Администратору DDoS-сервиса грозит 35 лет тюрьмы за проведение более 200 тыс.

32-летний Мэтью Гатрел (Matthew Gatrel) из Сент-Чарльза, штат Иллинойс, управлял двумя web-сайтами, позволившим платным подписчикам провести в общей сложности более 200 тыс.

DDoS-атак на жертв в частном и в государственном секторе.

Под его управлением было два сайта (DownThem и Ampnode), которые позволяли выполнять DDoS-атаки.

Выбрав цель, сервис использовал серверы AmpNode для запуска «атак с отраженным усилением» с использованием ресурсов «сотен или тысяч других серверов, подключенных к интернету».

Хакеры Marketo: Мы нарушаем закон, но в благих целяхAlexander AntipovГруппировка позиционирует свои действия как аудит безопасности, за который жертва должна заплатить, хочет она того или нет.

В апреле нынешнего года в даркнете появился новый сайт под названием Marketo, позиционирующий себя как торговую площадку для купли-продажи похищенных данных.

Хотя группировка Marketo не использует в своих операциях вымогательское ПО, ключевую стратегию она позаимствовала у кибервымогателей.

Какую нишу занимает Marketo в более обширной киберпреступной экосистеме, не совсем понятно, но специалисты Insikt Group ИБ-компании Recorded Future недавно обнаружили, что одна и та же организация попала в списки ж…

Житель США получил 12 лет тюрьмы за взлом смартфоновAlexander AntipovОкружной суд США приговорил к 12 годам тюрьмы Мухаммада Фахда, который в течение многих лет занимался разблокировкой смартфонов.

В США закончилось судебное рассмотрение дела о взломе почти 2 миллионов смартфонов.

Пакистанца Мухаммада Фахда , почти семь лет занимавшегося своеобразной «помощью» клиентам компании AT&T, осудили на 12 лет.

Американский транснациональный телекоммуникационный конгломерат обвинил пакистанца в нанесении ущерба в более 201 миллиона долларов.

Фахд был арестован в Гонконге в 2018 году, а затем экстрадирован в США.

Посол РФ сообщил в Белый дом о кибератаках на сайт ЦИКAlexander AntipovАмериканская сторона внимательно отнеслась к информации посла и попросила передать более конкретные данные.

Как только стало известно об атаках из Соединённых Штатов на российскую избирательную систему в ходе выборов в Государственную думу, об этом оперативно был проинформирован Белый дом, заявил российский посол в США Анатолий Антонов в эфире телеканала "Россия 24".

Ранее ЦИК России сообщила о мощных кибератаках на свой сайт, 50% из которых осуществляются из США.

Сегодня в России завершаются выборы в Госдуму, региональные и местные органы власти.

В этом году из-за пандемии голосование проходит три дня – с 17 по 19 сентя…

Памфилова сообщила о беспрецедентных кибератаках на сайт ЦИКAlexander AntipovЭто просто катастрофа.

У нас такого никогда не было, – призналась ПамфиловаЦентризбирком никогда не сталкивался с такими мощными кибератаками на свой сайт, как во время нынешних выборов.

"У нас сейчас, действительно, такие атаки идут мощные на сайт.

У нас такого никогда не было", – призналась Памфилова.

Tакие атаки осуществляются из США (50%), Германии (25%), России (10%) и Китая (5%), заявила глава ЦИК в ходе обсуждения в Общественном штабе Москвы по наблюдению за выборами.

На примере Jira и Trello разберём, как неверно настроенное программное обеспечение может выдать много конфиденциальной информации и как «знающий человек» может найти эту информацию в открытом доступе.

Только для безопасности в этом инструменте есть:общие настройки безопасности,безопасность проектов,безопасность задач,схемы пользователей и ролей проекта (по которым раздаются доступы),схемы безопасности задач.

Просто так войти в Jira не получится, так как мы не знаем логина и пароля.

Да что угодно и что захочется.

Все требуемые функции уже есть, нужно лишь более грамотно подходить ко значениям пунктов настроек, использовать любые доступные ресурсы безопасности и проверять последствия.

Насколько безопасна корпоративная платформа Microsoft Teams для вашей компании и как её архитектура защищает внутренние данные бизнеса?

Оно располагается в центрах обработки данных в 63 глобальных регионах, что позволяет хранить данные Teams в зависимости от местонахождения вашей организации.

В марте 2021 года Microsoft запустила программу вознаграждений «Microsoft Applications Bounty Program», цель которой — привлечь исследователей со всего мира для выявления уязвимостей, которые ранее не были известны, в последних версиях приложений Microsoft Teams Desktop и Microsoft Teams Mobile.

Microsoft Defender для Office 365 обеспечивает защиту от неизвестных угроз для Microsoft Teams, Exchange, Sh…

Какие решения помогут компаниям эффективно справиться с проблемами в безопасности при организации удалённой работы сотрудников?

Как целевые кибератаки (APT) повлияли на разработку межсетевых экранов нового поколения (Next Generation Firewall, NGFW) и насколько поможет организациям концепция «файрвол как услуга» (Firewall-as-a-Service, FWaaS)?

Значительная экономия средств благодаря отсутствию потребности в установке оборудования в удалённых офисах филиалов.

Простое масштабирование с учётом растущего объёма трафика и необходимости проверки зашифрованного трафика на наличие угроз и вредоносных программ.

При этом система позволяет значительно сэкономить средства благодаря отсутствию потребност…

Чего ждать от вендоров и от последующей эволюции продуктов DLP в области снижения рисков заказчика?

Uber: имена, адреса, номера телефонов 50 000 000 клиентов и 7 000 000 водителей были похищены и опубликованы в открытом доступе.

Онлайн-школа SkyEng: база с данными 5 000 000 студентов продавалась за 40 000 рублей.

Facebook: утекли персональные данные 30 000 000 пользователей.

Сеть отелей Marriott: похищена база данных 500 000 000 клиентов.

Рассмотрим работу Surfshark VPN с точки зрения практического применения каждый день как для работы, так и для развлечений.

Используем Surfshark VPN на практикеУстановка и запуск Surfshark VPNПроцесс установки и запуска Surfshark VPN максимально прозрачен и производится в течение нескольких минут.

Сравнение Surfshark VPN с другими сервисамиМы видим, что Surfshark VPN ответственно заботится о конфиденциальности пользователя в дополнение к основным классическим функциям VPN-приложения.

Сравнение Surfshark VPN с пятью основными конкурентами на рынкеФункция или критерий сравнения Surfshark VPN ExpressVPN NordVPN CyberGhost Private Internet Access Рубильник Да Да Да Да Да Белый список Да Да Нет Д…

Разберёмся в нюансах технологии и расскажем, как правильно настроить DoH в браузере.

Как настроить DoH в вашем браузереНастройка очень проста, приведём примеры её выполнения в двух популярных браузерах — Mozilla Firefox и Google Chrome.

Настройка DoH в Mozilla FirefoxGoogle ChromeПри работе с Chrome откройте «Настройки», далее — вкладка «Безопасность» в разделе «Конфиденциальность и безопасность».

Настройка DoH в ChromeЗлоупотребление DoHДля защиты информационной инфраструктуры компаний и ведомств применяются антивирусы, системы обнаружения и предотвращения вторжений.

Средства защиты сравнивают запросы, команды, пути и другую информацию в сетевом пакете с базой своих сигнатур, и при выявлен…

ВведениеСегодня меры по борьбе с киберугрозами и по обеспечению защиты персональной информации в области здравоохранения интересуют российского потребителя как никогда ранее.

Рассмотрим сложившиеся в период пандемии тенденции в нормативно-правовом регулировании в России и — для сравнения — в Соединённом Королевстве.

Тенденция распространения персональных данных в качестве «товара» ведёт к необходимости корректировать нормативные правовые акты в части сбора ПДн и обеспечения защиты конфиденциальной информации.

Стоит отметить, что практика сбора данных о здоровье сотрудников работодателем обширна и оправдана в международной практике.

В Великобритании штрафы в сфере защиты ПДн и здравоохранени…

Этапы развёртывания ловушек AVSOFT LOKIПриманки представляют собой имитацию значимой информации, например реквизитов доступа для сервиса платежей или базы данных.

Установка и настройка AVSOFT LOKIОписание поставки AVSOFT LOKIПрограммное обеспечение LOKI поставляется в виде модулей для виртуальной среды.

Вид раздела «Инфраструктура» в AVSOFT LOKIЗдесь отображается информация о сенсорах и о подсетях, в которых они расположены.

Раздел «Журналы» в AVSOFT LOKIВыводыПлатформа AVSOFT LOKI является многофункциональным инструментом для построения защиты ИТ-инфраструктуры предприятия по принципу DDP.

LOKI поддерживает как виртуальные, так и физические ловушки, поставляется с объёмным перечнем совреме…

Программный комплекс САКУРА от компании IT-EXPERTISE помогает компаниям обеспечить защиту удалённых рабочих мест и безопасность их подключения к корпоративным ресурсам.

Предварительно настроенные профили безопасности рабочих мест с учётом требований законодательства.

Инвентаризация рабочих мест и управление справочникамиЦелиЕщё одним способом применения комплекса САКУРА является инвентаризация рабочих мест.

Они используются не только для инвентаризации, но и для создания категорий безопасности, правил контроля, пользователей, обеспечивают применение других возможностей продукта.

Просмотр информации о пользователях рабочих мест в САКУРАКонтроль приложений, которые активно нагружают оборудова…

Предназначение Red TeamingЧто такое Red Teaming?

Red Teaming — это не демонстрация скорости, это качество, сложная работа и высокая ценность результатов.

На практике же крайне редко кто-то готов пустить к себе в инфраструктуру команду Red Team на полгода, в том числе и в России.

Тренды и прогнозы развития рынка Red Team AssessmentПентест — это производная от ИБ, а Red Teaming — производная от пентеста.

Подобные просьбы — это не Red Teaming.

Функциональные возможности ArcSight 2021.1Какие основные изменения коснулись платформы ArcSight и какими новыми функциями может воспользоваться заказчик?

Архитектура ArcSight 2021.1Целевая архитектура единой платформы ArcSight является модульной (рис.

Текущие версии компонентов ArcSight 2021.1Наименование компонента Версия ArcSight Command Center for Enterprise Security Manager 7.5.0 ArcSight Intelligence 6.3.0 ArcSight Management Center 3.0 ArcSight Recon 1.2.0 ArcSight SOAR 3.1.0 ArcSight Fusion 1.3.0 ArcSight Platform Installer 21.1 ArcSight Transformation Hub 3.5.0 ArcSight SmartConnectors 8.2Системные требования ArcSight 2021.1Требования к программному обеспечению для разворачивания пл…

Всё это ведет к «слепым зонам» и сопровождается большим количеством ручных задач, что ухудшает показатели среднего времени обнаружения и реагирования на угрозы (MTTD и MTTR) и, что хуже, приводит к пропуску важных инцидентов.

Ценность XDR определяется удобством эксплуатации, повышением уровня автоматизации и эффективности процесса поиска угроз и реагирования на них.

По данным того же опроса Enterprise Strategy Group «Влияние XDR на современный SOC», самыми привлекательными возможностями XDR для организаций сегодня являются (рис.

Типы XDR и варианты поставкиВ основе XDR обычно лежат продукты от одного вендора, но XDR не исключает возможности интеграции с решениями сторонних производителей.

О…

Что такое Threat Intelligence и кому нужна киберразведкаВ первую очередь модератор дискуссии предложил участникам поделиться со зрителями базовыми понятиями — рассказать, что скрывается под термином Threat Intelligence, а также объяснить, каким компаниям нужна киберразведка.

Антон Соловей:— Я бы использовал более широкое понятие Security Intelligence, которое включает в себя Threat Intelligence, Mobility Intelligence и другие.

Включать ли Threat Intelligence в более широкое понятие Security Intelligence, куда также будет входить Brand Intelligence и другие сферы, — вопрос открытый.

Артём Мелёхин:— Уровень технических данных в Threat Intelligence безусловно важен, однако правильный подход до…

Ankey IDM позволяет создать ролевую модель доступа и регулярно её пересматривать (Role Mining), проводить аудиты и ресертификацию прав, контролировать кумулятивные накопления прав доступа (Segregation of Duties).

Ролевая модель и аудит прав доступа пользователей:ресертификация прав доступа пользователей,ролевая модель как постоянный процесс,инциденты и критические накопления прав доступа,отчёты о текущем состоянии и истории предоставления ролей пользователям,гибкая настройка отчётов.

Новое в Ankey IDMЗа 2021 год выпущено 3 релиза платформы Ankey IDM и ещё один, по данным компании-разработчика — ООО «Газинформсервис», — выйдет в свет до конца года.

Поэтому регулярная сертификация прав доступ…

Печально и то, что в ряде случаев пропажи больших сумм денег так и не были урегулированы.

Если вы читаете различные дайджесты ИБ, в последнее время имя LockBit стало очень часто мелькать в отчетах аналитиков и в заголовках отраслевой прессы.

На сегодня это один из ведущих операторов Ransomware, однако у команды судя по всему так и не выработана генеральна линия поведения.

Например, для них характерно постоянно сдвигать дедлайны и не публиковать данные, разглашением которых они угрожают.

Жертва получает ссылку якобы на встречу в сети, но на самом деле URL отправляет его куда-то еще после загрузки первого сайта.

Проблема выглядит надуманной только если у вас в компании (или непосредственной близости) есть пара свободных рук разработчика, чтобы написать новый коннектор к SIEM на том языке программирования, который в ней используется.

Есть и второй вариант – заказать вендору доработку, но это не всегда возможно и по карману.

Но автоматом этого не происходило, потому что АБС самописная, никаких сиемовских форматов типа syslog не поддерживала, не поддерживает и не собирается в дальнейшем.

Чтобы избавить ИТ-службу от этих страданий, предложили наш вариант стыковки SIEM с АБС с помощью скрипта в Customer Connector.

Импорт в SIEM в виде отдельного правила – коннектора файла следующего вида:Значения раздел…

В преддверии продаж новых iPhone 13 и iPad с iOS 15 хотим поделиться своими впечатлениями о новшествах в управлении яблочными девайсами.

Вместо предисловияДва года назад, на WWDC 2019, Apple объявила, что iOS для iPad – больше не iOS, а iPadOS.

С точки зрения управления iOS и iPadOS – это одно и то же, поэтому далее по тексту для простоты будем называть обе мобильные операционки iOS.

Копировать корпоративные данные в iOS 15 в буфер обмена всё ещё можно, а вот вставлять их куда ни попадя нельзя.

В iOS можно брать под управление приложения пользователя.

Для начала необходимо разобраться с сущностью таких слов, как «тестнет» и «нода», а уже после рассмотреть возможности заработка на подобных активностях.

НазначениеОбычно все взаимодействия в тестовой сети происходят намного быстрее, чем в основной, что позволяет команде сконцентрироваться на главном — разработке и внедрении новшеств и стабилизации сети.

Подобная активность несёт в себе большое количество плюсов как для разработчиков проекта, упомянутые ранее, так и для участников — это хорошая возможность заработать.

Централизованная нода - нода, которую может запускать только узкий круг лиц, обычно это команда проекта либо приближенные к ней люди.

Децентрализованная нода - нода, которую мо…

Изначальная структура сети и почему мы решили от неё отказаться.

