразить огромную благодарность каждому из вас за доверие. Это новая отправная точка для меня, дальше — больше.

Gitlab - достаточно популярный продукт для разработки, благодаря self-hosted решению его часто можно встретить на поддоменах компаний. Помимо того, что в нем также присутствует регистрация без подтверждения email’а (смотрим в предыдущие посты), это еще и отличная возможность собрать информацию о сотрудниках. Без аутентификации доступен следующий API метод - gitlab.company.local/api/v4/users/{id} На самом gitlab - эта ручка также доступна, например https://gitlab.com/api/v4/users/7154957: {"id":7154957,"name":"Bo0oM","username":"webpwn","state":"active","avatar_url":"https://secure.gravatar.com/avatar/4e99709ca6b52f78d02cb92a5bc65d85?s=80\u0026d=identicon","web_url":"https://gitlab.com/webpw…

Скорость реагирования имеет существенное значение в современной среде угроз, поэтому рынок не долго думая придумал очередной класс решений под названием SOAR. Прежде всего SOAR это логическое дополнение для решений SIEM, позволяющие автоматизировать реагирование на инциденты. Такой усложненный вариант If This Then That. Тренд рынок уловил и наполнился решениями под разные размеры кошелька. Для тех, кто не хочет иметь ничего общего с энтерпрайзом, можно попробовать выйти из положения собственными силами или поддержать другой проект с открытым исходным кодом. Вот например ребята делают Shaffle SOAR, пока сыровато, но уже есть возможность создания разных workflow, интеграция с TheHive, Cortex …

Курс Microsoft, нацеленный на кибербезопасность, выглядит очень взвешенно: постепенное поглощение сильных ИБ-игроков (CyberX, Hexadite и др.), доработка собственной продуктовой экосистемы, все это очень амбициозно. Взять хотя бы их платформу Microsoft Defender ATP (Advanced Threat Protection), которая помимо Windows уже работает под Linux, macOS и Android. К сожалению в России Defender ATP не очень популярен, там не менее многие компании используют его в составе того же Office 365, поэтому вот вам хорошо структурированный материал по работе с ним: https://techcommunity.microsoft.com/t5/microsoft-defender-atp/become-a-microsoft-defender-atp-ninja/ba-p/1515647

🔥Мы знаем, что вы будете делать 22–23 апреля 2021 года На сроки постапокалипсиса IRL мы повлиять не можем. Но дату постапокалипсиса в стенах отдельно взятой конференции по кибербезопасности мы уже назначили. Ждем всех 22 и 23 апреля следующего года на OFFZONE 2021 в Москве (можете не проверять, это четверг и пятница;) Все обещания в силе:

— если вы сохранили билет на OFFZONE 2020, вы сможете по нему посетить OFFZONE 2021;

— если сохраненный билет был куплен до 12 марта 2020 года, при встрече мы подарим вам эксклюзивную футболку;

— если новые даты не подходят, вы можете сдать билет и вернуть 100% от его стоимости до 21 марта 2021 года включительно. Даты — в календарь, ожидание — на максимум,…

Кому, как не крупнейшему CDN провайдеру и разработчику решения против DDoS-атак делать аналитический отчет по трендам в DDoS? Если коротко, то первый квартал особо без изменений, в большинстве своем L2-L3/4, дешевизна все еще делает DDoS актуальным, есть незначительные изменения по сравнению с пошлым годом: - Атаки стали длиться дольше

- Количество атак выше 10 Гбит/с сократилось

- Количество атак ниже 10 Гбит/с возросло

- Зафиксировано 34 типа атаки L2-L3/4 В конце не обошлось без рекламы решения от DDoS. Как же без этого? :) https://blog.cloudflare.com/network-layer-ddos-attack-trends-for-q1-2020/

Национальное агентство Великобритании по признанию и сравнению международных квалификаций и навыков UK NARIC признало сертификацию CISSP эквивалентной уровню RQF Level 7, что по европейской системе сопоставимо с уровнем квалификации магистра. Из-за этой новости сейчас у многих пылает пятая точка. Мнения разделились, кто-то пишет, что 4 года усердной учебы никак не могут быть эквивалентны 3-часовому экзамену, а кто-то наоборот заверяет, что сдать CISSP было куда сложнее, чем получить степень магистра в его учебном заведении. Но большинство, конечно склоняются к тому, что это абсурд. Признание UK NARIC уже вступило в силу и распространяется на территории Великобритании и Европы на всех, кто у…

Передавайте привет 17-ти летнему багу в Windows DNS.

SIGRed CVE-2020-1350, CVSS: 10,0 https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/ https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/

Additionally, the company would no longer offer access to software upgrades or replacement parts, effectively slapping an expiration date on boxes currently in use.

Any advancements in cellular technology, such as the rollout of 5G networks in most major U.S. cities, would render them obsolete.

The article goes on to talk about replacement surveillance systems from the Canadian company Octasic.

Once connected, Nyxcell prompts devices to divulge information about its signal strength relative to nearby cell towers.

Gizmodo was, however, able to recover domain records identifying Octasic as the owner.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

New Report on Police Decryption CapabilitiesThere is a new report on police decryption capabilities: specifically, mobile device forensic tools (MDFTs).

This report documents the widespread adoption of MDFTs by law enforcement in the United States.

We found that state and local law enforcement agencies have performed hundreds of thousands of cellphone extractions since 2015, often without a warrant.

[…] The tools mostly come from Grayshift, an Atlanta company co-founded by a former Apple engineer, and Cellebrite, an Israeli unit of Japan’s Sun Corporation.

Their flagship tools cost roughly $9,000 to $18,000, plus $3,500 to $15,000 in annual licensing fees, according to invoices obtained by …

The NSA released an advisory listing the top twenty-five known vulnerabilities currently being exploited by Chinese nation-state attackers.

This advisory provides Common Vulnerabilities and Exposures (CVEs) known to be recently leveraged, or scanned-for, by Chinese state-sponsored cyber actors to enable successful hacking operations against a multitude of victim networks.

Most of the vulnerabilities listed below can be exploited to gain initial access to victim networks using products that are directly accessible from the Internet and act as gateways to internal networks.

The majority of the products are either for remote access (T1133) or for external web services (T1190), and should be pr…

Cybersecurity VisualsThe Hewlett Foundation just announced its top five ideas in its Cybersecurity Visuals Challenge.

The problem Hewlett is trying to solve is the dearth of good visuals for cybersecurity.

A Google Images Search demonstrates the problem: locks, fingerprints, hands on laptops, scary looking hackers in black hoodies.

Hewlett wanted to go beyond those tropes.

I really liked the idea, but find the results underwhelming.

Researchers are tricking autopilots by inserting split-second images into roadside billboards.

In new research, they’ve found they can pull off the same trick with just a few frames of a road sign injected on a billboard’s video.

They also upgraded to Tesla’s most recent version of Autopilot known as HW3.

They found that they could again trick a Tesla or cause the same Mobileye device to give the driver mistaken alerts with just a few frames of altered video.