Таким образом осуществлялась сетевая связность и сетевая фильтрация, дополнительная фильтрация осуществлялась, в том числе на пограничном межсетевом экране в нашей инфраструктуре.

В этот же момент возникла проблема: имеющиеся в работе кластеры были deprecated-версий (снятых с поддержки в Яндекс.Облаке).

При использовании Interconnect появилась необходимость анонсировать новые сети через техническую поддержку Яндекс.Облака.

В итоге, Коллеги из разработки были обеспечены надежным каналом связи, а мы контролем сетевых подключений как внутри Яндекс.Облака на конечных точках управления, так и в разрезе Облако-Инфраструктура компани…

И в этом случае восстановление всех паролей (конечно же, тоже сложных и уникальных) ко всем своим сервисам превратится в серьезную проблему.

Забавно, что, хотя целью было обеспечение информационной безопасности, безопасное хранение самих паролей предусмотрено не было.

Причина прозаична: ресурсов у компьютерных систем того времени было не так много, и тратить их еще и на решение этой проблемы было чистым расточительством.

В июле 2019 года он умер в возрасте 93 лет.Судя по всему, на этом моменте история паролей заканчивается, и они, возможно, переродятся во что-то более надежное и интересное.

Конечно, избавление от паролей — процесс не быстрый, но, если идея приживется, через несколько лет мы…

Появился эксплойт для уязвимости в MSHTMLРеализация Cobalt Strike Beacon для Linux угрожает организациям по всему мируZloader использует новую цепочку заражения для отключения антивируса Microsoft Defender на компьютерах жертвСегодня в подборке новостей Jet CSIRT — эксплойт для уязвимости в MSHTML, обнаружение Linux-версии Cobalt Strike Beacon и новый вектор доставки банковского трояна ZLoader.

Новости собирала Мария Волгина, младший аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».Подробнее читайте под катом.

На форумах даркнета появилась инструкция по эксплуатации zero-day уязвимости в браузерном движке MSHTML, о которой на прошлой неделе со…

Bug Bounty («вознаграждение за ошибку») — это программа, которая предусматривает денежное вознаграждение или другие бенефиты за нахождение багов, эксплойтов и уязвимостей в работе ПО.

Почему мы решили сменить Bug Bounty платформу?

Альтернативные варианты развития событийприостановить Bug Bounty программу,организовать собственную Bug Bounty платформу для наших сервисов своими силами,сменить платформу.

Скорее всего, им просто было сложно ориентироваться в наших сервисах и не так интересно.Также стоит обратить внимание и на сезонность активности.

Это удобно: мы оцениваем репорт и ведем взаимодействие уже через Zerocopter.Все финансовые операции мы можем также проводить через Bug Bounty платфор…

Можно добавить, что будут вопросы в части администрирования операционных систем, различного оборудования.

Собеседование в компанию со штатом ИБВ данном случае уже присутствуют технические вопросы, вопросы по ИБ.

Стоит так же разделить вопросы на собеседованиях относительно предлагаемого уровня должности.

назовите нормативные акты по ИБ и кратко опишите их назначение; что такое риск ИБ и как им управлять?

Тут суть сводится к возможности соискателем вспомнить все вопросы и ответить на все вопросы при условии дополнительных вопросов по ходу ответов на условные 5 вопросов.

Если на сайте случатся проблемы с HTTPS, заголовок поможет админу быстрее узнать о них и (возможно, частично) нивелировать их негативные последствия.

Если сайт отдается и по HTTP, и по HTTPS, заголовок ничего не даст клиентам, подключившимся по незащищенному HTTP, но позволит остальным избежать mixed security context.

Говорит уже после того, как к сайту обратились, причем именно по HTTPS.Если же агент зашел на сайт по HTTP, то цитирую RFC:.

), а клиенты могли не уметь в HTTPS и на них не показывали пальцем.Заголовок объяснял клиентам две вещи:1.

Раз уж они однажды зашли на сайт по HTTPS, впредь следует поступать так же, даже если по HTTP сайт тоже доступен.2.

Изменение тактики - использование персонализированных вложений в довольно больших по размеру атаках в сочетании с нацеленностью на розничную торговлю - произошло как раз в преддверии сезона праздничных покупок.

Детали кампании3 декабря 2018 года мы наблюдали атаку TA505, направленную почти исключительно на розничную торговлю, продукты питания и рестораны.

Сканированный документ на самом деле представлял собой вредоносное вложение Microsoft Word (Рисунок 2).

Вложенный документ был адресован исключительно выбранной компании и даже содержал ее логотип в оформлении документа (размыт на рисунке с черным прямоугольником).

Его исполнение приводило к инсталляции Remote Manipulator System (RMS) с фа…

Все сайты, размещенные на Freedom Hosting, были закрыты неделю спустя, 3 августа 2013 года.

Однако расследование в отношении Freedom Hosting запомнилось не только огромным количеством чудовищных материалов, которые тогда обнаружили правоохранители.

Freedom HostingНекогда на Freedom Hosting размещались такие сайты с детской порнографией, как Lolita City, Love Zone и PedoEmpire.

В какой-то момент именно на Freedom Hosting размещались около половины всех сайтов даркнета (то есть в зоне .onion).

Увы, следом за Freedom Hosting II появились и другие, в том числе Freedom Hosting III и Freedom Hosting Reloaded, причем последний работает до сих пор.

Специалисты Lumen Black Lotus Labs обнаружили Linux-бинарники, созданные для Windows Subsystem for Linux (WSL).

При этом первые образцы, нацеленные на WSL, были обнаружены в еще начале мая и продолжали появляться каждые две-три недели, вплоть до 22 августа.

Вредоносные файлы в основном полагались на Python 3 для выполнения своих задач и упаковывались как исполняемый файл ELF для Debian с помощью PyInstaller.

Другой вариант загрузчика «ELF для Windows» полагался на PowerShell для внедрения и выполнения шелл-кода.

Исследователи отмечают очень низкие показатели обнаружения изученных образцов на VirusTotal и делают вывод, что одной из основных задач злоумышленников было сокрытие свой активности.

Ранее на этой неделе мы писали о том, что компания Microsoft устранила четыре критические уязвимости, носящие общее название OMIGOD.

OMI устанавливается и включается при активации любого из перечисленных инструментов и сервисов: Azure Automation, Azure Automatic Update, Azure Operations Management Suite (OMS), Azure Log Analytics, Azure Configuration Management и Azure Diagnostics.

В состав OMIGOD входят следующие уязвимости:CVE-2021-38647— RCE без аутентификации с root-правами (9,8 балла по шкале CVSS);CVE-2021-38648— уязвимость, связанная с повышением привилегий (7,8 балла по шкале CVSS);CVE-2021-38645— уязвимость, связанная с повышением привилегий (7,8 балла по шкале CVSS);CVE-2021-38649…

Исследователи компании Check Point продолжают изучать черный рынок, на котором продаются поддельные сертификаты о вакцинации от COVID-19.

Эксперты пишут, что таких предложений во всем мире становится все больше, а в сентябре количество поставщиков фейковых сертификатов в Telegram и вовсе выросло в 10 раз (до 10 000).

Так, в августе 2021 специалисты Check Point Research наблюдали по 25 000 до 30 000 подписчиков в Telegram-каналах, продающих поддельные сертификаты.

По данным исследователей, цены на поддельные сертификаты в мире колеблются от 85 до 200 долларов США.

В частности, после поручения Байдена в США стоимость поддельного сертификата в стране выросла в два раза — с 100 до 200 долларов.

Эдвардс быстро выяснил, что все эти сайты объединяло использование одного и того же софта, предоставленного государственным подрядчиком Laserfiche.

Оказалось, что продукт Laserfiche Forms содержит уязвимость, которая позволяет злоумышленникам размещать вредоносный и спамерский контент на авторитетных государственных ресурсах.

Своими выводами о проблемах, найденных примерно на 50 различных государственных поддоменах, эксперт поделился в видео, а также показал уязвимость в действии.

Дело в том, что в Laserfiche Forms есть общедоступная форма, которая допускает загрузку файлов.

К ней могут получить доступ неаутентифицированные пользователи, в итоге загрузив файлы на чужой сайт и сделав контент…

Недавно операторы малвари Ragnar Locker предупреждали своих жертв, что если те свяжутся с правоохранительными органами, похищенные у них данные будут опубликованы в открытом доступе.

Теперь операторы другого вымогателя, Grief, пошли еще дальше и заявили, что если жертвы наймут фирму-посредника, специализирующуюся на переговорах с вымогателями, данные этих пострадавших будут уничтожены.

Совсем недавно мы писали о том, что разработчики Ragnar Locker угрожают «слить» данные пострадавших в сеть, если те обратятся в ФБР, полицию или к частным следователям.

Стратегия Компаний по восстановлению данных™ состоит не в том, чтобы выплатить запрошенную сумму и не в том, чтобы раскрыть дело, но в том, ч…

Румынская компания Bitdefender опубликовала универсальную утилиту для дешифровки файлов, пострадавших в результате атак вымогателя REvil (Sodinokibi).

Инструмент работает для любых данных, зашифрованных до 13 июля 2021 года.

Незадолго до этого, в начале июля 2021 года операторы REvil осуществили масштабную атаку на клиентов известного поставщика MSP-решений Kaseya.

Вскоре после этого REvil ушла в офлайн на несколько месяцев, и вернулась в строй лишь 7 сентября 2021 года.

По данным ИБ-компаний, операторы REvil вновь активировали старые сайты, создали новые профили на форумах и уже начали снова проводить атаки.

Проблемы были найдены в Open Management Infrastructure (OMI), который незаметно и автоматически устанавливается на виртуальные машины Azure Linux (более половины всех экземпляров Azure).

Проблемы OMIGOD были устранены в OMI версии 1.6.8.1, но в приложении нет механизма автоматического обновления, поэтому большинство виртуальных машин Azure Linux останутся уязвимыми до тех пор, пока обновление не будет установлено вручную.

Большинство клиентов Azure даже не знают, что Microsoft незаметно устанавливает OMI на все виртуальные машины Azure Linux.

В состав OMIGOD входят следующие уязвимости:CVE-2021-38647 — RCE без аутентификации с root-правами (9,8 балла по шкале CVSS);CVE-2021-38648 — уязвимос…

Хактивисты Anonymous взломали базу данных доменного регистратора и хостера Epik, который ранее часто подвергался критике из-за того, что размещал у себя «правые» сайты, включая 8chan, Gab, Parler и The Donald.

Похищенные у хостера данные (более 180 Гб) опубликованы в формате торрента и, по данных хакеров, они содержат информацию за последнее десятилетие.

Представители Anonymous уже посмеялись над этим заявлением компании: в ответ хактивисты взломали базу знаний Epik и внести в нее собственные правки.

— Они утверждают, что слили все данные наших пользователей.

Послание заканчивалось саркастическим заявлением: «Мы написали все это сами, и очевидно, что это никак не связано со взломанной учетн…

Аналитики Qrator Labs зафиксировали беспрецедентный рост числа DDoS-атак на финансовый рынок РФ.

Сообщается, что атаки организованны с помощью нового ботнета Mēris, и в минувшие выходные их количество резко выросло более чем в три раза.

Ботнету дали имя Mēris – «чума» по-латышски, так как считается, что в основном он состоит из устройств латвийской компании Mikrotik.

Число DDoS-атак на банковские организации непрерывно растет, одновременно злоумышленники наращивают интенсивность и сложность атак, используя мощности Mēris.

Пик нападений пришелся на 11 сентября, когда была организована целая серия DDoS-атак на ведущие банки и платежные системы.

Сегод­ня мы пос­мотрим поб­лиже на этот важ­ный и для хакера, и для адми­на эле­мент сис­темы безопас­ности.

Под­систе­ма ауди­та в Linux сос­тоит из двух групп ком­понен­тов: в прос­транс­тве ядра это kauditd, а в поль­зователь­ском — auditd.

Пра­вила ауди­та быва­ют сле­дующих типов:Уп­равля­ющие пра­вила нас­тра­ивают сис­тему ауди­та и поведе­ние аген­та.

Пра­вило име­ет сле­дующий фор­мат: -a action, list -S syscall -F field = value -k keyname Ключ -a озна­чает append (добав­ление) пра­вила в филь­тр.

Как и в пра­виле фай­ловой сис­темы, исполь­зует­ся для мар­киров­ки событий для пос­леду­ющей филь­тра­ции лога.

Исследователи пришли к выводу, что в 2020 году для проникновения в сети организаций хакеры чаще всего использовали брутфорс.

Инциденты, которые расследовала компания в прошлом году, в основном были связаны с кражей денег, утечками данных, атаками шифровальщиков либо подозрительной активностью в сети.

При этом доля брутфорс-атак по всему миру выросла с 13% до почти 32% (по сравнению с 2019 годом).

Второй по распространенности метод проникновения в систему — эксплуатация уязвимостей.

Подавляющее число краж денег и утечек данных происходило в странах СНГ (67% и 57% от всех подобных обращений в мире).

Разработчики Google выпустили Chrome 93.0.4577.82 для Windows, Mac и Linux.

В новой версии браузера устранены одиннадцать уязвимостей, две из которых уже эксплуатируются в атаках и представляют собой проблемы нулевого дня.

Google сообщает, что для CVE-2021-30632 (out of bounds запись в движке JavaScript V8) и CVE-2021-30633 (use after free в Indexed DB AP) уже существуют эксплоиты, и эти баги уже активно применяются хакерами.

Никаких дополнительных сведений об уязвимостях и доступных для них эксплоитах компания не приводит, лишь сообщает, что о проблемах ее уведомили анонимные исследователи.

С учетом двух этих 0-day, в текущем году Google исправила уже десять уязвимостей нулевого дня в сост…

Первый «вторник обновлений» этой осени принес исправления более чем для 80 уязвимостей в решениях Microsoft: 66 уязвимостей в различных продуктах, включая Azure, Office, SharePoint Server, Windows, Windows DNS и Windows Subsystem for Linux, а также еще 20 ошибок в составе Chromium в Microsoft Edge.

Одна из этих уязвимостей, CVE-2021-40444, это уже известный 0-day в Microsoft MHTML (он же Trident), проприетарном движке браузера Internet Explorer.

Ранее сообщалось, что проблема уже используется в реальных атаках на пользователей Office 365 и Office 2019 в Windows 10, а вскоре стало известно, что для нее доступны публичные и простые в использовании эксплоиты.

Хотя MHTML в основном использовалс…

Министерство юстиции США сообщило о штрафах, наложенных на трех бывших сотрудников АНБ, которые работали в ИБ-компании в Объединенных Арабских Эмиратах и, по сути, были хакерами по найму.

В итоге трое обвиняемых согласившись выплатить 750 000, 600 000 и 335 000 долларов США в течение трех лет, чтобы избежать тюремного заключения.

Согласно той публикации и официальным заявлениями Министерства юстиции, все трое работали подрядчиками в компании DarkMatter в ОАЭ с января 2016 года по ноябрь 2019 года.

По данным Reuters, эти эксплоиты, созданные специально для iPhone, использовались властями ОАЭ для слежки за диссидентами, репортерами и оппозиционерами.

Соглашение с Министерством юстиции, которо…

A number of malicious samples have been created for the Windows Subsystem for Linux (WSL) with the goal of compromising Windows machines, highlighting a sneaky method that allows the operators to stay under the radar and thwart detection by popular anti-malware engines.