The researchers found that an image that appeared for 0.42 seconds would reliably trick the Tesla, while one that appeared for just an eighth of a second would fool the Mobileye device.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

US Cyber Command and Microsoft Are Both Disrupting TrickBotEarlier this month, we learned that someone is disrupting the TrickBot botnet network.

On Sept. 22, someone pushed out a new configuration file to Windows computers currently infected with Trickbot.

As we observed the infected computers connect to and receive instructions from command and control servers, we were able to identify the precise IP addresses of those servers.

To execute this action, Microsoft formed an international group of industry and telecommunications providers.

Defendants physically alter and corrupt Microsoft products such as the Microsoft Windows products.

Upcoming Speaking EngagementsThis is a current list of where and when I am scheduled to speak:The list is maintained on this page.

Posted on October 14, 2020 at 12:15 PM • 0 Comments

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School and a board member of EFF.

This personal website expresses the opinions of neither of those organizations.

Google Responds to Warrants for “About” SearchesOne of the things we learned from the Snowden documents is that the NSA conducts “about” searches.

After all, the only way to know who said a particular name is to know what everyone said, and the only way to know who was at a particular location is to know where everyone was.

“We vigorously protect the privacy of our users while supporting the important work of law enforcement,” Google’s director of law enforcement and information security Richard Salgado told us.

Avondale police knew almost two months before they arrested Molina that another man ­ his stepfather ­ sometimes drove Molina’s white Honda.

Data obtained by Avondale police from Go…

Hacking Apple for ProfitFive researchers hacked Apple Computer’s networks — not their products — and found fifty-five vulnerabilities.

So far, they have received $289K.

One of the worst of all the bugs they found would have allowed criminals to create a worm that would automatically steal all the photos, videos, and documents from someone’s iCloud account and then do the same to the victim’s contacts.

Lots of details in this blog post by one of the hackers.

Posted on October 12, 2020 at 5:58 AM • 0 Comments

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School and a board member of EFF.

This personal website expresses the opinions of neither of those organizations.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School and a board member of EFF.

This personal website expresses the opinions of neither of those organizations.

The latest cracks in Widevine concern the encryption technology’s protection for L3 streams, which is used for low-quality video and audio streams only.

Google says the weakness does not affect L1 and L2 streams, which encompass more high-definition video and audio content.

“As code protection is always evolving to address new threats, we are currently working to update our Widevine software DRM with the latest advancements in code protection to address this issue,” Google said in a written statement provided to KrebsOnSecurity.

Most modern smartphones and mobile devices support much more robust L1 and L2 Widevine protections that do not rely on L3.

Further reading: Breaking Content Protect…

Some of the world’s largest Internet firms have taken steps to crack down on disinformation spread by QAnon conspiracy theorists and the hate-filled anonymous message board 8chan.

That idea was floated by Ron Guilmette, a longtime anti-spam crusader who recently turned his attention to disrupting the online presence of QAnon and 8chan (recently renamed “8kun”).

The same is true for Centauri Communications, a Freemont, Calif.-based Internet Service Provider that serves as N.T.

“ARIN has received a fraud report from you and is evaluating it,” a spokesperson for ARIN said.

Technology Inc., QAnon, Ron Guilmette

Following a brief disruption, the sites have come back online with the help of an Internet company based in St. Petersburg, Russia.

A large number of 8kun and QAnon-related sites (see map above) are connected to the Web via a single Internet provider in Vancouver, Wash. called VanwaTech (a.k.a.

But they confirmed that CNServers had indeed terminated its service with Spartan Host.

That person added they weren’t a fan of either 8kun or QAnon, and said they would not self-describe as a Trump supporter.

QAnon: A Timeline of Violent Linked to the Conspiracy TheoryTags: 8chan, 8kun, CNServers, ddos-guard, Nick Lim, OrcaTech, QAnon, Ron Guilmette, Ryan McCully, Spartan Host Ltd., VanwaTech

KrebsOnSecurity has learned the data was stolen in a lengthy data breach at more than 100 Dickey’s Barbeque Restaurant locations around the country.

On Monday, the carding bazaar Joker’s Stash debuted “BlazingSun,” a new batch of more than three million stolen card records, advertising “valid rates” of between 90-100 percent.

Today, the company shared a statement saying it was aware of a possible payment card security incident at some of its eateries:“We received a report indicating that a payment card security incident may have occurred.

We are utilizing the experience of third parties who have helped other restaurants address similar issues and also working with the FBI and payment card n…

In keeping with that theme, if you (ab)use Microsoft Windows computers you should be aware the company shipped a bevy of software updates today to fix at least 87 security problems in Windows and programs that run on top of the operating system.

Other patches released today tackle problems in Exchange Server, Visual Studio, .NET Framework, and a whole mess of other core Windows components.

For any of you who’ve been pining for a Flash Player patch from Adobe, your days of waiting are over.

Chrome and Firefox both now disable Flash by default, and Chrome and IE/Edge auto-update the program when new security updates are available.

Tags: CVE-2020-16898, CVE-2020-16947, Dustin Childs, Flash Pla…

Microsoft Corp. has executed a coordinated legal sneak attack in a bid to disrupt the malware-as-a-service botnet Trickbot, a global menace that has infected millions of computers and is used to spread ransomware.

A court in Virginia granted Microsoft control over many Internet servers Trickbot uses to plunder infected systems, based on novel claims that the crime machine abused the software giant’s trademarks.

In legal filings, Microsoft argued that Trickbot irreparably harms the company “by damaging its reputation, brands, and customer goodwill.

Defendants physically alter and corrupt Microsoft products such as the Microsoft Windows products.

Microsoft said it did not expect its action to…

A week ago, KrebsOnSecurity broke the news that someone was attempting to disrupt the Trickbot botnet, a malware crime machine that has infected millions of computers and is often used to spread ransomware.

A new report Friday says the coordinated attack was part of an operation carried out by the U.S. military’s Cyber Command.

Holden said the Trickbot operators have begun rebuilding their botnet, and continue to engage in deploying ransomware at new targets.

“Normally, they will ask for [a ransom amount] that is something like 10 percent of the victim company’s annual revenues.

Now, some of the guys involved are talking about increasing that to 100 percent or 150 percent.”Tags: alex holden…

Your email account may be worth far more than you imagine.

The Pravda story says Ukrainian authorities were working with the U.K. government to secure Davies’ extradition, but he appears to have slipped away once again.

In some cases, the victims had agreed to use Bernard’s Secure Swiss Data software and services to store documents for the due diligence process.

In February 2020, Secure Swiss Data was purchased in an “undisclosed multimillion buyout” by SafeSwiss Secure Communication AG.

Also, John Bernard’s main website — the-private-office.ch — replaced the content on its homepage with a note saying it was closing up shop.

One of those firms actually issued a press release in August saying it had been promised an infusion of millions in cash from…

Intel 471 found that it happened yet again on Oct. 1, suggesting someone with access to the inner workings of the botnet was trying to disrupt its operations.

“Shortly after the bogus configs were pushed out, all Trickbot controllers stopped responding correctly to bot requests,” Intel 471 wrote in a note to its customers.

“This domain should still be in control of the Trickbot operators and could potentially be used to recover bots,” Intel 471 wrote.

“Someone is flooding the Trickbot system with fake data,” Holden said.

Tags: alex holden, Hold Security, Intel 471, Mark Arena, Ryuk, trickbot, UHS, Universal Health Services

Companies victimized by ransomware and firms that facilitate negotiations with ransomware extortionists could face steep fines from the U.S. federal government if the crooks who profit from the attack are already under economic sanctions, the Treasury Department warned today.

Those that run afoul of OFAC sanctions without a special dispensation or “license” from Treasury can face several legal repercussions, including fines of up to $20 million.

The Federal Bureau of Investigation (FBI) and other law enforcement agencies have tried to discourage businesses hit by ransomware from paying their extortionists, noting that doing so only helps bankroll further attacks.

But in practice, a fair num…

Emergency 911 systems were down for more than an hour on Monday in towns and cities across 14 U.S. states.

But according to officials in Henderson County, NC, which experienced its own 911 failures yesterday, Intrado said the outage was the result of a problem with an unspecified service provider.

“On September 28, 2020, at 4:30pm MT, our 911 Service Provider observed conditions internal to their network that resulted in impacts to 911 call delivery,” reads a statement Intrado provided to county officials.

An FCC spokesperson declined to comment on Monday’s outage, but said the agency was investigating the incident.

Tags: 911 outage, Azure, CenturyLink, FCC, Federal Communications Commissio…

But as last week’s story noted, Bernard’s investment company is a bit like a bad slot machine that never pays out.

Sometime on Thursday John Bernard’s main website — the-private-office.ch — replaced the content on its homepage with a note saying it was closing up shop.

Also, John Bernard’s office typically did not reach out to investment brokers directly.

A search on that street address at 4iq.com turns up several interesting results, including a listing for senecaequities.com registered to a John Davies at the email address john888@myswissmail.ch.

Tags: Colette Davies, Inside Knowledge, Iryna Davies, John Bernard, John Clifton Davies, john888@myswissmail.ch, National Crime Agency, The Priv…

Microsoft warned on Wednesday that malicious hackers are exploiting a particularly dangerous flaw in Windows Server systems that could be used to give attackers the keys to the kingdom inside a vulnerable corporate network.

The flaw is present in most supported versions of Windows Server, from Server 2008 through Server 2019.

The vulnerability could let an unauthenticated attacker gain administrative access to a Windows domain controller and run an application of their choosing.

“Given the flaw is easily exploitable and would allow an attacker to completely take over a Windows domain, it should come as no surprise that we’re seeing attacks in the wild,” Caveza said.

Based on the rapid speed…

Tyler Technologies, a Texas-based company that bills itself as the largest provider of software and technology services to the United States public sector, is battling a network intrusion that has disrupted its operations.

Plano, Texas-based Tyler Technologies [NYSE:TYL] has some 5,300 employees and brought in revenues of more than $1 billion in 2019.

Tyler Technologies declined to say how the intrusion is affecting its customers.

Tyler Tech has pivoted on the threat of ransomware as a selling point for many of its services, using its presence on social media to promote ransomware survival guides and incident response checklists.

Tags: ransomware, Tyler Technologies, tylertech.com

European IT services group Sopra Steria has shared more details of the cyber attack which hit its offices last week, confirming speculation that it fell victim to a ransomware attack.

According to a press release issued by the firm, Sopra Steria first discovered it was under attack on the evening of 20 October, and has since identified that the culprit was a “new version” of the notorious Ryuk ransomware.

According to Sopra Steria, it has since shared samples of the ransomware with anti-virus vendors and computer crime-fighting agencies.

“Sopra Steria’s investigation teams immediately provided the competent authorities with all information required.

Interestingly, the attack against Sopra S…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Last month hackers made the astonishing claim that they had managed to crack Donald Trump’s password back in 2016.

“yourefired”Ok. That’s clearly not good at all, but surely by now Donald Trump – who has spent much of his presidency on Twitter – has learnt his lesson?

Gevers shared a screenshot, which appeared to demonstrate he had full access to Donald Trump’s profile.

At the time of writing, it appears that the password has been changed and 2FA has been (quite rightly) enabled.

Follow Graham Cluley on Twitter to read more of the exclusive content we post.

The Twitter account of the Fort Bragg US military base was deleted last night, after what it claimed was a hack.

What happened was this, someone posted a message on the Fort Bragg (@FtBraggNC) Twitter account praising images posted by self-proclaimed “wholesome pervert” Quinn Finite, who shares intimate adult images of herself in exchange for cash on the OnlyFans site.

So, was this a hacker who compromised the Fort Bragg official Twitter account, or a social media employee who carelessly forgot to tweet from their private Twitter account and posted from @FtBraggNC instead?

Fort Bragg certainly gave the impression that its account had been hacked, posting a tweet apologising for the “string …

The flaw, discovered by vulnerability researcher Slavco Mihajloski, opened up opportunities for cybercriminals to completely compromise WordPress sites.

And this, it appears, is what motivated WordPress to initiate a forced update for the plugin on third-party sites running vulnerable earlier versions – even if administrators had not requested the plugin to install automatic updates.

That forced update, understandably, saw a massive spike in downloads for the fixed version of the Loginizer plugin.

After all, what if a security update for a plugin, forced upon a site without the site’s knowledge and permission, unexpectedly introduces a critical bug or incompatibility?

By then, hopefully, al…

European IT services group Sopra Steria has been hit by a cyber attack.

French media reports have claimed that the company has fallen foul of ransomware, but for now all Sopra Steria has confirmed in a terse official press release is that it has “detected” a “cyber attack” on its network:A cyberattack has been detected on Sopra Steria’s IT network on the evening of 20th October.

Sopra Steria is in close contact with its customers and partners, as well as the competent authorities.

Although it might be easy for those unaffected to be bemused by the irony of a company like Sopra Steria being hit by ransomware, it’s really a reminder that any organisation could potentially fall victim to a det…

All this and much more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault, joined this week by Tim Hwang.

Hosts:Graham Cluley – @gcluleyCarole Theriault – @caroletheriaultGuest:Tim Hwang – @timhwangShow notes:Sponsor: LastPass LastPass Enterprise makes password security effortless for your organization.

Go to lastpass.com/smashing to see why LastPass is the trusted enterprise password manager of over 33 thousand businesses.

Sponsor: Recorded Future Recorded Future empowers your organization, revealing unknown threats before they impact your business, and helping your teams respond to alerts 10 …

Many thanks to the fab folks at Recorded Future, who are sponsoring my writing this week.

You too can access up-to-the-minute security intelligence that allows Recorded Future clients to make fast, confident security decisions.

Just install the free browser extension, Recorded Future Express.

Recorded Future Express overlays the firm’s unprecedented intelligence and expertise over any webpage — including SIEMs, vulnerability scans, security blogs, and more.

Install Recorded Future Express for free today to accelerate your investigations and make better, faster decisions.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

In it, they revealed that they had mitigated against the largest known distributed denial-of-service (DDoS) attack, when its infrastructure blocked a whopping 2.5 Tbps (Terabits per second) attack.