The "distinct tradecraft" marks the first instance where a threat actor has been found abusing WSL to install subsequent payloads.

Windows Subsystem for Linux, launched in August 2016, is a compatibility layer that's designed to run Linux binary executables (in ELF format) natively on the Windows platform without the overhead of a traditional virtual machine or dual-boot setup.

This secondary "shellcode" payload is then inje…

"The actor […] doesn't seem to be technically sophisticated, using off-the-shelf malware since the beginning of its activities without developing its own malware," researchers Tiago Pereira and Vitor Ventura said.

"The actor also buys the crypters that allow the usage of such malware without being detected, throughout the years it has used several different cryptors, mostly bought on online forums."

The threat actor is believed to have been active at least since 2013.

Cisco Talos said it found 31 different aviation-themed lures dating all the way back to August 2018.

"In this case, […] what seemed like a simple campaign is, in fact, a continuous operation that has been active for three year…

Continuous integration vendor Travis CI has patched a serious security flaw that exposed API keys, access tokens, and credentials, potentially putting organizations that use public source code repositories at risk of further attacks.

The issue — tracked as CVE-2021-41077 — concerns unauthorized access and plunder of secret environment data associated with a public open-source project during the software build process.

Travis CI is a hosted CI/CD (short for continuous integration and continuous deployment) solution used to build and test software projects hosted on source code repository systems like GitHub and Bitbucket.

"After three days of pressure from multiple projects, [Travis CI] sile…

New details have been revealed about a recently remediated critical vulnerability in Netgear smart switches that could be leveraged by an attacker to potentially execute malicious code and take control of vulnerable devices.

The flaw — dubbed "Seventh Inferno" (CVSS score: 9.8) — is part of a trio of security weaknesses, called Demon's Cries (CVSS score: 9.8) and Draconian Fear (CVSS score: 7.8), that Google security engineer Gynvael Coldwind reported to the networking, storage, and security solutions provider.

The disclosure comes weeks after NETGEAR released patches to address the vulnerabilities earlier this month, on September 3.

"This vulnerability and exploit chain is actually quite i…

Microsoft on Wednesday disclosed details of a targeting phishing campaign that leveraged a now-patched zero-day flaw in its MSHTML platform using specially-crafted Office documents to deploy Cobalt Strike Beacon on compromised Windows systems.

"These attacks used the vulnerability, tracked as CVE-2021-40444, as part of an initial access campaign that distributed custom Cobalt Strike Beacon loaders," Microsoft Threat Intelligence Center said in a technical write-up.

"The observed attack vector relies on a malicious ActiveX control that could be loaded by the browser rendering engine using a malicious Office document," the researchers noted.

The company attributed the activities to related cy…

Microsoft on Wednesday announced a new passwordless mechanism that allows users to access their accounts without a password by using Microsoft Authenticator, Windows Hello, a security key, or a verification code sent via SMS or email.

"Passwords are incredibly inconvenient to create, remember, and manage across all the accounts in our lives," Jakkal added.

Over the years, weak passwords have emerged as the entry point for a vast majority of attacks across enterprise and consumer accounts, so much so that Microsoft said there are about 579 password attacks every second, translating to a whopping 18 billion every year.

The situation has also been exacerbated by the need to create passwords th…

Azure customers on Linux machines, including users of Azure Automation, Azure Automatic Update, Azure Operations Management Suite (OMS), Azure Log Analytics, Azure Configuration Management, and Azure Diagnostics, are at risk of potential exploitation.

"In addition to Azure cloud customers, other Microsoft customers are affected since OMI can be independently installed on any Linux machine and is frequently used on-premise," Ohfeld added.

"With a single packet, an attacker can become root on a remote machine by simply removing the authentication header.

"OMI is just one example of a 'secret' software agent that's pre-installed and silently deployed in cloud environments.

It's important to no…

"The defendants worked as senior managers at a United Arab Emirates (U.A.E.

)-based company (U.A.E.

CO) that supported and carried out computer network exploitation (CNE) operations (i.e., 'hacking') for the benefit of the U.A.E.

The development follows a prior investigation by Reuters in 2019, which revealed how former U.S. National Security Agency (NSA) operatives helped the U.A.E.

The company's propensity to recruit "cyberwarriors from abroad" to research offensive security techniques first came to light in 2016.

Of the 66 flaws, three are rated Critical, 62 are rated Important, and one is rated Moderate in severity.

This is aside from the 20 vulnerabilities in the Chromium-based Microsoft Edge browser that the company addressed since the start of the month.

The most important of the updates concerns a patch for CVE-2021-40444 (CVSS score: 8.8), an actively exploited remote code execution vulnerability in MSHTML that leverages malware-laced Microsoft Office documents, with EXPMON researchers noting "the exploit uses logical flaws so the exploitation is perfectly reliable."

Also addressed is a publicly disclosed, but not actively exploited, zero-day flaw in Windows DNS.

Software Patches From Other Ve…

"The malware is downloaded from a Google advertisement published through Google Adwords," researchers from SentinelOne said in a report published on Monday.

"In this campaign, the attackers use an indirect way to compromise victims instead of using the classic approach of compromising the victims directly, such as by phishing."

The fake installer acts as the first stage dropper to trigger a series of actions that involve downloading next-stage droppers aimed at impairing the defenses of the machine and finally downloading the ZLoader DLL payload ("tim.dll").

"At first, it disables all the Windows Defender modules through the PowerShell cmdlet Set-MpPreference," SentinelOne Senior Threat Int…

Cybersecurity researchers on Tuesday disclosed details about a high-severity flaw in the HP OMEN driver software that impacts millions of gaming computers worldwide, leaving them open to an array of attacks.

Cybersecurity firm SentinelOne, which discovered and reported the shortcoming to HP on February 17, said it found no evidence of in-the-wild exploitation.

"The problem is that HP OMEN Command Center includes a driver that, while ostensibly developed by HP, is actually a partial copy of another driver full of known vulnerabilities," SentinelOne researchers said in a report shared with The Hacker News.

The findings mark the second time WinRing0.sys has come under the lens for causing secu…

There are mitigations available for users who can’t immediately install updates on externally accessible Laserfiche Forms servers, though that is, indeed, what Laserfiche recommended.

“The Laserfiche Forms 10.x security updates modify the default behavior of public forms to no longer provide a download link,” Laserfiche said in its update.

Laserfiche also provided a cleanup tool for Laserfiche Forms public portals to help affected customers scrub their portals clean.

JOIN Threatpost and Linux security pros at Uptycs for a LIVE roundtable on the 4 Golden Rules of Linux Security.

Joining Threatpost is Uptycs’ Ben Montour and Rishi Kant who will spell out Linux security best practices and take…

To combat the outdated nature of IDS, organizations should adopt next-generation IDS (NG-IDS) to fulfill the defense-in-depth promise unmet by legacy IDS.

IDS Erosion Over TimeIDS boomed in the ’90s as security frameworks like the SANS 20 Critical Security Controls and mandates like PCI DSS called out IDS by name.

This often inadvertently has caused teams to neglect cloud security strategy resulting in security gaps.

IDS programs had their time as the go-to technology to achieve network security compliance check-offs.

With next-generation firewalls (NGFW) absorbing some IDS perimeter functions, there’s an opportunity to shift detection deeper into the network with NG-IDS.

The perp, one Muhammad Fahd of Pakistan and Grenada, was convicted of grooming AT&T employees at a Bothell, Wash. call center to take part in the scam.

“Fahd also had the employees install malware on AT&T’s computers that captured information about AT&T’s computer system and the network access credentials of other AT&T employees.

AT&T’s forensic analysis showed that in all, 1.9 million phones were unlocked, costing AT&T $200 million in potential cellular telephone subscriptions.

AT&T employees were paid $2,000 every two weeks for facilitating the effort, according to the lawsuit, with two of the top participants “earning” $10,500 and $20,000 respectively.

AT&T has had its share of trouble, …

Criminals behind the Ryuk ransomware were early exploiters of the Windows MSHTML flaw, actively leveraging the bug in campaigns ahead of a patch released by Microsoft this week.

Collaborative research by Microsoft and RiskIQ revealed campaigns by Ryuk threat actors early on that exploited the flaw, tracked as CVE-2021-40444.

The bug is a remote code execution (RCE) vulnerability in Windows that allows attackers to craft malicious Microsoft Office documents.

RiskIQ identified the ransomware infrastructure as potentially belonging to the Russian-speaking Wizard Spider crime syndicate, known to maintain and distribute Ryuk ransomware.

Indeed, at least one of the campaigns Microsoft researchers…

The newly identified bug in a Zoho single sign-on and password management tool has been under active attack since early August.

Last Tuesday, Zoho issued a patch – Zoho ManageEngine ADSelfService Plus build 6114 – for the flaw, which is tracked as CVE-2021-40539 with a 9.8 severity rating.

“FBI, CISA, and CGCYBER strongly urge users and administrators to update to ADSelfService Plus build 6114,” the trio stated.

“Even if the ADSelfService Plus server was not accessible from the internet, it would be accessible from any compromised laptop.

Presence of webshell code on compromised ManageEngine ADSelfService Plus servers.

A two-year-old espionage campaign against the airline industry is ongoing, with AsyncRAT and other commodity remote-access trojans (RATs) helping those efforts take flight.

The campaign can effectively be a bird strike to the business engine, so to speak, resulting in data theft, financial fraud or follow-on attacks, researchers said, who have uncovered new details about the perpetrators.

It’s worth noting that Microsoft flagged parts of the campaign back in May, offering a few additional technical details on the infection chain.

About the Campaign PilotThe researchers also made an effort to see what other details they could turn up about the threat actor.

“The travel industry will always b…

While Bitcoin transactions are anonymous, it’s possible to follow the money through public ledgers to see what those transactions actually are and how they flow.

Thus began a short journey on the public blockchain ledger, that we can join in on the ride just as well.

With just five “hops” from the original wallet address, it appears as if these threat actors had not used a mixer.

The former function included bare cryptocurrency wallet addresses, and would examine the victim computer’s clipboard data to check for the presence of any other wallet address.

The crypto-exchange Binance has previously shared its own public wallet address.

Bitdefender worked with law enforcement to create a key to unlock victims encrypted in ransomware attacks before REvil’s servers went belly-up on July 13.

REvil victims, your prayers have been answered: There’s a universal decryptor key waiting to free you.

Bitdefender is releasing a free, universal decryptor key to unlock data of victimized organizations that were encrypted by REvil/Sodinokibi ransomware attacks before the gang’s servers went belly-up on July 13.

There’s also a universal key owned by the core team for a set of victims like Kaseya.

So far, the intelligence firm hasn’t spotted any substantive discussion about the universal key on these underground forums.

Keeping availability away from customers via DDoS can have a painful impact on businesses as they find their doors blocked to customers, keeping them from making transactions.

But over the years, DDoS attacks have evolved regarding level of sophistication, metrics and the techniques that threat actors employ.

According to Peter Klimek, director of technology in the office of the CTO at Imperva, DDoS attacks have blossomed into what he calls a huge business for cybercriminals.

Listen to the full podcast below, or download it directly here.

JOIN Threatpost and Cybersixgill for Threat Hunting to Catch Adversaries, Not Just Stop Attacks and get a guided tour of the dark web and learn how to tra…

Millions of devices running the HP Omen Gaming Hub were using on a driver with a bug that could give attackers kernel-mode access without administrator privileges.

HP Omen Gaming Hub is software that comes pre-installed on HP Omen desktops and laptops and functions as an optimizer for playing games, making automatic adjustments to fan speeds, lighting and accessory controls for the best gaming experience, SentinelLabs’ report explained.

Vulnerable HP OMEN Versions:HP OMEN Gaming Hub prior to version 11.6.3.0HP OMEN Gaming Hub SDK Package prior to version 1.0.44Metadata showed the researchers the HP OMEN Gaming Hub re-used code for its driver that is vulnerable unauthorized privilege escalat…

“In a small sample of Azure tenants we analyzed, over 65 percent [of Azure customers] were unknowingly at risk,” Ohfeld wrote.

Different Azure services have different port numbers, Microsoft noted in its advisory for CVE-2021-38647.

Rule #1 of Linux Security: No cybersecurity solution is viable if you don’t have the basics down.

JOIN Threatpost and Linux security pros at Uptycs for a LIVE roundtable on the 4 Golden Rules of Linux Security.

Joining Threatpost is Uptycs’ Ben Montour and Rishi Kant who will spell out Linux security best practices and take your most pressing questions in real time.

Two legacy IBM System x server models, retired in 2019, are open to attack and will not receive security patches, according to hardware maker Lenovo.

The two models, IBM System x 3550 M3 and IBM System x 3650 M3, are both vulnerable to command injection attacks.

On the back panel of System x models, serial and Ethernet connectors use the IMM for device management.

Both the System x 3550 M3 and System x 3650 M3 were introduced April 5, 2011 (PDF) as midsized businesses solutions.

According to the Lenovo security bulletin, software and security support for System x 3550 and 3650 ended December 31, 2019.

The date of its creation – revealed by WHOIS – seems to signal that the site was set up specifically for the phishing campaign.

To anyone familiar with government sites, the domain would appear suspicious given that government sites typically have a .gov suffix.

“Either the site was hijacked, or the site owners are themselves the phishers who used it to impersonate the USDOT,” Kay noted.

Once victims closed the instructions, they were directed to an identical copy of the real USDOT website that the attackers created by copying HTML and CSS from the government’s site onto their phishing site.

Using newly created domains in particular allowed the phishing mails to slip through standard email …

Adobe is urging its throngs of Acrobat Reader users to update their software to fix critical vulnerabilities that could allow adversaries to execute arbitrary code on unpatched versions.

Other high-rated bugs include a bevy of code execution vulnerabilities triggered via a type confusion, heap-based buffer overflow or a use-after-free style of attack.

“If you’re still using ColdFusion, you’ll definitely want to patch the two critical rated security feature bypass bugs being fixed today,” ZDI continued.

Of those Adobe bugs rated the highest in severity – when it comes to MITRE’s Common Vulnerability Scoring System (CVSS) – standouts include a Framemaker bug (CVE-2021-39830) rated 8.8.

None o…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Analysis of Numando banking trojan, steps to mitigate attack surface, and more!

– Week in security with Tony AnscombeIn this edition of Week in security, Tony looks at these topics:ESET Research continues its series on Latin American banking trojans, this time dissecting Numando, which targets mainly Brazil and rarely Mexico and Spain.

An overview of what the attack surface is and the best ways to mitigate your organization’s, in order to maximize cybersecurity.

The Facebook-owned messaging service WhatsApp announced it plans to roll out end‑to‑end encrypted backups to both iOS and Android users in the coming weeks.

Connect with us on Facebook, Twitter, LinkedIn and Instagram.

Unlike most of the other Latin American banking trojans covered in this series, Numando does not show signs of continuous development.

This installer contains a CAB archive with a legitimate application, an injector, and an encrypted Numando banking trojan DLL.

The downloader ignores the archive’s contents and extracts a hex-encoded encrypted string from the ZIP file comment, an optional ZIP file component stored at the end of the file.

Remote configurationLike many other Latin American banking trojans, Numando abuses public services to store its remote configuration – YouTube and Pastebin in this case.

Indicators of Compromise (IoCs)HashesSHA-1 Description ESET detection name E69E69FBF438F…

The most recent Patch Tuesday includes a fix for the previously disclosed and actively exploited remote code execution flaw in MSHTML.