And when GitHub suffered a DDoS attack in 2018, that peaked at some 1.35 terabits per second.

Google’s announcement last week of the 2.5 Tbs DDoS attack it mitigated means that we now have a new candidate for the biggest DDoS attack in history:Our infrastructure absorbed a 2.5 Tbps DDoS in September 2017, the culmination of a six-month campaign that utilized multiple methods of attack.

That Google has only told us now, three years later, about the biggest DDoS attack in history.

For now, until so…

The trials and tribulations of London’s Hackney Council continue after it suffered a “serious cyber attack” last week.

What isn’t in any doubt is the amount of disruption the attack is having on residents of the London borough of Hackney.

At the time of writing, for instance, Hackney Council says:It is unable to make payments including housing benefit, discretionary housing payments, and certain supplier payments.

It is unable to accept new applications to join the borough’s housing waiting list, for housing benefit, or for the council tax reduction scheme.

These are the real-life victims of a cyber attack – thousands of innocent people, some of whom may desperately need money in their pock…

In December 2016, Carole Theriault, Vanja Svajcer, and I got together to record a podcast which we called “Smashing Security”.

Since Svajcer’s departure, the podcast has invited other guests from the world of cybersecurity onto the show.

These have included the likes of Garry Kasparov, Brian Klaas, Mikko Hyppönen, Troy Hunt, Jack Rhysider, and Maria Varmazis amongst many others.

Carole and I have been producing a light-hearted look at the world of cybersecurity and privacy just about every week since December 2016.

It was a riot, and I’d like to personally apologise to the people of Newcastle…The video stream party isn’t really representative of what the weekly podcast is like, but if you w…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

В конце сентября стало известно, что в Интернет утекли исходники Windows XP.

Постепенно производители защитных решений перестают поддерживать устаревшие версии решений, которые все еще могут использоваться для защиты Windows XP.

Защитное решение для устаревших системУтечка исходников — хороший повод провести ревизию корпоративных систем и по возможности обновить устройства с Windows XP хотя бы до Windows 7.

Изначально оно создавалось для защиты таких устройств, как банкоматы и POS-терминалы, которые работают под управлением операционных систем семейства Windows Embedded, в том числе построенных на базе Windows XP.

Советы по защите устройств с Windows XPЕсли в компьютерном парке вашей компан…

Заводите несколько штук и используете их как плейлисты: «Для совместного просмотра», «Для беговой дорожки», «Для грустного настроения» и так далее.

Таким образом, каталоги Netflix для США и Великобритании с нашим приложением становятся доступны из любого уголка мира.

Некоторые интернет-провайдеры отслеживают видеопотоки Netflix и замедляют их, вынуждая сам сервис понизить скорость передачи и, как следствие, ухудшить качество картинки.

Наконец, Kaspersky Secure Connection — это не просто решение для просмотра Netflix в любой точке мира.

Благодаря этому вы остаетесь в безопасности и дома, и в публичной сети Wi-Fi, и можете спокойно наслаждаться любимыми фильмами.

Нехватка специалистов по кибербезопасности, ощущаемая на рынке не первый год, стала особенно болезненной в 2020-м.

Даже небольшим фирмам стало очевидно, что навыков IT-администратора уже недостаточно для обеспечения непрерывности бизнеса и защиты корпоративной информации.

И они в большинстве случаев отлично справились с задачей — обеспечили доступ к информационным системам компаний, настроили новые сервисы, помогли справиться с возникшими трудностями.

По сути, это доступный прямо из консоли инструмент, который поможет подтянуть знания управляющего решением IT-сотрудника до уровня начинающего эксперта по безопасности.

Еще одно нововведение, добавляемое в этой версии Kaspersky Endpoint Securi…

И не только пишет и редактирует их на своем компьютере, но и отправляет по почте коллегам или знакомым, делится в облаках, сдает клиенту и так далее.

И если в файле, который вы собираетесь показать другим пользователям, окажется не предназначенная для них информация, у вас могут возникнуть проблемы.

Разбираемся, что не стоит делать и как нужно поступать, чтобы этого не произошло.

Экспорт из Word в PDFВ некоторых случаях помогает поправить картинку в том формате, в котором вы создавали документ (например, в DOCX), а затем экспортировать ее в PDF заново.

Инспектор документов Microsoft OfficeЛишняя информация может остаться не только в картинках, но и в других местах документа.

Годами отлаживаемые механизмы взаимодействия сотрудников внезапно оказались неэффективными, и IT-службы начали лихорадочно изучать доступные на рынке решения для совместной работы.

Новый ландшафт угрозПроблема с решениями для совместной работы заключается в том, что они в любой момент могут оказаться средством для распространения угрозы по корпоративной сети.

Как защитить платформу для совместной работыПо большому счету, при выборе защищенной системы для совместной работы заказчиков интересует несколько аспектов.

Для того чтобы его использовать, корпоративным клиентам необходимо приобрести Kaspersky Scan Engine, установить приложение Nextcloud Antivirus и настроить его для работы с нашим ре…

Ни для кого не секрет, что бизнес не выживает без инноваций.

Чтобы получать конкурентные преимущества, компаниям необходимо развиваться: внедрять новые процессы, новые технологии, новые инструменты.

Причин тому много (их можно найти в полной версии отчета), но чаще всего это происходит из-за недостаточной продуманности плана.

Но при этом 74% опрошенных считают, что внедрение инноваций обязательно провалится, если в работу над ними не был вовлечен CISO (директор по информационной безопасности).

Поэтому нам было очень интересно узнать, что самые многообещающие сферы для инноваций (по мнению опрошенных) представляют и самую большую опасность для сохранности корпоративных данных.

В этом посте мы расскажем, как искать бесплатные развлечения для iOS и Android без лишних нервов и риска подцепить на смартфон что-нибудь неприятное.

Загружайте игры только из официальных источниковЗловредов маскируют не только под еще не вышедшие бестселлеры.

Поэтому, как и другие приложения, игры стоит загружать только в официальных магазинах — Google Play, App Store и других.

Например, до апреля этого года Android-версию Fortnite большинство пользователей могли получить только с сайта Epic Games.

Позаботьтесь о защите заранееБдительность — это хорошо, но только на нее полагаться нельзя: преступники постоянно изобретают новые способы обмануть пользователей.

Если сложно придумывать и запоминать десятки комбинаций, можно воспользоваться менеджером паролей — он сделает за вас и то, и другое.

Выберите от одного до трех секретных вопросов, которые можно использовать, чтобы подтвердить, что вы — это вы.

Изучите премудрости фишинга и с подозрением относитесь ко всем письмам и сообщениям, приходящим якобы от лица eBay: компания давно уже стала одним из главных прикрытий мошенников.

Правила безопасности eBay для покупателейЗолотое правило покупок на eBay: если цена кажется неправдоподобно низкой, это повод для подозрений.

Площадка eBay давно устоялась, и найти там вещь по цене ощутимо ниже средней вряд ли получится, если это не подделка.

В процессе расследования нам удалось выяснить, что в некоторых случаях вредоносное ПО попадало на компьютеры жертв способом, который крайне редко встречается «в дикой природе»: с помощью модифицированных UEFI.

Что такое UEFI и в чем опасность буткитаЕсли попробовать упростить, можно сказать, что UEFI (как и BIOS, которой UEFI пришла на смену) — это ПО, которое запускается при старте компьютера, еще до запуска самой операционной системы.

При этом оно хранится не на жестком диске, а на отдельном чипе материнской платы.

Более подробный технический анализ вредоносного фреймворка MosaicRegressor вместе с индикаторами компрометации доступен на сайте Securelist.

Как защититься от MosaicRegressorЧт…

Считается, что сказки и фольклорные легенды придумывались не для развлечения, а для того, чтобы в понятной для детей форме преподать им какой-то важный урок.

Ну и так далее.

Легенда о гамельнском КрысоловеКак это часто бывает с по-настоящему старыми историями, известно несколько вариантов легенды, которые с небольшими вариациями пересказывают один сюжет.

Так или иначе, финал трагичен: «крысолов» проворачивает тот же трюк с ботнетом и избавляет город не только от крыс, но и от молодежи.

Гамельнский Крысолов в наши дниВсе это чрезвычайно напоминает историю с Shadow Brokers и утечкой эксплойта EternalBlue, которая привела к эпидемиям WannaCry и нескольких других шифровальщиков.

Как создать Google-аккаунт для ребенка на телефонеВ России пользоваться полностью отдельным аккаунтом Google можно только с 13 лет.

Но это не лучшее решение — таким образом вы нарушите правила использования сервисов Google, и если это обнаружится, аккаунт ребенка могут заблокировать.

После того как система обновится, вам предложат синхронизировать данные (этот шаг лучше просто пропустить) и войти в аккаунт Google.

Дальнейшие шаги будут одинаковы и для нового, и для подержанного устройства.

На странице входа в аккаунт Google:Нажмите Создать аккаунт .

Они обычно растут в цене не так резво, как альткойны — малоизвестные криптовалюты, но на них проще найти покупателя, если вам срочно понадобится продать токены.

И не кладите все яйца в одну корзину — купите токены нескольких валют, чтобы риск не был совсем уж бездумным.

В такую заманчивую штуку вложились больше 3 миллионов человек (далеко не только из Китая), а в период расцвета весной 2019 года PlusToken стоил 17 млрд долларов.

Большинство мошеннических пирамид, конечно, не достигают такого размаха, как PlusToken, но в изобретательности их создателям тоже не откажешь.

В одном из прошлых постов мы уже рассказывали о том, как они работают и как выбрать самый безопасный.

Это можно сделать с помощью Kaspersky Security Cloud — наш продукт позволяет отслеживать, какие устройства подключаются к вашей домашней сети.

Как Kaspersky Security Cloud защищает вашу сетьПри первом запуске последней версии нашей комплексной защиты для домашних пользователей Kaspersky Security Cloud программа автоматически просканирует и запомнит вашу сеть.

Если кто-то попытается пробраться в вашу сеть, Kaspersky Security Cloud предупредит вас об этом, и вы сможете быстро заблокировать доступ постороннему устройству.

Больше новых возможностей в Kaspersky Security CloudКак сказано выше, Kaspersky Security Cloud запоминает вашу сеть.

Такие есть в нашем решении Kaspersky Security Cloud — оно…

Мы уже неоднократно писали о том, что 2020 год изрядно повлиял, помимо всего прочего, и на кибербезопасность.

Компаниям потребовалось в срочном порядке разрабатывать и внедрять новые практики, новые технологии, новые подходы.

Разумеется, все это не могло не отразиться и на экономической стороне вопроса.

И это даже несмотря на то, что в процентном отношении доля IT-бюджета, отведенная на безопасность, увеличилась.

Первую часть, содержащую самые интересные находки (на английском языке), можно найти на сайте Kaspersky IT Security Calculator — инструмента, который может помочь сформировать бюджет компании на кибербезопасность в зависимости от региона, размера компании и сферы ее деятельности.

Tactic; TechniqueInitial Access (TA0001); External Remote Services (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192) Execution (TA0002); Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047) Persistence (TA0003); Registry Run Keys / Startup Folder (T1060), Scheduled Task (T1053), Valid Accounts (T1078) Defense Evasion (TA0005); Code Signing (T1116), Deobfuscate/Decode Files or Information (T1140), Disabling Security Tools (T1089), File Deletion (T1107), Masquerading (T1036), Process Injection (T1055) Credential Access (TA0006); Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056) Discovery (TA0007); Ac…

Why so serious?

Через некоторое время отдел кадров удаляет фото (снимки экрана здесь и далее частично заретушированы, чтобы не раскрывать реальные имена), но оно упорно возвращается, его опять удаляют, и так происходит еще несколько раз.

В отделе кадров понимают, что намерения у кота самые серьезные, уходить он не хочет, и призывают на помощь веб-программиста — человека, который делал сайт и разбирается в нем, а сейчас его администрирует.

Программист заходит на сайт, еще раз удаляет надоевшего кота, выявляет, что его разместили от имени самого отдела кадров, затем делает предположение, что пароль отдела кадров утек к каким-то сетевым хулиганам, и меняет его.

Кот больше не появляется.

Теперь мы знаем, что исследуемый компьютер работал под управлением ОС Windows 7 Professional с пакетом обновления SP1, а, значит, знаем, с какими криминалистическими артефактами можем столкнуться, и какие из них нам могут понадобиться.

Неплохим началом может стать поиск потенциальных механизмов закрепления в системе, которые позволяют вредоносным программам осуществлять повторный запуск после перезагрузки компьютера.

Начнем с простого: возьмем файл реестра NTUSER.DAT из каталога пользователя (С:\Users\%username%\) с самой свежей датой модификации и извлечем из него данные при помощи все того же RegRipper.

Если мы снова хотим получить номер записи необходимого нам файла средствами fls и find…

Прогнозы:Everyday we work hard to make life of our clients better and happier

Today, Talos is publishing a glimpse into the most prevalent threats we’ve observed between October 16 and October 23.

Instead, this post will summarize the threats we’ve observed by highlighting key behavioral characteristics, indicators of compromise, and discussing how our customers are automatically protected from these threats.

Spotting a single IOC does not necessarily indicate maliciousness.

Detection and coverage for the following threats is subject to updates, pending additional threat or vulnerability analysis.

As always, please remember that all IOCs contained in this document are indicators, and that one single IOC does not indicate maliciousness.

As we enter the world of automated workloads at internet-scale, it has become clear that it is in fact “Defense in Diversity” that wins over depth.

When dealing with large-scale automated attacks, iteration over the same defense a million times is cheap.

The first step to achieving “Defense in Diversity” is learning to identify what elements of your approach to security are human-scale problems and which are machine-scale problems.

Extreme forms of diversity are feasible for machines but infeasible for humans, so we need to be careful in its application in our systems.