This time round Microsoft’s Patch Tuesday brings fixes to no fewer than 86 security loopholes including one that has been both previously disclosed and actively exploited in the wild.

Indexed as CVE-2021-40444, the remote code execution vulnerability holding a rating of ‘critical’ on the CVSS scale, resides in MSHTML, a browser engine for Internet Explorer also commonly referred to as Trident.

Tracked as CVE-2021-38647 the remote code execution vulnerability earned an ‘almost perfect score’ of 9.8 out of 10 on the CVSS scale.

Closing up the trio of security …

Developing end-to-end encrypted backups was an incredible technical challenge: an entirely new framework for key and cloud storage.

With encrypted backups they’re only accessible to you, so that neither WhatsApp nor the backup service provider can access or decrypt the messages.

— WhatsApp (@WhatsApp) September 10, 2021“To enable E2EE backups, we developed an entirely new system for encryption key storage that works with both iOS and Android.

With E2EE backups enabled, backups will be encrypted with a unique, randomly generated encryption key.

WhatsApp said that the end-to-end encrypted backups should be rolled out to both iOS and Android over the upcoming weeks.

During the pandemic the attack surface has grown arguably further and faster than at any point in the past.

The bottom line is: the bigger the attack surface, the larger the target the bad guys have to aim at.

Websites: Another part of the digital attack surface with multiple vectors for attack, including code flaws and misconfiguration.

To highlight the sheer scale of the digital attack surface, consider this 2020 research into firms on the FTSE 30 list.

How to mitigate attack surface risksThe attack surface matters fundamentally to best practice cybersecurity because understanding its size and taking steps to reduce or manage it is the first step towards proactive protection.

In this article, we look at an overview of the most common scams that you will probably encounter while you’re perusing your feed and connecting with other users through direct messages.

pic.twitter.com/V0B40gVhmj — Instagram (@instagram) March 29, 2021To avoid falling victim to these scams, watch out for telltale signs such as poor grammar, or the use of generic greetings instead of personalized ones.

The verification badge scamSpeaking of cloned accounts, another thing you need to watch out for are account verification scams, or verification badge scams if we want to be exact.

@instagram our business page gets many scam imposter accts a week pretending to be us & asks our customers for mo…

Cyberespionnage against Kurdish ethnic group, and more!

– Week in security with Tony AnscombeIn this edition of Week in security, Tony looks at these topics:ESET researchers have investigated BladeHawk, a targeted mobile espionage campaign against the Kurdish ethnic group, and that has been active since at least March 2020.

ProtonMail updated its website and privacy policy, and will now have to log its user’s IP address after an order from Swiss authoritiesHoward University suffers suffered a ransomware attack and had to suspend online classes in aftermath.

All this – and more – on WeLiveSecurity.com.

Connect with us on Facebook, Twitter, LinkedIn and Instagram.

Elderly men and women were the main targets of the romance scams operated by the fraudsters.

From approximately February 2018 up until October 2019, Joseph Iorhemba Asan Jr. and his co-defendant Charles Ifeanyi Ogozy took part in a fraud scheme that mainly targeted elderly victims using romance scams.

Beyond the romance scams, the members of the ring also engaged in business email compromise scams.

A costly and persistent problemBoth BEC and romance scams remain a perennial problem.

“In 2020, reported losses to romance scams reached a record $304 million, up about 50% from 2019.

The university suffered a ransomware attack, however there is no evidence so far of data being accessed or stolen.

Howard University, a private research university based out of Washington D.C. admitted that it suffered a cyberattack on Friday.

“On September 3, 2021, the Howard University information technology team detected unusual activity on the University’s network.

The university is working with external forensic experts and law enforcement to investigate the cyberattack and its full impact.

In the aftermath of the incident, Howard University set up a backup Wi-Fi system on its premises and suspended its online and hybrid undergraduate courses while also extending deadlines for adding a…

According to TechCrunch, which broke the story, the French law enforcement authorities were able to acquire the IP address of a French activist that was using ProtonMail’s services, by sending a request to the Swiss police through Europol.

“In this case, Proton received a legally binding order from Swiss authorities which we are obligated to comply with.

As detailed in our transparency report, our published threat model, and also our privacy policy, under Swiss law, Proton can be forced to collect information on accounts belonging to users under Swiss criminal investigation.

TweetIt seems that the company has since removed the claim from its website and amended its privacy policy.

The email…

The newly discovered Android 888 RAT has been used by the Kasablanka group and by BladeHawk.

SamplesTo our knowledge, this campaign targeted only Android users, with the threat actors focused on two commercial Android RAT tools – 888 RAT and SpyNote.

Following this discovery, we were able to connect the Android 888 RAT to two more organized campaigns: Spy TikTok Pro described here and a campaign by Kasablanka Group.

It targeted the Kurdish ethnic group through at least 28 malicious Facebook posts that would lead potential victims to download Android 888 RAT or SpyNote.

IoCsFiles and ESET detection namesSHA-1 Detection name 87D44633F99A94C9B5F29F3FE75D04B2AB2508BA Android/Spy.Agent.APU E47AB…

Vaccination passports – what you need to know.

A guide to kids’ smartphone security.

CISA lists single-factor authentication as bad practice.

In this edition of Week in security, Tony looks at these topics:Vaccination passports may facilitate the return to normalcy, but there are also concerns about what kinds of personal data they collect and how well they protect it.

CISA urges organizations to ditch the bad practice and instead use multi-factor authentication methods with its recently created list of bad practices.

Fortunately, there are ways to mitigate the chances of any of these scenarios occurring by securing your kids’ smartphones and sometimes keeping tabs on their activities.

Passwords, passwords, passwordsLet’s start with the basics.

If you’re at a loss on how to get your children excited about creating passwords while teaching them proper security habits, you can use our fun guide to creating fantastic passwords.

Especially since, if their smartphone is left unattended and without proper security, someone can go rummaging through their private messages or media, and may even circulate the content around the school and the materials could be used for cyberbullying.

Installing a security soluti…

Dubbed Safety Mode, the feature will temporarily block authors of offensive tweets from being able to contact or follow users.

Twitter has unveiled a new feature called Safety Mode aimed at curbing abusive behavior, by autoblocking any unwanted tweets and other forms of online harassment.

Introducing Safety Mode.

We’ll also regularly monitor the accuracy of our Safety Mode systems to make improvements to our detection capabilities,” said Twitter.

Harassment and other forms of abusive behavior on social media have become a perennial problem, and social media platforms have been working hard to stomp it out for some time now.

Let’s deep dive in the Quebec vaccine passport’s contentFirst, let’s look at what the QR code contains.

But let’s go back to the Quebec vaccine passport application.

During a verification of the vaccine passport, the attacker first presents the first QR code.

Some people also feel that the personal data contained in the Quebec vaccine passport is excessive.

In my opinion, a flaw in the system that denied a valid vaccine passport would have a much more serious impact than the reverse, and that is not the case here.

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

The home security system that can be hacked with your email address

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

What’s *THAT* on my 3D printer?

Cloud bug lets anyone print to everyone

Have you listened to our podcast?

In the cybersecurity industry, which faces an immense skills shortage, this is especially true.

As a result, it’s never been more important to attract and develop employees in cybersecurity – and here are a few best practices for doing so.

Job satisfaction means making an impact in the industryIn cybersecurity, employees are often exposed to several aspects of technology and innovation.

Evaluating your organization’s work environmentIt is up to company leaders, in HR and beyond, to regularly evaluate the work environment.

ConclusionThe Great Resignation, combined with the ongoing cybersecurity skills gap, has increased the pressure on HR leaders to find, recruit and retain top IT security t…

In this interview with Help Net Security, Shauli Rozen, CEO at ARMO, talks about securing Kubernetes (K8s) systems, what makes them susceptible to cyberattacks and what should organizations expect when deploying them.

In its Spring 2021 report on the state of Kubernetes security, RedHat notes that 94% of survey respondents had experienced a security incident in their Kubernetes environment.

The first advice I would give a company building a process of securing Kubernetes is this: let the people who know the ins and outs of Kubernetes be in charge of the process.

It basically means that you need to deploy your own Kubernetes system, manage it, configure all aspects of it, update it, patch it…

To that end, business success often hinges on the risks and damages caused by poorly maintained data — and the resulting data decay.

This is ultimately why it is critical for company leaders to understand data decay and how to manage it.

Data decay is often a symptom of poor data management, and little or no data lifecycle processes in place.

Structured locations (e.g., live databases and live cloud data analysis platforms) are more likely to be vulnerable to data decay.

With data used and stored across various endpoints, servers, emails, business applications, third parties, and cloud storage, the likelihood of data decay or data loss is a real threat.

Over a decade after the zero trust security concept was first introduced, Ericom’s survey results indicate that zero trust solutions are being widely adopted.

Spurred by the recent sharp increase in ransomware and other sophisticated cyberattacks, the majority of organizations – 80% – have concrete plans to enable zero trust security solutions within the next year, with over half planning to begin implementation during 2021.

The most popular area of initial focus for respondents’ zero trust security programs is identity and access management, followed by network security and web security.

Zero trust security solutions implementation hurdlesWhile respondents are bullish on the necessity of a…

Trend Micro announced that it blocked 40.9 billion email threats, malicious files, and malicious URLs for customers in the first half of 2021, a 47% year-on-year increase.

Ransomware remains primary threat in the first half of the year as cybercriminals continued to target big-name victims.

The banking industry was disproportionately affected, experiencing a 1,318% year-on-year increase in ransomware attacks in the first half of 2021.

Ransomware remained primary threat in H1 2021, but not the only oneRansomware was a major threat to global organizations in the first half of 2021, but it was not the only one.

“The first step towards effectively mitigating cyber risk is understanding the scal…

After a year of challenges and change, tech pros responding to this year’s survey report a positive perception of their roles and say they look forward to what lies ahead.

48% of tech pro respondents say they’re proud of what they do, another 44% love what they do, and 41% believe this year has proven they’re more capable than they realized.

Tech pros feeling a sense of pride and highly motivatedAfter a year of unprecedented challenges, tech pro respondents say “Bring IT On” to the year ahead.

Forty-eight percent of tech pro respondents also say they’re proud of what they do.

Tech pro respondents report security (57%), troubleshooting (51%), and network management (49%) as the top technical…

15% of organizations are still using a combination of disk and tape backups, with 51% now using online or cloud backups, a research by Databarracks has revealed.

The annual report surveys over 400 IT decision-makers in the UK on cloud, backups, cybersecurity, IT resilience and remote working.

By 2012, companies were moving to a combination of disk and tape or switching to online or cloud backup.

“Storage prices have reduced to make cloud backup viable for the majority of the market, but the lowest-cost method of storage is still tape.

“Tape is also difficult and slow to eliminate completely due to the years of historic backups you need to keep.

The half-day SecTalks 2021 virtual cybersecurity conference will look at how to quantify security ROI, major vulnerabilities and threats, and proven strategies to evolve, improve and level up.

Or are you ready to move up-market to bigger customers, but don’t know to manage security and compliance requirements?

12:45 PM – 12:55 PM EDTCompliance Automation: The Past, Present & Future of Information Security AuditMatt Cooper, Vanta’s Security Expert will cover the evolving compliance automation landscape.

01:15 PM – 01:25 PM EDTLightning Talk: Speaker TBCLightning Talks highlight key security topics with concise, actionable takeaways from Cobalt partners.

01:45 PM – 02:15 PM EDTSpeak My Langua…

Kali Linux 2021.3 released: Kali NetHunter on a smartwatch, wider OpenSSL compatibility, new tools, and more!

Offensive Security has released Kali Linux 2021.3, the latest version of its popular open source penetration testing platform.

Year after year, the number of data breaches affecting entities in the healthcare industry rises, and 2020 was no exception.

The 616 data breaches reported this past year to the US Department of Health & Human Services (DHHS) have resulted in the exposure / compromise of 28,756,445 healthcare records.

Luckily, there are tactics one can deploy to avoid cloud configuration breaches and prevent error from both technology and humans.

Existing methods of authenticating consumers’ identities and transactions typically rely on outdated, less secure solutions like passwords or OTPs, while more secure solutions often require a mobile app.

In addition, poor user experience often leads to cart abandonment – and lost sales.

To address the divide between strong security on the one hand and good user experience on the other, Entersekt has expanded its authentication suite to include FIDO authentication.

“Our platform allows financial institutions to offer their customers a truly intuitive user experience,” says Ali.

“We wanted to provide all our customers with a secure solution for authenticating online payments – including custo…

McAfee announced that Gunther Bright, Executive Vice President and General Manager of Global and U.S. Large Enterprises at American Express, has joined its Board of Directors.

With his vast experience, his appointment strengthens the McAfee board.

“We are excited to welcome Gunther to the McAfee board,” said Peter Leav, McAfee President and Chief Executive Officer.

He oversaw the development of strategic partnerships and targeted acquisitions that helped American Express penetrate new markets and customers.

“I am honored to join the McAfee Board of Directors, particularly at such a pivotal time of high growth,” said Gunther Bright.

Mirantis launched Mirantis Flow, a vendor-agnostic, cloud-native data center-as-a-service aimed at businesses currently using costly, lock-in cloud infrastructure technology to modernize infrastructure while enabling both virtualization and containerization for all application types.

Mirantis Flow also simplifies onboarding for businesses just beginning their cloud journey.

Flow makes it easy to quickly — in as little as five days — deploy and run a centrally managed, scalable cloud infrastructure providing virtualization and containerization in the data center, on public cloud and out to the edge.

Mirantis has already helped hundreds of today’s tech savvy companies, including Booking.com, …

SnapLogic released the latest version of its SnapLogic Flows solution.

SnapLogic Flows allows teams in departments such as sales, marketing, finance, and HR to build new integrations and automations themselves that support their daily operations, solve their most pressing business needs, and speed up time-to-market and results.

“Business users want self-service tools to get their hands on timely critical data and be able to act fast to deliver results.

SnapLogic Flows helps marketing and sales teams to build integrations and automations that grow their prospect pipeline; capture, manage, and route leads; and analyze and report out on campaigns.

Flows provides business users with autonomy wh…

OmniNet combines SD-WAN and cloud security to enable secure connectivity without the need for or limitations of traditional, on-premises UTMs and firewalls.

This technology, combined with best-in-class SD-WAN routing and prioritization, delivers a powerful and unique security and connectivity solution to the SMB market.

“Communication technologies depend on secure and reliable connectivity, and market demand for these solutions has exploded,” said John Tippett, Cytracom COO.

The OmniNet product, also built in-house, aligns with Cytracom’s commitment and capability to drive a product roadmap dedicated to partner success.

“Since its inception, OmniNet has helped MSP and IT service providers d…

OpenView joined other participating investors such as Matrix Partners, who previously led the Series A.Kolide is betting big on a user-focused approach to endpoint security.

This combination of high quality cross-platform visibility and end-user involvement enables Kolide to fix issues that cannot be resolved with traditional endpoint security and management software.

The guide has attracted fast-growing organizations who have been dissatisfied with traditional endpoint security approaches.

After seeing Kolide’s approach to security and their product, we knew it was the right solution for 1Password.” says Harlie Hardage, Senior Security Specialist at 1Password.

“Kolide’s Honest Security app…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

And today we’re excited to let you know that we’ve been working on improving the overall UX experience of many of our products with a new, unified design.