In order to effectively combat an increasingly strategic and varied set of threats, security professionals need to take a m…

If answers are available, they almost always take too long to answer and require highly skilled people to find them.

At Cisco, we’re changing all of that – so you can maximize your protection with an integrated platform approach.

The good news is that it is possible, and not only that, you can even take immediate action with this truly integrated platform.

The process starts in SecureX as a response action.

For each response action you get the observable type (IP, SHA256, URL, domain,) and observable value (i.e.

Today, healthcare organizations are more connected than ever before.

Patients now expect secure healthcare on-demand, from any location.

Healthcare organizations are under great pressure to protect sought-after digital assets, intellectual property, financial information, and patient data.

The financial costs associated with a healthcare organization’s failure to protect confidential patient data can be severe.

Healthcare organizations know no “next time” when it comes to protecting patient data and securing their network, users, endpoints, cloud edge and applications.

On today’s episode of the Security Stories podcast we discuss the history of online manipulation campaigns, and how they’re used today to try and influence political elections.

Nick is a threat researcher within Cisco Talos and recently published a paper called ‘The Building Blocks of political disinformation campaigns’.

And Nick talks about the amplification methods that are being used to spread certain lies online.

Also in this episode, Ben Nahorney shares his latest research on current threat trends.

You can also listen right here and now:Further resources:‘The Building Blocks of political disinformation campaigns’Manipulated: Inside the Cyberwar to Hijack Elections and Distort the Truth…

As the world continues to struggle with the impacts of the COVID-19 pandemic, data and data privacy have never been more critical.

As the COVID-19 virus spread across the world earlier this year, many predicted it would signal the end of data privacy.

Nearly a third of consumers are “Privacy Actives” – those who have stopped doing business with organizations over data privacy concerns.

Cisco publishes privacy data sheets and data maps that provide this information for many of our most popular products and services.

Additional Resources:Consumer Privacy InfographicCisco 2020 Data Privacy Benchmark StudyCisco Data PrivacyCisco Trust PortalShareShare:

Simply put, privacy by design and default demands that developers consider the privacy implications at the ideation phase and embed privacy protections and functionality into products and services from the start.

Privacy professionals have known – and the Cisco 2020 Consumer Privacy Survey provides supporting evidence – that consumers care deeply about privacy.

Nearly one third of respondents, identified as “Privacy Actives,” said they stopped doing business with a company over data privacy concerns.

This is where privacy by design and default address: How do we design a privacy respectful method for contact tracing?

At Cisco, we post privacy data sheets and data maps on the Cisco Trust Por…

Transformation at paceAs organizations prepare for whatever our next normal will bring, it is clear that a flexible and hybrid work environment is here to stay.

In fact, 61% of organizations globally have experienced a jump of 25% or more in cyber threats and alerts since the start of COVID-19.

Other cybersecurity concerns raised by organizations globally include data privacy (55%), which has implications for the overall security posture.

Businesses must create a flexible, safe, and secure hybrid work environment with employees moving on and off the network with similar levels of protection.

We welcome you to download Cisco’s Future of Secure Remote Work Report today and learn how cybersecu…

My favorite thing about my career in cybersecurity has been a constant opportunity to learn new topics.

Cybersecurity weaves itself through every aspect of our lives: the phone in your pocket, the smart TV in your home, and on and on.

Learning about cybersecurity starts with picking an area of interest.

The same is true for learning cybersecurity.

Interested in learning more about cybersecurity?

Cisco Talos is releasing a new beta version of Dynamic Data Resolver (DDR) today.

This release comes with a new architecture for samples using multi-threading.

Another new feature is that the DDR backend now comes in two flavors: a release version and a debugging version.

It helps to detect memory leaks and minor issues which are silently handled by the underlying DynamoRIO framework in the release version.

We also improved the installer and the IDA plugin is now installed to the user plugin directory instead to the IDA installation directory under Program Files.

Those in cybersecurity are keenly aware of the concept, “imposter syndrome.” Some think they don’t know enough to succeed in the industry.

This goes double for the cybersecurity industry.

GET A MENTOR ASAP to help answer your discrete career questions and provide you with tailored career advice.

That made me realize that I needed to do more to understand executive and other management views of information security and privacy.

Jelena Milosevic | Registered Nurse | @_j3lena_ | (LinkedIn)As a beginner, I didn’t know where to start, and I didn’t know what was important.

Today, Talos is publishing a glimpse into the most prevalent threats we’ve observed between October 9 and October 16.

Instead, this post will summarize the threats we’ve observed by highlighting key behavioral characteristics, indicators of compromise, and discussing how our customers are automatically protected from these threats.

Additionally, please keep in mind that IOC searching is only one part of threat hunting.

Detection and coverage for the following threats is subject to updates, pending additional threat or vulnerability analysis.

As always, please remember that all IOCs contained in this document are indicators, and that one single IOC does not indicate maliciousness.

I was recently able to grab some time with a Cisco customer to hear about their experience with Cisco Stealthwatch Cloud, a SaaS-based Network Detection and Response (NDR) solution.

Without an NDR tool like Stealthwatch Cloud in place, the modern Security Operations Center (SOC) is effectively doing the same thing.

Stealthwatch Cloud detects threats behaviorallyStealthwatch Cloud uses the network itself as a sensor, and offers both automated threat detection and the ability to search manually for threats.

You can fill that gap and gain comprehensive visibility on-prem or in the cloud with Stealthwatch Cloud.

Be sure to check out the Stealthwatch Cloud webpage and sign up for a free 60-day t…

Machine learning (ML) is making incredible transformations in critical areas such as finance, healthcare, and defense, impacting nearly every aspect of our lives.

Twenty-five out of the 28 businesses indicated that they don’t have the right tools in place to secure their ML systems.

The Adversarial ML Threat Matrix is a first attempt at collecting known adversary techniques against ML Systems and we invite feedback and contributions.

This framework is a first step in helping to bring communities together to enable organizations to think about the emerging challenges in securing machine learning systems more holistically.” – Mikel Rodriguez, Director of Machine Learning Research, MITREThis i…

Because embedded devices often go unpatched, CISO’s need new strategies to mitigate IIoT/OT risks that differ in crucial ways from those found in information technology (IT).

An evolving threat landscapeBoth IIoT and OT are considered cyber-physical systems (CPS); meaning, they encompass both the digital and physical worlds.

Therefore, they are vulnerable to large fines if a security breach in IIoT/OT causes environmental damage or loss of life.

The way forwardFor today’s CISO, securing the digital estate now means being accountable for all digital security—IT, OT, IIoT, BMS, and more.

Plain language and concrete examples go far when making the case for IIoT/OT security software.

This includes the acknowledgment that the greater the diversity of our data sets, the better the AI and machine learning outcomes.

Because the data is diverse, AI and machine learning algorithms can detect threats in milliseconds.

Greater diversity fuels better AI and machine learning outcomes, improving threat intelligence and enabling faster, more accurate responses.

Below, he shares how they offer real-time protection for the breadth of their digital estates:How does diverse data make us safer?

Diversity equals better protectionAs Jason explained, Microsoft is employing AI, machine learning, and quantum computing to shape our responses to cyber threats.

Many have turned to a Zero Trust security model to simplify the security challenges from this transformation and the shift to remote work.

We are excited to announce the launch of the Zero Trust Deployment Center—a repository of information to improve their Zero Trust readiness as well as specific guidance on implementing Zero Trust principles across their identities, endpoints, data, applications, networks, and infrastructure.

The Zero Trust Deployment Center breaks down deployment guidance into plain-language objectives across each of the technology pillars, providing an actionable list of steps needed to implement Zero Trust principles in your environment.

Figure 1: Zero Trust Deployment…

Here are several things we identified as important to weathering the cybersecurity storms and in Abbas’s own words.

Abbas Kudrati, a Chief Cybersecurity Advisor at Microsoft shares his advice for relieving stress in today’s CISO Stressbuster post.

I’m a generalist CISO who works across industries, but in every role I’ve undertaken I’ve managed to get something unique done, and often received an award as well.

They have a good rapport with their management; the CISO feels supported and they’re able to support the business in return.

CISOs need to be involved in all technology decisions to manage risks.

Neural networks, clustering, fuzzy logic, heuristics, deep learning, random forests, adversarial machine learning (ML), unsupervised learning.

In each episode, hosts Nic Fillingham and Natalia Godyla take a closer look at the latest in threat intelligence, security research, and data science.

Each episode will also feature an interview with one of the many experts working in Microsoft Security.

In their chat, Arie explains the differences and use cases for techniques such as deep learning, neural networks, and transfer learning.

Please join us monthly on the Microsoft Security Blog for new episodes.

While information on cybersecurity risks is plentiful, you can’t prioritize or manage any risk until the impact (and likelihood) to your organization is understood and quantified.

Cybersecurity: Organizations face a constant threat to revenue and reputation from organized crime, rogue nations, and freelance attackers who all have their eyes on your organization’s technology and data, which is being compounded by an evolving set of insider risks.

Organizations that understand and manage risk without constraining their digital transformation will gain a competitive edge over their industry peers.

Our understanding of the risks and how to manage them must evolve with every innovation in techno…

Radware is embracing this shift by focusing on ‘Strength in Security’ with Microsoft Azure and is focused on helping Microsoft Azure customers secure their workloads and applications.

Web applications are a critical part of most modern businesses, but many organizations continue to overlook web application security, despite escalating threats.

According to a recent Gartner report, by 2023, more than 30 percent of public-facing web applications will be protected by cloud web application and API protection services that combine DDoS protection, bot mitigation, API protection, and web application firewalls (WAFs).

Radware Security for Azure provides:To learn more about Radware Security for Azu…

Trickbot campaigns usually used Excel or Word documents with malicious macro codes, but other types of attachments have been used.

On selected networks, Trickbot operators installed additional tools like Cobalt Strike, and switch to a hands-on-keyboard attacks.

Recent prominent Trickbot campaignsIn June 2020, we tracked multiple Trickbot campaigns.

Trickbot is proof that this assumption is obsolete, and organizations need to treat and address Trickbot and other malware infections as the broadly damaging threats that they are.

Microsoft Defender for Endpoint detects and blocks the Trickbot malware and all related components, as well as malicious activities on endpoints.

For example, we found a piece of a particularly sophisticated Android ransomware with novel techniques and behavior, exemplifying the rapid evolution of mobile threats that we have also observed on other platforms.

The mobile ransomware is the latest variant of a ransomware family that’s been in the wild for a while but has been evolving non-stop.

New scheme, same goalIn the past, Android ransomware used a special permission called “SYSTEM_ALERT_WINDOW” to display their ransom note.

The new Android ransomware variant overcomes these barriers by evolving further than any Android malware we’ve seen before.

It also protects users and organizations from other mobile threats, such as mobile phis…

This blog will share the most important security best practices to help protect your virtual machines.

Use Azure Secure Score in Azure Security Center as your guideSecure Score within Azure Security Center is a numeric view of your security posture.

Keep third-party applications current and patchedApplications are another often overlooked area, especially third-party applications installed on your Azure VMs.

Actively monitor for threatsUtilize the Azure Security Center Standard tier to ensure you are actively monitoring for threats.

For more information, see this top Azure Security Best Practice:In addition to turning on security, it’s always a good idea to have a backup.

In February, Microsoft announced the general availability of Azure Sphere, an integrated security solution for IoT devices and equipment.

Our recent Azure Sphere Security Research Challenge, which concluded on August 31, is a reflection of this commitment.

Partnering with MSRC to design a unique challengeOur goal with the three-month Azure Sphere Security Research Challenge was twofold: to drive new high-impact security research, and to validate Azure Sphere’s security promise against the best challengers in their field.

Azure Sphere customers know that they have the strong commitment of our Azure Sphere Engineering team—that our team is searching for and addressing potential vulnerabilitie…

At Microsoft, we believe that a secure online experience helps empower people to do more, create more, and have trust in the technology that connects us all.

Microsoft security help and learning will feature five new articles during October—localized for 36 languages and updating every Monday—each covering security topics that affect all types of users.

“Work better together with Microsoft Teams” enables users to experience the flexibility and highly secure access Teams delivers for organizations of any size.

Delivered the same week, our first SMB newsletter will also include cybersecurity information and resources.

To learn more about Microsoft Security solutions visit the Microsoft Securi…

This blog examines the current state of security awareness training, including how you can create an intelligent solution to detect, analyze, and remediate phishing risk.

You’ll also learn about an upcoming event to help you get data-driven insights to compare your current phishing risk level against your peers.

Many information workers view security awareness training as a tedious interruption that detracts from productivity.

Detect vulnerabilities by using real lures (actual phishing emails) and templates, training employees on the most up-to-date threats.

To learn more about Microsoft Security solutions, visit our website.

Microsoft’s Advanced Compliance Solutions are an important part of Zero Trust.

Microsoft built Azure Active Directory (AAD) to enable rapid Zero Trust adoption:Architects focus on applying the Zero Trust principles to protect and monitor six technical pillars of the enterprise including:IdentityDevicesApplications and APIsDataInfrastructureNetworksIn an integrated Microsoft Zero Trust solution, AAD and Microsoft Defender for Identity provide protection, monitoring, and trust insights in the User/Identity Pillar.

Microsoft’s Advanced Compliance solutions are foundational to Zero Trust as well, particularly when implemented to support Microsoft 365.

Microsoft Information Protection, Insider R…

Open source software is the foundation of many modern software products.

It is paramount that these open source components are secure and reliable, as weaknesses impact those that build upon it.

Google cares deeply about the security of the open source ecosystem and recently launched the Open Source Security Foundation with other industry partners.

syzkaller, a kernel fuzzing tool from Google, has been instrumental in finding kernel vulnerabilities in various operating systems.

Given the overall success of these efforts, we plan to continue hosting fuzzing internships every year to help secure the open source ecosystem and teach incoming open source contributors about the importance of fuzz…

In Android 11, Gboard also launched the contextual input suggestion experience by integrating on-device smarts into the user's daily communication in a privacy-preserving way.