A new, unified look and feelOne of the first changes you’ll notice is the updated Sign In interface, distinguished by our brand new light-violet color scheme.

These include significant changes to the colors we use as well as the presentation of our layout design.

Some of our users already love it, finding interfaces and texts easier to visualize in dark mode than on a bright white screen.

Graphics on the console also look amazing with this new color palette, making interaction with stats, numbers and general text more simple and straightf…

What are intrusion prevention systems (IPS)?

An intrusion prevention system (IPS) is a network security solution that continuously monitors the traffic going in and out of an organization’s network.

IPS prevention methodsIf an IPS determines a packet to be malicious, it can drop it or take several different actions.

Types of intrusion prevention systemsIntrusion prevention systems are usually categorized in four distinct types:Network intrusion prevention systems (NIPS) monitor network behaviour to spot any suspicious traffic.

Intrusion prevention systems were designed to expand on the capabilities of intrusion detection systems.

Top 8 cybercrime investigation and digital forensics courses and certsCybersecurity investigators are highly knowledgeable in numerous aspects of cybercrime, including their different types, legal aspects, methods of protection, necessary investigation techniques, and digital forensics.

We rounded up our picks for the best cybercrime investigation courses and certifications, listed in no particular order.

The Digital Forensics for Pentesters - Hands-on Learning courseThe Digital Forensics for Pentesters course is one of the bestselling courses in digital forensics on Udemy.

Certified Digital Forensics Examiner (CDFE) certificationThe Certified Digital Forensics Examiner (CDFE) certification…

Today, we’re excited to announce the general release of this powerful new product: SecurityTrails SQL.

By contacting our Sales team, you will be able to use SecurityTrails SQL integrated as a SecurityTrails API endpoint, inside Attack Surface Reduction™, as well as in the SurfaceBrowser™ SQL Explorer interface.

You can use SecurityTrails SQL to run different queries to get host, IP and SQL data.

And how does the SecurityTrails SQL look when used from SQL Explorer’s visual editor?

Find out how SecurityTrails SQL can help you find critical data from any organizations within seconds—and take your recon and app automation to the next level!

Additionally, he’ll reveal how he gained arbitrary control of firewall rules across millions of devices and multiple vendors.

In the Datto example, the device self-registers quietly with the Datto DNS, PKI, and cloud infrastructure.

Mirai looked for default credentials and bad firewall rules (amongst other things) and did so rather clumsily.

Using WD2go:In addition to mapping the firewall rules, DHCP scope, features, and status of this device, we now have a unique FQDN/identifier.

Anchoring PKI, firewall rules, and proper resolution to DDNS names allows an attacker an incredible attack surface.

To talk more about the blast radius of misconfigured Kubernetes, we are joined by Robert Wiggins, better known as Random Robbie.

Blast Radius Measurement 10 Severity 10 QuantityHow many misconfigured Kubernetes are there?

On average, there are around 800 misconfigured Kubernetes servers around the world exposing secrets and other fun data.

How to find misconfigured Kubernetes serversAlso on average are around 400 systems exposed via Shodan on port 443 and many more on port 8080.

To find exposed Kubernetes systems, you can search via Shodan using the search term ‘http.html:/apis/apiextensions.k8s.io’ for any HTTP 200 response.

We need to ask about your wrestling career, especially bear wrestling!

Phillip: The biggest parallel I can draw between pro wrestling and offensive security is the social engineering part of offensive security.

I got my first pentesting job without infosec certifications or pentesting experience because of my attitude, passion, and self-study efforts.

I got my first pentesting job without infosec certifications or pentesting experience because of my attitude, passion, and self-study efforts.

I passed the exam a little over a year after I started my first pentesting job.

Such a takeover happens when the DNS zone is removed from the DNS provider, but the DNS delegation link stays in play.

Since DNS uses multiple nameservers for DNS zones for redundancy, sometimes only a subset of such nameservers is affected by DNS takeover.

Implications of DNS takeoverFirstly, DNS takeover is not that different from other types of takeover such as CNAME.

This event showed that DNS takeovers happen if any link of the DNS delegation chain is vulnerable.

When creating a new DNS zone, Route53 would assign four nameservers at random to the DNS zone from a pool of thousands.

Streamlining the submission processAmass is great and all, but currently it’s the only DNS enumeration tool I’m aware of that has the SecurityTrails submit endpoint built right into it.

Upgrading haktrailsThe first thing I did was build the submit endpoint into haktrails, a tool I had already written to query SecurityTrails data.

Submitting bug bounty recon (or not)My guess is that every bug bounty hunter and their dog will be submitting their bug bounty recon data to win this contest.

@ChrisUeland Ideas for ReconMaster contest - #1) automate AFXR - approximately 1% of all domains have AXFR open.

To mitigate this, there’s a great tool called DNS Validator that allows you to maintain a list …

Understanding the Apache Airflow VulnerabilitiesEarlier this year, I stumbled upon an Apache Airflow instance’s web interface when looking through public assets on a bug bounty program.

I was able to exploit these issues in over ten bug bounty programs, earning many P1s and over $13,000.

This is a weird way to phrase this issue, as it seems to imply something quite severe — the authentication system for a default Airflow instance is able to generate valid sessions for any other Airflow instance.

Moderate damage : You can view and change the configuration variables for the Airflow instance.

: You can view and change the configuration variables for the Airflow instance.

Domain and specially subdomain discovery is a critical skill for hackers, security researchers and pentesters.

Today we will introduce you to a handy tool we discovered recently, called AssetFinder.

Find even more subdomains today Grab your free SecurityTrails API™ account now SIGN UP FOR FREEAssetFinder installationInstalling AssetFinder is pretty straightforward.

It utilizes the following command syntax:./assetfinder [--subs-only] For example, to find both subdomains and domains associated with GE.com, use:root@Ubuntu ~ # ./assetfinder ge.com blizzard000.ge.com blizzard00.ge.com ns0.ge.com milan1-1.ge.com milan2-1.ge.com na2001.ge.com crpeomusanyca01.ge.com corpuwb01.ge.com consind01.ge.c…

Types of intrusion detection systemsIntrusion detection systems come in different variations and can detect suspicious activity using different methods and capabilities.

Host intrusion detection system (HIDS)A host intrusion detection system (HIDS) runs on all of a network’s hosts and devices that have access to the internet as well as the internal network.

Application protocol-based intrusion detection system (APIDS)An application protocol-based intrusion detection system (APIDS) monitors the communication between users and applications.

Hybrid intrusion detection systemA hybrid intrusion detection system is defined exactly as its name implies: it’s a combination of two or more types of ID…

IP intelligence involves information gathering on the IP addresses used to provide access to web applications and web services within an organization.

IP Block ListIf we scroll down further, we notice the IP Block list.

Now let’s take a look into an IP block:Next, we arrive at the IP Block 165.156.0.0/16 information page:Here you see the IP Count, which is the number of IP addresses within this block, along with other information about the IP block.

If we scroll down further, we find the individual subnets and IP addresses within this large /16 IPv4 block:Taking a look at the sub-block 165.156.128.0/20,we see the Ports open on this IP block, the hostnames associated with this IP block and a…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

К этому выступлению я планировал завершить перевод последней версии матрицы MITRE ATT&CK v9 на русский язык и маппинг техник ФСТЭК в техники MITRE ATT&CK, что и было сделано (ссылки будут ниже).

Поэтому я и задался целью связать то, что принято во всем мире как стандарт де-факто (пусть и неидеальный) и что требует делать ФСТЭК.

Второй и, наверное, более серьезной задачей было найти соответствие между 145 техниками ФСТЭК и 400+ техник MITRE ATT&CK.

В октябре должна быть анонсирована новая, 10-я версия, MITRE ATT&CK и я планирую обновить свои переводы и маппинг.

Кроме того, у меня в планах перевести матрицу ATT&CK for ICS, провести маппинг техник ФСТЭК с ней, а также провести обратный маппинг…

И ты выходишь весь оплеванный и не знаешь, как обосновать выделение ресурсов.

Идея заключается в том, что мы должны выписать все функции, которые нам нужны для обеспечения ИБ в табличку и против каждой функции проставить число часов, которые эта функция требует.

Очевидно, что чем крупнее организация, тем больше функций ИБ в ней реализуется и тем больше времени на них нужно.

Но в данном примере нам нужно 140 часов в неделю, что при 40 рабочих часах по Трудовому Кодексу составит 3,5 FTE (Full-Time Equivalent).

Допустим, вы банк и вам "навесили" обеспечение непрерывной надежности и уведомление ФинЦЕРТ об инцидентах ИБ, а ИТ сбагрила вам проект по идентификации и аутентификации.

Почему мало кто из ИБшников или ИБшных сейлов пишет о своих измеримых достижениях в резюме?

По ним оценивается специалист, а не по тому какому КОИБАСу его учили старперы по учебникам времен Петра Первого.

Как правильно отметила в заметке Екатерина Калугина, большинство соискателей в резюме пишут, что делали (а это у многих схожих по роли специалистов очень похоже), а не что сделали.

Писать резюме - несложная штука, научиться сильно проще, чем обращаться с PowerPoint" и я с ним согласен.

О том, как писать резюме можно писать еще много, но я не ставил перед собой такую задачу.

Вчера я наткнулся на модель угроз и нарушителя безопасности информации, обрабатываемой в программно-техническом комплексе дистанционного электронного голосования (ДЭГ).

Меня немного удивило заявление, что в ДЭГ не обрабатываются специальная категория персональных данных о политических взглядах.

В приложении А в выписке отображена архитектура ДЭГ.

В этом нормативном документе описана и структура модели угроз, которая должна быть, и ряд обязательных элементов, среди которых сценарии реализации угроз.

Но ФСТЭК молчит и не публикует никаких информационных писем на этот счет, разъясняющих свою позицию.

Если следовать набившей оскомину идее, что ИБ должна говорить с бизнесом на его языке и быть вообще бизнес-ориентированной, то и проблему выплаты выкупа надо рассматривать как проблему бизнеса и приравнивать ее к "платить за переход к облакам или нет", "платить за кофе или нет", "поднять зарплату или нет", "открыть новый офис или нет".

Я не призываю всегда платить вымогателям, но прекрасно осознаю, что это вполне реальная опция.

Уверены ли мы, что ключи шифрования помогут и в реализации шифрования нет ошибок?

Не будет ли данная оплата рассматриваться как финансирование терроризма или экстремизма, а для госорганов - как нецелевое расходование средства?

Есть ли у вас криптовалютный кошелек (е…

И вот на днях подумал я, что неплохо бы реализовать такую идею самостоятельно, что я и сделал.

Поэтому классический вариант с оценкой зрелости по CMMI сюда не подходил.

Затем она переходит к многофакторной аутентификации, потом задумывается о Zero Trust или 802.1x начинает аутентифицировать не только пользователей, но и устройства.

Но такова уж карма термина "активный аудит", который в России известен уже давно и в него засовывают и обнаружение вторжений, и анализ защищенности.

Но и с этим я тоже справился.

Я все откладывал, откладывал... Потом, организаторы мероприятия спрашивают меня, чтобы я мог рассказать и я называл незавершенную еще тему, которая, вдруг, заинтересовывала и организаторов и аудиторию.

Я все откладывал, откладывал... Потом, организаторы мероприятия спрашивают меня, чтобы я мог рассказать и я называл незавершенную еще тему, которая, вдруг, заинтересовывала и организаторов и аудиторию.

За свою жизнь я много где бывал, - и занимаясь туризмом в детстве и юности, и уже работаю и ездя в командировки.

Тогда он подается как спикер и если его выбирают, то он сильно экономит на проезде и проживании на площадке мероприятия.

Тогда он подается как спикер и если его выбирают, то он сильн…

TARA не ссылается на матрицу техник и тактик MITRE ATT&CK (ее еще тогда просто не было), но само понятие TTP в методике TARA присутствует ровно в том же контексте, что и в ATT&CK.

При этом TARA не требует описания активов вплоть до интерфейсов и уровней, как это описано у ФСТЭК.

Итогом моделирования угроз по TARA было составление оптимального перечня защитных мер, которые обеспечивали бы эффективную защиту от угроз/техник с минимальными затратами на внедрение и эксплуатацию.

Все эти параметры нарушителей могут меняться с течением времени, поэтому процесс составления "модели нарушителя" не статический и не одноразовый, а динамичный, требующий автоматизации.

Кстати, о времени, которое требует…

Вспоминая вчерашнюю таблицу показателей защитной меры, мы понимаем, что их зрелость может быть разной.

Туже самую идею можно применить и к эффекту от защитной меры и выделить для них три уровня: Высокий.

Эффект защитной меры подтвержден демонстрацией, сертификацией, тестами, пилотом и т.п.

Обратите внимание - результат поменялся, так как первая мера защиты много обнаруживает, но ничего не предотвращает и не снижает негативный эффект от обнаруженных угроз.

Выбор в пользу первой меры не вызывает вопросов - с ее помощью мы сможем нейтрализовать большее число угроз.

С ранжированием угроз мы разобрались вчера, но что делать с ситуацией, когда у меня для нейтрализации угрозы подходит сразу несколько защитных мер?

Можно оценить любую защитную меру с трех позиций - покрытие угроз (чем больше угроз покрывает защитная мера, тем лучше), стоимость внедрения и стоимость эксплуатации.

При этом второй показатель складывается из стоимости разработки (покупки) защитной меры, стоимости ее тестирования (пилотирования) и стоимости интеграции защитной меры в защищаемую среду.

Да и по спорным моментам все-таки мы получаем единую шкалу измерения, которая лучше чем просто экспертная оценка.

Однако можно пойти чуть дальше и еще улучшить выбор защитных мер, но об этом мы по…

Сегодня хочется попробовать описать один из вариантов, который может помочь не только облегчить процесс оценки угроз, но и автоматизировать его.

Идея достаточно проста и ее можно применить к абсолютно любой методике оценки угроз, в том числе и к ФСТЭКовской.

Хотя не исключаю, что под конкретные задачи можно пойти и привычным путем и более сложную атаку (и в части ресурсов, и в части детектируемости) считать и более опасной.

Во-вторых, такое матричное представление и ранжирование угроз гораздо более компактное и помещается на половине страницы А4, что позволяет методики на ее основе делать также более компактными.

Да и проверять и согласовывать такие таблицы гораздо проще, чем вникать в сотн…

Итак, на первое место я поставлю базовую модель угроз безопасности персональных данных при их обработке в ИСПДн (она же в Консультанте), выпущенную ФСТЭК в 2008-м году.

Одним из таких документов была "Модель угроз и нарушителя безопасности ПДн, обрабатываемых в ИСПДн отрасли [связи]", согласованная с ФСТЭК и ФСБ России.

Оба документа подразумевают согласование модели угроз с ФСБ, что заставляет нас задумываться о том, есть ли утвержденные этим, уже 4-м в сегодняшней заметке регулятором, перечни угроз безопасности?

Методические рекомендации ФСБ по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информ…

На днях я в своем Telegram-канале провел опрос, в котором задал схожий вопрос и получил очень интересные результаты (на основе 773 голосов).

Так вот это число растет быстрее, если увеличивать показатель степени (длину пароля), а не основание (мощность алфавита).

При увеличении основания значение функции тоже растет, но не так быстро.

У такого совета (опираться на длину пароля, а не спецсимволы) есть и другое преимущество - нестандартные клавиатуры, на которых приходится искать непонятные символы.