In Android 11, Gboard launched a consistent and coordinated approach to access contextual input suggestions.

The smart input suggestions are rendered with a transparent layer on top of Gboard’s suggestion strip.

Gboard strives to build privacy-preserving effortless input products for users to freely express their thoughts in 900+ languages while safeguarding user data.

We will keep pushing the state of the art in smart input technologies on Android while safeguarding user data.

To check whether you have any compromised passwords, Chrome sends a copy of your usernames and passwords to Google using a special form of encryption.

Additionally, Chrome Password Manager allows you to autofill saved passwords into iOS apps or browsers if you enable Chrome autofill in Settings.

Earlier this year, Chrome began securing and blocking what’s known as “mixed content”, when secure pages incorporate insecure content.

Additionally, Chrome 86 will block or warn on some insecure downloads initiated by secure pages.

Currently, this change affects commonly abused file types, but eventually secure pages will only be able to initiate secure downloads of any type.

Posted by Kylie McRoberts, Program Manager and Alec Guertin, Security EngineerGoogle’s Android Security & Privacy team has launched the Android Partner Vulnerability Initiative (APVI) to manage security issues specific to Android OEMs.

As part of that effort, we have a range of existing programs to enable security researchers to report security issues they have found.

For example, you can report vulnerabilities in Android code via the Android Security Rewards Program (ASR), and vulnerabilities in popular third-party Android apps through the Google Play Security Rewards Program.

Google releases ASR reports in Android Open Source Project (AOSP) based code through the Android Security Bulletin…

This blog post outlines recent improvements around how users interact with the lockscreen on Android devices and more generally with authentication.

Secondary Tier - Biometrics: The second tier consists primarily of biometrics, or something the user is.

These constraints reflect the length of time before a biometric falls back to primary authentication, and the allowed application integration.

You can see a summary of the details in the table below, or the full details in the Android Android Compatibility Definition Document (CDD).

Improvements to BiometricPromptAndroid 10 introduced the BiometricManager class that developers can use to query the availability of biometric authentication and…

Google’s Advanced Protection Program helps secure people at higher risk of targeted online attacks, like journalists, political organizations, and activists, with a set of constantly evolving safeguards that reflect today’s threat landscape.

As a first step, today Chrome is expanding its download scanning options for users of Advanced Protection.

Advanced Protection users are already well-protected from phishing.

In August 2019, Chrome began warning Advanced Protection users when a downloaded file may be malicious.

If you’re a user at high-risk of attack, visitg.co/advancedprotectionto enroll in the Advanced Protection Program.

To take it one step further, and as of today, we are announcing increased reward amounts for reports focusing on potential attacks in the product abuse space.

The nature of product abuse is constantly changing.

Identification of new product abuse risks remains the primary goal of the program.

The final reward amount for a given abuse risk report also remains at the discretion of the reward panel.

We plan to expand the scope of We plan to expand the scope of Vulnerability Research Grants to support research preventing abuse risks.

Pixel 4a ioXt certificationToday we are happy to announce that the Pixel 4/4 XL and the newly launched Pixel 4a are the first Android smartphones to go through ioXt certification against the Android Profile.

The report documents the evaluation of Pixel 4/4 XL and Pixel 4a against the ioXt Android Profile.

Security by Default is one of the most important criteria used in the ioXt Android profile.

Screenshot of the presentation of the Android Device Security Database at the Android Security Symposium 2020In partnership with those teams, Google created Uraniborg, an open source tool that collects necessary attributes from the device and runs it through this formula to come up with a raw score.…

Uninitialized memory bugs occur in C/C++ when memory is used without having first been initialized to a known safe value.

For kernel stack initialization we adopted the CONFIG_INIT_STACK_ALL from upstream Linux.

Finding Heap Memory Safety Bugs in the Wild (GWP-ASan)Android 11 introduces GWP-ASan, an in-production heap memory safety bug detection tool that's integrated directly into the native allocator Scudo.

Software Tag-Based KASANContinuing work on adopting the Arm Memory Tagging Extension (MTE) in Android, Android 11 includes support for kernel HWASAN, also known as Software Tag-Based KASAN.

Software Tag-Based KASAN is available in 4.14, 4.19 and 5.4 Android kernels, and can be enabled …

Android 11 continues to make important strides in these areas, and this week we’ll be sharing a series of updates and resources about Android privacy and security.

As shared in the “All things privacy in Android 11” video, we’re giving users even more control over sensitive permissions.

Android 11 adds new modules, and maintains the security properties of existing ones.

For example, Conscrypt, which provides cryptographic primitives, maintained its FIPS validation in Android 11 as well.

We’re working with various government agencies and industry partners to make sure that Android 11 is ready for such digital-first identity experiences.

Using an NFC security key on iPhoneBoth the USB-A and Bluetooth Titan Security Keys have NFC functionality built-in.

You can use a Lightning security key like the YubiKey 5Ci or any USB security key if you have an Apple Lightning to USB Camera Adapter.

In order to add your Google Account to your iOS device, navigate to “Settings > Passwords & Accounts” on your iOS device or install the Google app and sign in.

In order to add your Google Account to your iOS device, navigate to “Settings > Passwords & Accounts” on your iOS device or install the Google app and sign in.

This capability, available for both personal and work Google Accounts, simplifies your security key experience on compatible i…

The Advanced Protection Program is our strongest level of Google Account security for people at high risk of targeted online attacks, such as journalists, activists, business leaders, and people working on elections.

Anyone can sign up to automatically receive extra safeguards against phishing, malware, and fraudulent access to their data.Since we launched, one of our goals has been to bring Advanced Protection’s features to other Google products.

Over the years, we’ve incorporated many of them into GSuite Chrome , and most recently, Android .

We want as many users as possible to benefit from the additional levels of security that the Program provides.Today we’re announcing one of the top r…

Any vulnerabilities are in scope, regardless of where they are: Linux, Kubernetes, kCTF, Google, or any other dependency.

Bugs that are 100% in Google code, qualify for an additional Google VRP reward.

See instructions here The GKE lab environment is built on top of a CTF infrastructure that we just open-sourced on GitHub .

As part of this effort, we are excited to announce an expansion of our Google Vulnerability Rewards Program (VRP) to cover all the critical open-source dependencies of Google Kubernetes Engine (GKE) .

And today, in addition to that, we are expanding the scope of the Google VRP program to also include privilege escalation bugs in a hardened GKE lab cluster we've set up fo…

Turning on Enhanced Safe Browsing will substantially increase protection from dangerous websites and downloads.

By sharing real-time data with Google Safe Browsing, Chrome can proactively protect you against dangerous sites.

How Enhanced Safe Browsing worksWhen you switch to Enhanced Safe Browsing, Chrome will share additional security data directly with Google Safe Browsing to enable more accurate threat assessments.

You can opt in to this mode by visiting Privacy and Security settings > Security > and selecting the “Enhanced protection” mode under Safe Browsing.

We will continue to invest in both Standard and Enhanced Safe Browsing with the goal to expand Chrome’s security offerings to co…