Я не знаю, учат ли сейчас ее в институтах, но в мое время ее преподавали.

Кинцуги - это японское искусство реставрации керамических изделий, которое, как и многое, что есть в Японии, имеет свой философский смысл.

Рекламы почти нет (как и всегда), куча практики, множество дискуссий и интерактивных сессий, возможность задавать вопросы спикерам (на очной RSAC это всегда было непросто).

Вроде как инцидентов серьезных в этом сегменте не было; как и новых регулятивных требований.

Новых технологий по ИБ представлено почти не было, исключая, пожалуй, Attack Surface Management, о которых я писал несколько дней назад.

Интересно, что на выставке раньше было раза в 3-4 больше экспонентов, чем в онлайне, что странно.

Еще во время появления первых документов ФСТЭК в 2013-м году многие эксперты задавались вопросом, а как увязать защитные меры с моделью угроз.

В фреймворк MITRE ATT&CK помимо техник и тактик входит еще один блок - защитных мер (mitigations), которые увязаны с блокируемыми ими техниками и тактиками.

Этого тоже пока не хватает подходу ФСТЭК, у которого из всего "фреймворка" есть пока только перечень техник и тактик.

Поэтому-то я и ратую за то, чтобы ФСТЭК прекратила заниматься самодеятельностью и унифицировала нумерацию своих техник и тактик с тем, что есть у MITRE.

В защитные меры из приказов ФСТЭК тоже можно смаппировать, но про это в другой раз.

На выходных обновил и дополнил свои тулкиты (набора документов) по внедрению СУИБ и соответствию требованиям GDPR, которые собираю на Патреоне.Посмотреть их состав и скачать документы можно тут:GDPR Implementation Toolkit, v.3.0 - https://www.patreon.com/posts/41151893GDPR Intro Toolkit, v.2.0 - https://www.patreon.com/posts/47803689ISMS Implementation Toolkit, v.2.1 - https://www.patreon.com/posts/47806655Auditor's Toolkit, v.1.0 - https://www.patreon.com/posts/44215838Поддержите этот проект и подписывайтесь на мой Патреон!

Я уже больше года выкладываю свои документы по ИБ на Патреон (доступ по платной подписке), и вот список самых лучших из них:Дорожная карта по внедрению СУИБ, https://www.patreon.com/posts/34193352Рекомендации по внедрению СУИБ и подготовке к аудитам, https://www.patreon.com/posts/30627529Большая и подробная майндкарта по аудиту СУИБ, подготовленная по итогам прохождения курса ведущего аудитора по ISO27001, https://www.patreon.com/posts/44005904Перечень документов и процессов СУИБ, https://www.patreon.com/posts/30651713Майндкарта по стандарту ISO 19011, https://www.patreon.com/posts/32391752Одностраничный документ с основными положениями GDPR, https://www.patreon.com/posts/30623162Дорожная к…

На праздничных выходных я прочитал и законспектировал официальный мануал для подготовки к экзамену CDPSE (Certified Data Privacy Solutions Engineer) от ISACA, и сегодня расскажу вам о нем.1. Книга стоит 105$ для членов ISACA и 135$ для всех остальных.2. Это совсем свежая книга, ее опубликовали примерно месяц назад. Но до этого ISACA уже выпускала несколько больших книг по privacy. Например, "Implementing a Privacy Protection Program: Using COBIT 5 Enablers With ISACA Privacy Principles".3. Странно, но этот учебник ISACA предлагает не в формате pdf, который удобно читать на любом устройстве, а выдают лишь ссылку, которую можно открыть лишь в защищенном формате в Adobe Digital Edition. Каких-…

Начало года отмечено новым рекордным штрафом за нарушение требований GDPR при использовании систем видеонаблюдения (CCTV): 10,4 млн.евро штрафа для notebooksbilliger.de. Для себя составил вот таблицу со всеми известными мне штрафами по этой теме. Нарушения стандартные: нарушение баланса интересов, слишком длительное хранение данных, несоответствие обработки целям и избыточный сбор данных.Ссылки на все штрафы выложены на моем Патреоне - https://www.patreon.com/posts/gdpr-fines-video-46114870Там же есть и мои детальные рекомендации по использованию CCTV (и легализации этого процесса) - https://www.patreon.com/posts/39537997И большая презентация "Employee Monitoring and Privacy" - https://www.…

Целью этой стратегии является укрепление коллективной устойчивости Европы к кибер-угрозам и обеспечение того, чтобы все граждане и предприятия могли в полной мере воспользоваться преимуществами надежных и заслуживающих доверия услуг и цифровых инструментов.

А также положения об объединенном сообществе (Joint Cyber Unit) для обмена информацией об угрозах и оказания помощи в реагировании.

Планы по перезапуску и усилению CERT-EUВ отдельное приложение выделены меры по безопасности сетей 5G.

На ближайшие 7 лет запланировано очень много важных и полезных изменений...А вот, кстати, официальный QnA по стратегии - https://ec.europa.eu/commission/presscorner/detail/en/QANDA_20_2392P.S.

Помимо этого с…

Сегодня я посетил вебинар - встречу с новым финским Омбудсменом по защита персональных данных (the Data Protection Ombudsman) и после этого решил в очередной раз сравнить европейский подход (GDPR и ePrivacy) с подходом российского РКН (152-ФЗ). Для этого я пересмотрел запись публичного семинара для операторов ПДн от РКН, который прошел 26 ноября 2020.Меня очень порадовало, что Контемиров Юрий Евгеньевич (начальник Управления по защите прав субъектов ПДн) в этот раз отдельно рассказал про отношение РКН к GDPR. Приведу текст выступления практически полностью, чувствую, что он еще пригодится:1. GDPR к деятельности российских компаний может применяться в исключительных случаях. 2. Российский оп…

Пару недель назад я прошел 5-дневное обучение по курсу ISMS ISO 27001:2013 Lead Auditor (Ведущий аудитор систем управления информационной безопасностью по стандарту ISO 27001) и сегодня расскажу вам о нем.Что это такое и зачем это надо?По сути, это обучение является обязательным шагом для получения статуса ведущего аудитора по ISO 27001. Соответствующий статус необходим аудиторам для проведения сертификационных аудитов СУИБ (это может быть довольно неплохой работой / подработкой для специалистов по ИБ), а также часто требуется для внутренних аудиторов, внешних аудиторов (при аудитах второй стороны (подрядчиков и партнеров)) или внешних консультантов. Однако он заточен именно на стандарт ISO…

Попробовал свести в одну майндкарту важные управленческие модели, которые могут быть полезны руководителям департаментов и консультантам по информационной безопасности, а также инспекторам по защите персональных данных (DPO). На удивление, получился очень большой перечень. Держите майндкарту и общий список.Вот общий список:Strategy1. Governance by COBIT2. SWOT3. GAP analysis and Benchmarking4. Hype Cycle5. Components by COBIT (ex.Enablers)6. McKinsey 7-S FrameworkObjectives, KPIs and metrics7. Balanced Scorecard (BSC)8. Goal Cascade by COBIT9. ISO 27001 for IS objectives10. SMART11. Metrics12. Metric Life CycleProcesses13. PPT Triangle14. RACI chart CI Cycles15. PDCA16. OODA17. COBIT Implem…

Снятая в 2020 году блокировка Telegram, видимо, положительно сказалась на популярности чатов и каналов - отрицательной динамики за прошедший год практически ни у кого нет за редким исключением.

В рейтинге самых популярных чатов на первом месте теперь RouterOS Security, набрать аудиторию которому сильно помог недавний нашумевший пост на Хабре. На втором месте - многострадальный КИИ 187-ФЗ, потерявший администраторов и живущий теперь по принципам полной самоорганизации, страдая периодически от спама и ботов. При этом участники не спешат его покидать, хотя альтернатива есть и состав модераторов там вполне адекватный: @FZ187KII.

Отсечку в 100 пользователей менять не стал, так что итоговый списо…

Традиционно с началом нового года начинают действовать и новые изменения в законодательстве. Ниже собрал основные нововведения, так или иначе касающиеся информационных технологий. Ссылки на первоисточники - в конце поста.

Молодым специалистам «откроют» только электронные трудовые книжки

Россиянам, впервые поступившим на работу, больше не будут оформлять бумажные трудовые книжки. Переход на электронные трудовые книжки начался в России в 2020 году. До 31 декабря этого года каждый работник должен принять решение — хочет ли он оставить бумажную трудовую книжку или перейти на электронную, и в письменном виде проинформировать о сделанном выборе отдел кадров. Если сотрудник откажется от бумажной т…

Нестандартный по формату проводимых мероприятий 2020 год под конец ознаменовался целой чередой попыток провести что-то большее, чем очередной типовой вебинар по информационной безопасности, в коих и в прошлые годы недостатка не было.

Пишу попыток, так как далеко не все мероприятия можно признать удачными. Ниже кратко перечислю те, в которых принял участие (не как слушатель), и отмечу их особенности.

Безопасная среда

30 сентября принимал участие в проекте “Безопасная среда” коллег из ЭКСПО-ЛИНК, где прочитал короткий доклад про особенности мониторинга информационной безопасности для АСУ ТП.

Чем отличалось от типового вебинара? доклад предварялся разговором на заданную тему нескольких приглаш…

ZN переносят на 25 Августа

Перенос даты ZeroNights на август 2021Друзья!Организаторы готовились к юбилейному мероприятию и ждали встречи с вами два года: забронировали одну из лучших и самых живописных площадок города, отобрали самые сильные доклады и сформировали мощную программу. Однако в связи с неутихающим распространением инфекции и недавним ужесточением антиковидных мер в г. Санкт-Петербург в планах произошли непредсказуемые изменения. Теперь наша долгожданная встреча переносится на август.Новая дата конференции – 25 августа 2021. Место остается то же – “Севкабель Порт”.Для участников, которым не подходит эта дата, мы предусмотрели процедуру возврата билетов.При возврате до 30 июня стоимость всех купленных биле…

Конкурс «Hack to be hired» на ZeroNights 30 июня на конференции вы сможете принять участие в конкурсе от Академии Digital Security, тема которого многократно становилась основой для мемов о найме сотрудников в ИТ-компании.Вам предстоит создать вакансию в компании мечты и пригласить себя на собеседование.Подробнее

​Партнёрский материалЭксперты из Solar JSOC завтра проведут вебинар, на котором расскажут, кто и что угрожает российским организациям — субъектам КИИ.По данным центра, интерес к промышленным, энергетическим и другим компаниям, которые относятся к субъектам КИИ, за последний год многократно вырос, при этом каждая 10-я организация в России уже скомпрометирована различными семействами ВПО.В программе вебинара: 1. Обзор уязвимостей, которые чаще всего встречаются на внешнем периметре инфраструктур организаций – субъектов КИИ2. Результаты внешних и внутренних пентестов, проведенных командой Solar JSOC3. Особенности ВПО, популярного среди злоумышленников, атакующих субъекты КИИ4. Методы защитыСпи…

До начала юбилейной, десятой ZeroNights осталось всего 19 дней!По традиции посетителей будет ждать насыщенная техническая программа со знакомыми многим Defensive Track, Web Village и Hardware Zone.В этот раз ребята выбрали новый формат — все активности будут пр­ходить на свежем воздухе в фор­мате open-air, а в случае непогоды участников будут ждать кры­тые три­буны. Место встречи — пространство «Севкабель Порт» в Петербурге.Программа каждой из секций уже на сайте > https://zeronights.ru/program/See you soon!

Вообще идея создания подобной карточной ИБ-игры преследует меня уже давно. Хочется и чтобы на конференциях можно было зарубиться, и не погруженным в мир ИБ было интересно. Мы с другом даже делали прототип, но дальше тестов к сожалению ничего не уехало :(На самом деле там не все так просто

В Kaspersky решили не мелочиться и сделать VR игру для знакомства топ-менеджмента с рисками ИБ.Такой Standoff на минималках)https://www.kaspersky.com/blog/vr-interactive-simulation/40188/

Для участия в розыгрыше нажмите на «Я участвую»

​Идея обучения своих сотрудников вопросам ИБ не является чем-то новым, но последнее время стремительно набирает популярность.Поэтому в рамках этого партнерского материала хочу вам рассказать про своих знакомых из компании Secure-T, которые мне предложили разыграть среди подписчиков бесплатную проверку социалкой на 150 человек.Ребята не первый год на рынке и уже обучают и тестируют более 10 тысяч сотрудников крупных организаций.Вот немного статистики из их последних двух фишинговый рассылок:1-й кейс — 46% сотрудников перешли по ссылке в открытом письме, а 14% ввели свои учетные данные в поддельные формы;2-й кейс — 50% сотрудников перешли по ссылке в письме, а 28,5% ввели свои учетные данные …

Кто пропустил, вчера Microsoft выкатила июньские обновления безопасности в рамках Patch Tuesday.Коротко обзор:[RU] https://news.microsoft.com/ru-ru/update-tuesday-microsoft-security-updates-jun2021/[EN] https://krebsonsecurity.com/2021/06/microsoft-patches-six-zero-day-security-holes/

Если вы еще не интегрировали MITRE ATT&CK в свои процессы, вот вам отличный повод еще раз понять, как применять фреймворк на практике — CISA выпустило свое краткое руководство, где с помощью общих инструкций и на примере трояна TrickBot показали как работать с MITRE ATT&CK и сопоставить поведение злоумышленника.https://us-cert.cisa.gov/sites/default/files/publications/Best%20Practices%20for%20MITRE%20ATTCK%20Mapping.pdf

​Эту неделю очень хочется начать с минутки мотивации, которой в последнее время мне не хватает чтобы регулярно вести канал.Знакомьтесь, Кельвин Сиу (Kelvin Siu) из Гонконга, который за 12 месяцев получил 14 сертификаций. Пусть набор сертификатов странный, кажется Кельвин решил не мелочиться и сложить все яйца в одну корзину, но факт, что парень просто взял и за год закрыл такой объем сертификаций, малую часть которого многие закрывают годами.Если вдаваться в детали, конечно там не так все просто — у него уже было 7 лет опыта в индустрии, а подготовка заняла куда больше времени, чем сама сдача (по 2-3 месяца подготовки на каждый экзамен). Судя по linkedin работает Кельвин аудитором в компани…

Ребята из Яндекса в рамках Positive Hack Days рассказали, как они повышают ИБ-осведомленность своих сотрудников, начиная от мемов, которые размещают в офисных кофе-поинтах и заканчивая обучающей платформой для поиска багов в коде. Последнюю кстати выложили в открытый доступ и на GitHub. Говорят было бы круто, если бы вы помогли в развитии и использовали их наработки у себя, например дописав тесты под свои языки и сценарии.http://securitygym.ruhttps://github.com/yandex/securitygym

​Партнерский пост: ⚡️ 26 мая состоится масштабное мероприятие по внутренним угрозам корпоративной безопасности — Форум DLP+Подробности: https://dlp-forum.ru/❗️ Форум охватит не абстрактные тренды, а практические способы решения наболевших проблем служб информационной, экономической и собственной безопасности📅 За один день посетители форума познакомятся как с актуальными технологиями, так и с практическими методами защиты компании от внутренних угроз и научатся с их помощью решать потребности бизнеса:✔️ Информационная безопасность✔️ Экономическая безопасность✔️ Кадровая безопасность🆓 Участие бесплатное для представителей органов государственной власти, финансовых организаций, компаний ТЭК, п…

На правах рекламы: Модель безопасности, основанная на нулевом доверии (Zero Trust), продолжает набирать популярность при построении архитектуры и процессов ИБ. Каждый пользователь или устройство должны подтверждать свои данные всякий раз, когда они запрашивают доступ к ресурсу внутри или за пределами сети.Компания Cisco не осталась в стороне и предлагает собственное облачное решение Cisco Duo, которое уже официально продается в России.• Удобная многофакторная аутентификация (MFA).• Аудит устройств (в том числе и BYOD) перед получением доступа к данным.• Гибкие политики для пользователей и приложений, позволяющие снизить риск нежелательного доступа к ПО и данным вашего бизнеса.• SSO для всех…

Friday Squid Blogging: Ram’s Horn Squid ShellsYou can find ram’s horn squid shells on beaches in Texas (and presumably elsewhere).

As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Read my blog posting guidelines here.

Posted on September 17, 2021 at 4:14 PM • 0 Comments

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

It’s the eyes:The researchers note that in many cases, users can simply zoom in on the eyes of a person they suspect may not be real to spot the pupil irregularities.

They also note that it would not be difficult to write software to spot such errors and for social media sites to use it to remove such content.

Unfortunately, they also note that now that such irregularities have been identified, the people creating the fake pictures can simply add a feature to ensure the roundness of pupils.

Upcoming Speaking EngagementsThis is a current list of where and when I am scheduled to speak:The list is maintained on this page.

Posted on September 14, 2021 at 12:02 PM • 0 Comments

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

More Detail on the Juniper Hack and the NSA PRNG BackdoorWe knew the basics of this story, but it’s good to have more detail.

Here’s me in 2015 about this Juniper hack.

Here’s me in 2007 on the NSA backdoor.

Posted on September 9, 2021 at 6:13 AM • 0 Comments

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Yet another article on the privacy risks of static MAC addresses and always-on Bluetooth connections.

“The products in your line-up, Elite Active 65t, Elite 65e and Evolve 75e, will be going out of production before long and newer versions have already been launched with randomized MAC addresses.

We have a lot of focus on privacy by design and we continuously work with the available security measures on the market,” head of PR at Jabra, Claus Fonnesbech says.

“To run Bluetooth Classic we, and all other vendors, are required to have static addresses and you will find that in older products,” Fonnesbech says.

Jens Bjørnkjær Gamborg, head of communications at Bang & Olufsen, says that “this is…

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Zero-Click iPhone ExploitsCitizen Lab is reporting on two zero-click iMessage exploits, in spyware sold by the cyberweapons arms manufacturer NSO Group to the Bahraini government.

These are particularly scary exploits, since they don’t require to victim to do anything, like click on a link or open a file.

The victim receives a text message, and then they are hacked.

More on this here.

Posted on September 1, 2021 at 6:14 AM • 0 Comments

Facing the prospect of a hefty sentence if found guilty at trial, Martinez pleaded guilty on Aug. 26 to one count of unauthorized impairment of a protected computer.

In addition, other booter services also drew firepower and other resources from Ampnode.

Attackers can send spoofed DNS queries to these DNS servers, forging the request so that it appears to come from the target’s network.

That way, when the DNS servers respond, they reply to the spoofed (target) address.

This “amplification” effect is especially pronounced if the perpetrators query dozens of DNS servers with these spoofed requests simultaneously.

“We’re continuing to address the system outage impacting access to the network, applications and customer support,” reads an internal message sent by TTEC to certain employees.

One of the messages texted to TTEC employees included a link to a Zoom videoconference line at ttec.zoom.us.

Clicking that link opened a Zoom session in which multiple TTEC employees who were sharing their screens took turns using the company’s Global Service Desk, an internal TTEC system for tracking customer support tickets.

More than 1,000 TTEC employees are currently unable to do their normal customer support work for Verizon, according to the Service Desk data.

In the meantime, if you’re unlucky enough to need t…

Microsoft today pushed software updates to plug dozens of security holes in Windows and related products, including a vulnerability that is already being exploited in active attacks.

Finally, Adobe has released critical security updates for Acrobat, Reader and a slew of other software.

In a security advisory last week, Microsoft warned attackers already are exploiting the flaw through Microsoft Office applications as well as IE.

“CVE-2021-28316 was a security bypass vulnerability, not remote code execution, and it has never been reported as publicly exploited,” Liska said.

“CVE-2021-38639 and CVE-2021-36975 have also been listed as ‘exploitation more likely’ and together cover the full rang…

On Thursday evening, KrebsOnSecurity was the subject of a rather massive (and mercifully brief) distributed denial-of-service (DDoS) attack.

The assault came from “Meris,” the same new “Internet of Things” (IoT) botnet behind record-shattering attacks against Russian search giant Yandex this week and internet infrastructure firm Cloudflare earlier this summer.

While last night’s Meris attack on this site was far smaller than the recent Cloudflare DDoS, it was far larger than the Mirai DDoS attack in 2016 that held KrebsOnSecurity offline for nearly four days.

By comparison, the 2016 Mirai DDoS generated approximately 450,000 requests-per-second.

According to Qrator, which is working with Ya…

According to a security advisory from Redmond, the security hole CVE-2021-40444 affects the “MSHTML” component of Internet Explorer (IE) on Windows 10 and many Windows Server versions.

IE been slowly abandoned for more recent Windows browsers like Edge, but the same vulnerable component also is used by Microsoft Office applications for rendering web-based content.

“An attacker could craft a malicious ActiveX control to be used by a Microsoft Office document that hosts the browser rendering engine,” Microsoft wrote.

Many of those zero-days involve older Microsoft technologies or those that have been retired, like IE11; Microsoft officially retired support for Microsoft Office 365 apps and se…

Fudpage’s WHOIS records list the contact as “admin@apexgrand.com,” which is another email address used by The Manipulaters to register domains.

The WHOIS records for FreshSpamTools briefly list the email address bilal.waddaich@gmail.com, which corresponds to the email address for a Facebook account of a Bilal “Sunny” Ahmad Warraich (a.k.a.

Warraich’s Facebook profile says he works as an IT support specialist at a software development company in Lahore called We Code Solutions.

“Burhan Shaxx” says he works in human relations and IT support for We Code Solutions.

None of the We Code Solutions employees contacted directly via email or phone responded to requests for comment.

And they seem particularly focused on stealing gift card data.

Because these accounts can all be cleaned out and deposited onto a gift card number that can be resold quickly online for 80 percent of its value.

“You literally just pull cash out of peoples’ inboxes, and then you have all these secondary markets where you can sell this stuff.”Bill’s data also shows that this gang is so aggressively going after gift card data that it will routinely seek new gift card benefits on behalf victims, when that option is available.

This group automates the searching of inboxes for specific domains and trademarks associated with gift card activity and other accounts with stored electronic value, such a…

Like other anonymity networks marketed largely on cybercrime forums online, VIP72 routes its customers’ traffic through computers that have been hacked and seeded with malicious software.

Using services like VIP72, customers can select network nodes in virtually any country, and relay their traffic while hiding behind some unwitting victim’s Internet address.

Between 2003 and 2006, Corpse focused on selling and supporting his Haxdoor malware.

Emerging in 2006, VIP72 was clearly one of his side hustles that turned into a reliable moneymaker for many years to come.

Also, Check2IP has been incorporated into a variety of cybercrime services online — but especially those involved in mass-mailing…

In 2018, Andrew Schober was digitally mugged for approximately $1 million worth of bitcoin. After several years of working with investigators, Schober says he's confident he has located two young men in the United Kingdom responsible for developing a clever piece of digital clipboard-stealing malware that let them siphon his crypto holdings. Schober is now suing each of their parents in a civil case that seeks to extract what their children would not return voluntarily.

Criminal hackers will try almost anything to get inside a profitable enterprise and secure a million-dollar payday from a ransomware infection.

Crane Hassold, director of threat intelligence at Abnormal Security, described what happened after he adopted a fake persona and responded to the proposal in the screenshot above.

It offered to pay him 40 percent of a million-dollar ransom demand if he agreed to launch their malware inside his employer’s network.

This attacker’s approach may seem fairly amateur, but it would be a mistake to dismiss the threat from West African cybercriminals dabbling in ransomware.

DON’T QUIT YOUR DAY JOBCybercriminals trolling for disgruntled employees is hardly a …

The acknowledgment came less than 48 hours after millions of the stolen T-Mobile customer records went up for sale in the cybercrime underground.

“This precaution is despite the fact that we have no knowledge that any postpaid account PINs were compromised,” the advisory reads.

T-Mobile said it was also able to confirm approximately 850,000 active T-Mobile prepaid customer names, phone numbers and account PINs were also exposed.

No Metro by T-Mobile, former Sprint prepaid, or Boost customers had their names or PINs exposed,” T-Mobile said.

But regardless of which mobile provider you patronize, consider removing your phone number from as many online accounts as you can.

On Sunday, Vice.com broke the news that someone was selling data on 100 million people, and that the data came from T-Mobile.

“We have determined that unauthorized access to some T-Mobile data occurred, however we have not yet determined that there is any personal customer data involved,” T-Mobile wrote.

Und0xxed said the hackers found an opening in T-Mobile’s wireless data network that allowed access to two of T-Mobile’s customer data centers.

From there, the intruders were able to dump a number of customer databases totaling more than 100 gigabytes.

The hacker(s) claim the purloined data also includes IMSI and IMEI data for 36 million customers.

Come check out Antinalysis, the new address risk analyzer,” reads the service’s announcement, pointing to a link only accessible via ToR.

If you use BTC->XMR->BTC method, you’ll still get flagged down by our services labelled as high risk exchange (not to mention LE and exchanges).

But with countless criminals now making millions from ransomware, there is certainly a vast, untapped market for services that help those folks improve their operational security.

“It is also significant because it makes blockchain analytics available to the public for the first time,” Robinson wrote.

“To date, this type of analysis has been used primarily by regulated financial service providers.”That may not be…

Microsoft today released software updates to plug at least 44 security vulnerabilities in its Windows operating systems and related products.

Microsoft said attackers have seized upon CVE-2021-36948, which is a weakness in the Windows Update Medic service.

Update Medic is a new service that lets users repair Windows Update components from a damaged state so that the device can continue to receive updates.

Microsoft said the Print Spooler patch it is pushing today should address all publicly documented security problems with the service.

“This change may impact Windows print clients in scenarios where non-elevated users were previously able to add or update printers.

The real BriansClub uses a dodgy virtual currency exchange service based in St. Petersburg, Russia called PinPays.

Unwary scammers like Mitch are a dime a dozen, as are phishing sites that spoof criminal services online.

He asked in a follow-up email if a link he included in the message was indeed the “legitimate” BriansClub address.

As I noted in that piece, creating a network of fake carding sites is the perfect cybercrime.

Nor will anyone help the poor sucker who gets snookered by one of these fake carding sites.

The experts at security firm Bitdefender have made available a universal decryptor for victims of the REvil ransomware (also sometimes known as Sodinokibi).

Other past victims of REvil have included JBS, the world’s biggest meat supplier, who ended up paying a $11 million ransom to its attackers.

REvil appeared to go offline in mid-July, but its infrastructure has come back online in recent days – raising concerns that it may be about to launch new attacks.

For more information, instructions, and to download the decryption tool, visit the Bitdefender website.

Meanwhile, law enforcement investigations into the REvil ransomware group continue…Found this article interesting?

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Theranos’s Elizabeth Holmes goes on trial, and have you updated your Apple gadgets to protect against the latest NSO Group spyware attack?

All this and much more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault, joined this week by Host Unknown’s Thom Langford.

Hosts:Graham Cluley – @gcluleyCarole Theriault – @caroletheriaultGuest:Thom Langford – @thomlangfordShow notes:Sponsor: 1Password With 1Password you only ever need to memorize one password.

Learn more and kick credential attacks to the curb, by visiting www.attivonetworks.comFollow the show:Follow the show on Twitter at @SmashinSecurit…

Have you signed-up for your free ticket for Predict 21 yet?

For executives looking to bolster the security posture of their organizations, Predict will have sessions dedicated to applying intelligence as a strategic advantage.

Predict 21 takes place virtually on Tuesday October 12th and Wednesday October 13th 2021, and you’ll have access to on-demand recordings of the event afterwards.

For more information, and to read about the impressive line-up of keynote and breakout session speakers, check out the Predict 21 website now.

▶️ Register now for Predict 21: The Intelligence SummitIf you’re interested in sponsoring my site for a week, and reaching an IT-savvy audience that cares about comput…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

In a security advisory, Microsoft has warned that malicious hackers are exploiting an unpatched vulnerability in Windows to launch targeted attacks against organisations.

The security hole, dubbed CVE-2021-40444, is a previously unknown remote code execution vulnerability in MSHTML, a core component of Windows which helps render web-based content.

According to Microsoft, attacks exploiting the vulnerability have targeted companies via boobytrapped Microsoft Office documents.

In short, a typical timeline of infection might go something like this:One of your users downloads or receives a boobytrapped Microsoft Office file.

The user opens the Microsoft Office file to view its contents, but it …

I’m excited to be participating in two webinars next Thursday (16 September 2021), and you’re welcome to attend them for free.

First up is ManageEngine’s virtual conference on endpoint management.

I’ll be joining a panel discussion with experts from ManageEngine on endpoint security in the cloud, and best practices on securing devices.

During the session we’ll be chatting about how working from home has increased the attack surface, the growing threat of data breaches, and where endpoint security strategy and management of the endpoint is moving in the future.

Spaces are limited, and both events should be a lot of fun, so register now if you’re interested in attending.

ProtonMail finds itself in a privacy pickle, the big problem with Facebook’s algorithmic amplification, and strange things are happening on Banksy’s website.

All this and much more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault, joined this week by The Cyberwire’s Dave Bittner.

Take the 14 day free trial now at 1password.comFollow the show:Follow the show on Twitter at @SmashinSecurity, on the Smashing Security subreddit, or visit our website for more episodes.

Remember: Subscribe on Apple Podcasts, or your favourite podcast app, to catch all of the episodes as they go live.

Follow Graham C…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

The Ragnar Locker group, a gang of cybercriminals behind a series of costly ransomware attacks against companies, has warned victims that they should not seek the assistance of law enforcement agencies.

Here’s the full text of what Ragnar Locker has said (apologies for the poor grammar):In our practice we has facing with the professional negotiators much more often in last days.

There’s only one reason why the Ragnar Locker group would be telling its victims not to bring in ransomware recovery firms and the police – it’s worried that it’s hurting business.

The question is – when your company gets hit by Ragnar Locker, are you going to let them determine the rules or not?

Past victims of the…

According to media reports, British Home Secretary Priti Patel is backing a new ad campaign that will accuse Facebook of “blindfolding” police investigations into child sex abuse.

But if you weaken end-to-end encrypted messaging by creating backdoors for intelligence agencies or police to monitor communications, you don’t make life less safe for the criminals.

Indeed, all a criminal would do is use another service that does provide end-to-end encryption, or create their own service beyond the reach of the authorities and impervious to any ad campaign backed by Priti Patel.

Encryption isn’t a bad thing, it’s a good thing.

— James Ball (@jamesrbuk) September 6, 2021We shouldn’t be looking for…

Graham Cluley Security News is sponsored this week by the folks at Recorded Future.

Predict 21 is the virtual event where intelligence analysts, network defenders, and cybersecurity executives will join together to discuss the constantly expanding cyber threat landscape, and the importance of intelligence in proactive and persistent security.

For executives looking to bolster the security posture of their organizations, Predict will have sessions dedicated to applying intelligence as a strategic advantage.

Predict 21 takes place virtually on Tuesday October 12th and Wednesday October 13th 2021, and you’ll have access to on-demand recordings of the event afterwards.

For more information, and…

The FBI and CISA (the Cybersecurity and Infrastructure Security Agency) have jointly issued an advisory to organisations, warning about an increase in the number of attacks coinciding with weekends and holidays.

The high-profile cases highlighted by the FBI and CISA emphasise an important principle of cybersecurity – malicious hackers don’t take holidays.

A cyber attack could be launched against your organisation at any time of day or night, on any day of the year.

Check out these 30 ransomware prevention tips to harden your business’s defences, all year round.

Editor’s Note: The opinions expressed in this guest author article are solely those of the contributor, and do not necessarily refl…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

With less oversight into security protocols and employee behaviors, it’s more important than ever to help your team make smart security choices.

Find that sweet spot of productivity and security for your employees by giving them the tools they need to succeed.

Download 1Password’s creating a culture of security guide to start building a security culture that extends beyond the office walls.

If you’re looking for more advice on strengthening your business security, you can sign up for 1Password’s free Security Summer School today.

Learn from security experts at top organizations, hear about new security and technology trends, and get quick tips for building a culture of security at work and …

Необходимо будет повторно убедиться в безопасности внутренних сервисов и обеспечить сотрудников удобными инструментами (теми, к которым они привыкли за время карантина, или разумными аналогами).

Агенты обнаружения и реагирования на удаленных устройствах играли важную роль, заполняя появившиеся пробелы в системах безопасности периметра.

Эти практики следует перенести и на гибридный режим работы, когда сотрудники часто перемещаются между домом и офисом или ездят в командировки.

Однако компьютеры работали в удаленном режиме почти 18 месяцев, и на них может недоставать некоторых обновлений.

Продуманное и безопасное возвращение к офисной работе в любом формате поможет компаниям не отставать от т…

В MikroTik проанализировали ситуацию и пришли к выводу, что новых уязвимостей в их роутерах нет, но чтобы убедиться, что ваш маршрутизатор не примкнул к ботнету, необходимо выполнить ряд рекомендаций.

Почему устройства MikroTik участвуют в ботнетеНесколько лет назад, в роутерах MikroTik действительно была обнаружена уязвимость — множество устройств было скомпрометировано через Winbox, инструмент для их настройки.

Как следует из поста MikroTik — сейчас в ботнете участвуют те же устройства, что были скомпрометированы в 2018.

Компания опубликовала признаки компрометации устройства и выдала рекомендации по их защите.

Как можно понять, что ваш роутер MikroTik участвует в ботнетеИспользование ваш…

В новостях появились сообщения о достаточно опасной практике, применяемой в Microsoft Azure.

И все было бы не так плохо, если бы не два факта: во-первых, в агенте есть известные уязвимости, а во-вторых, механизма автоматического обновления этого агента в Azure не предусмотрено.

Пока Microsoft не решит эту проблему на своей стороне, компаниям, использующим виртуальные Linux-машины в Azure, необходимо принимать меры самостоятельно.

Какие уязвимости есть в Open Management Infrastructure и как они могут быть использованы для атакиВ сентябре в ежемесячный «вторник патчей» Microsoft выпустила заплатки для четырех уязвимостей в агенте Open Management Infrastructure.

Среди этих сервисов точно есть …

Но рано или поздно у многих пользователей возникает вопрос: что делать, если телефон с приложением-аутентификатором потерян/разбит/забыт/украден?

Например, с аккаунтами Google и «Яндекс» такой вариант сработает, даже если вы залогинены всего в одном из приложений этих компаний — скажем, в YouTube или «Яндекс.Навигаторе».

К сожалению, этот способ срабатывает не всегда, даже если вы все еще залогинены в аккаунт на одном из устройств.

Проблема в том, что не у всех сервисов совпадает набор настроек в веб-версии и в мобильном приложении — нужной опции там, где вы залогинены, может просто не быть.

Если из-за утраты аутентификатора вы потеряли доступ к аккаунту в корпоративном или в небольшом публ…

Иногда бывает так, что вы пытаетесь открыть ссылку, но антивирус блокирует переход на сайт, выдав предупреждение об опасности.

Чаще всего антивирус не бьет тревогу просто так, а действительно старается уберечь вас от проблем.

Разберем, как это сделать на примере Kaspersky Internet Security и Kaspersky Security Cloud.

Когда антивирус сигнализирует об угрозе, лучше перестраховаться и не заходить на сайт, даже если вы ему доверяете.

Но если вам очень нужно перейти по ссылке, то минимизируйте риски — не отключайте защиту полностью, а добавьте сайт в исключения.

А иногда и качать ничего не потребуется: некоторые зловреды умеют тайно проникать на смартфон, если установка неизвестных приложений всего лишь включена в настройках.

Пользуясь разрешением на установку неизвестных приложений, преступники распространяли шифровальщик под видом бета-версии Cyberpunk 2077.

Как запретить установку неизвестных приложений в Android 8 и более свежих версияхВ современных версиях Android эта функция называется установка неизвестных приложений и включается отдельно для каждого приложения.

Запрещать установку из неизвестных источников, если вы ее разрешили, тоже придется для каждого приложения по отдельности.

Как запретить установку из неизвестных источников в Android …

Компания Microsoft сообщила об уязвимости нулевого дня CVE-2021-40444, эксплуатация которой может привести к удаленному исполнению вредоносного кода на компьютере жертвы.

Что еще хуже, эту уязвимость, по данным самой же Microsoft, уже активно эксплуатируют злоумышленники при атаках на Microsoft Office.

В частности, на него полагаются веб-приложения из пакета Microsoft Office, такие как MS Word или MS PowerPoint.

Как злоумышленники атакуют Office через уязвимость CVE-2021-40444Для атаки злоумышленники создают специальный документ Microsoft Office и каким-либо образом передают его жертве (логично предположить, что чаще всего пересылают по электронной почте).

В теории документы Microsoft Offic…

В конце августа компания Atlassian объявила о выпуске обновления для исправления уязвимости CVE-2021-26084 в корпоративных вики-системах Confluence.

Не прошло и недели, как эксперты обнаружили массовое сканирование в поисках уязвимых серверов Confluence и активные попытки эксплуатации.

Что собой представляет уязвимость CVE-2021-26084CVE-2021-26084 — это уязвимость Confluence, возникшая из-за использования языка Object-Graph Navigation Language (OGNL) в системе тегов.

Если же и это по каким-то причинам невозможно, то компания предлагает несколько временных обходных путей как для решений под системы семейства Linux, так и для Microsoft Windows.

Со своей стороны хотим напомнить, что машины, на…

Есть и еще одна проблема: в юной и быстрорастущей отрасли подключенных устройств некоторые производители вовсе не заботятся о разработке обновлений прошивки.

И не стоит думать, что лично вами злоумышленники уж точно не заинтересуются: нередко киберпреступники проводят массовые атаки и без разбора взламывают сотни тысяч устройств.

Как защитить умный домЧтобы перекрыть взломщикам доступ к IoT-устройствам, лучше всего устанавливать защиту на роутер, то есть между Интернетом и подключенными гаджетами.

Если же устройство уже было взломано и пытается подключиться к вредоносному сайту, Kaspersky Smart Home Security не даст этого сделать.

Kaspersky Smart Home Security вовремя предупредит об небезоп…

Человечество строит космические корабли, но рассчитывает курс в уме; посылает войска на чужие планеты, но сообщениями обменивается через курьеров; колонизирует иные миры, но живет в феодальном обществе.

Важно одно: в какой-то момент человечество восстало против машин, успешно уничтожило их, и с тех пор обладание «думающей машиной» карается смертной казнью.

Но так или иначе, с исчезновением компьютеров информация не перестала играть важную роль в жизни людей — а с ней и информационная безопасность.

Кроме того, что участвует в разработке военной стратегии, он:отвечает за поиск закладок и уязвимостей в системе безопасности замка;проверяет и оценивает надежность персонала;оценивает риски.

Челов…

Немного о криптобирже LunoКриптовалютная биржа Luno работает с 2013 года и обслуживает больше 5 миллионов клиентов из 40 стран.

А именно на это и рассчитывают злоумышленники, промышляющие фишингом.

Как работают мошенники: простая фишинговая схемаВ случае с разводом пользователей Luno злоумышленники не стали изобретать велосипед и использовали старый проверенный метод фишинга — игру на желании жертвы разжиться халявной криптовалютой.

Например, для авторизации на фейковом сайте, как и на официальном, нужно ввести сложный пароль, и требования к нему тоже совпадают.

Все, пароль попал в руки злоумышленников, и если срочно его не поменять, они смогут зайти в ваш кошелек и забрать оттуда всю крипт…

Всему виной — ошибка при конфигурации веб-приложений, созданных с помощью платформы Microsoft Power Apps.

Причина проблемы: неправильная конфигурация Power AppsПлатформа Microsoft Power Apps — это инструмент, благодаря которому компании могут быстро создавать приложения и веб-порталы, не вкладываясь в полноценную разработку.

Если не вдаваться в длинное техническое объяснение, платформа Power Apps позволяет создавать инструменты как для сбора данных, так и для обмена данными.

По умолчанию эти разрешения были отключены, что, с одной стороны, облегчало совместное использование, но с другой — означало, что таблицы были общедоступными.

Power Apps — далеко не единственная low-code платформа, кото…

Хотя функция CSAM Detection в теории будет доступна на мобильных устройствах Apple по всему миру, полноценно работать эта система пока будет только в США.

Как будет работать CSAM DetectionВажно понимать, что CSAM Detection работает только в связке с iCloud Photos.

13 августа Крейг Федериги, старший вице-президент Apple по разработке ПО, в интервью Wall Street Journal озвучил самое главное ограничение для протокола Private Set Intersection.

Так как система в полную силу пока будет работать только в США, уведомление будет отправлено в тот самый центр NCMEC, спонсируемый американским Департаментом юстиции.

Вторая — технические факты, подтверждающие уязвимость заявленного протокола, то есть кон…

Так что если вы не хотите остаться без любимых фотографий, важных документов или других файлов, вам не обойтись без навыков защиты от шифровальщиков.

Это значит, что поймав зловреда на домашний компьютер, ожидайте атаки и на ноутбук.

Если вы не нашли декриптор для того шифровальщика, который на вас напал, не отчаивайтесь и следите за новостями — возможно, его скоро выпустят.

Делайте резервные копииРегулярно сохраняйте важные файлы и документы в облачное хранилище типа диска Google или Yandex и на внешний жесткий диск.

В письмах (впрочем, и в сообщениях в мессенджерах, соцсетях и на форумах) от незнакомцев с максимальным скепсисом оцените содержание и приложенные файлы или ссылки.

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

fullword ascii $s6 = "GetConfigOffset error!"

fullword ascii $s4 = "%02d%02d" fullword ascii $s5 = "ReadInject succeed!"

fullword ascii $s6 = "/index.htm" fullword ascii $s7 = "commandstr" fullword ascii $s8 = "ClientX.dll" fullword ascii $s9 = "GetPluginObject" fullword ascii $s10 = "D4444 0k!"

fullword ascii $s11 = "D5555 E00r!"

fullword ascii condition: 5 of them }

(Feed generated with FetchRSS)

Например, на этапе разведки и пробива проводят супер-реальные собеседования с «кандидатами», играют вдолгую, не вызывая подозрений.

Из года в год такие северокорейские группировки как Lazarus и Kimsuky показывают стабильное развитие методов атак и своих инструментов.

Мы не слышим про американские APT, но это не значит, что их нет.

То, что выложил WikiLeaks — это малая часть того, что есть у АНБ.

Да и «русские хакеры — самые крутые» — тоже уже не так: группы перемешаны и состоят из людей разных национальностей.

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

Improving efficiency for the Cisco team in the Black Hat USA NOCAs a proud partner of the Black Hat USA NOC, Cisco deployed multiple technologies along with the other Black Hat NOC partners to build a stable and secure network for the conference.

Using SecureX orchestration we were able to import a pre-built Umbrella workflow and easily customize it to suite our needs.

Let’s jump into SecureX orchestration and take a look at the workflow.

A plethora of SecureX orchestration content is available on our GitHub repo to help you find value in our automation engine in no time.

Also notice the “private intelligence” tile – this is where you can see if there were any new incidents created by the o…

Cisco is proud to be the only vendor recognized by Frost & Sullivan with the Best Practices Market Leadership Award for excellence in the network firewall market.

This award recognizes that Cisco achieved the greatest market share in the global firewall market due to outstanding performance, products, and service.

Frost & Sullivan applies a rigorous analytical process to evaluate multiple nominees for each award category before determining the final award recipient.

Cisco Secure Firewall keeps organizations moving while keeping them secure.

Learn more about Cisco Secure Firewall.

Cisco is proud to be the only vendor recognized by Frost & Sullivan with the Best Practices Market Leadership Award for excellence in the network firewall market.

This award recognizes that Cisco achieved the greatest market share in the global firewall market due to outstanding performance, products, and service.

Cisco Secure Firewall keeps organizations moving while keeping them secure.

Secure Firewall Cloud Native, for example, is a lightweight containerized firewall ideal for securing Kubernetes environments.

Learn more about Cisco Secure Firewall.

Cisco Secure Firewall provides industry-leading firewall capabilities for Amazon Virtual Private Cloud (VPC)and resources deployed inside.

However, as of today, AWS launched a new feature that enables adding a more specific route in the Amazon Route Table.

The route table in Figure 4 is associated with an untrusted subnet and it has a route for trusted subnet pointing to the untrusted interface (ENI-A) of the Cisco Secure Firewall.

To see this enhancement, please watch our video on:Cisco Secure Firewall Easy Insertion with AWS Route Table EnhancementWe’d love to hear what you think.

Ask a Question, Comment Below, and Stay Connected with Cisco Secure on social!

Organizations need better visibility, context, and control to ensure network performance and security, especially as this flexible new normal distributed workforce brings additional cybersecurity challenges and risks.

And in the space where security and networking meet, we say, “You can’t protect what you can’t see.”Organizations cannot prevent data from being compromised or attacked without the proper visibility.

Blind spots make it harder to provide consistent network performance and security, which can lead to errors, fines, data loss, and poor user experience.

When implemented correctly, our SASE platform provides the visibility needed to effectively remediate network performance and se…

Instead of humans interfacing with software, software interfaces with software.

A majority of the web traffic from those networked devices is primarily made up of API calls.

Creating and regularly sharing an API governance strategy is critical now more than ever with API traffic and attacks trending upwards.

Monitor and enforce data access controls at the API level along with obfuscating API responses that contain confidential data.

Do your API logs sufficiently identify application-specific data, security incidents, policy violations, traffic baselines, and API vulnerability exploitation?

There have been new requirements for critical infrastructure and new needs placed on the partners of the federal government at the state and local level.

That’s why Cisco is committed to taking our market leading cloud-based solutions and making them available to the Federal and DOD networks.

The work achieved with our federal partners is a direct result of our valued relationships.

Ask a Question, Comment Below, and Stay Connected with Cisco Secure on social!

Cisco Secure Social ChannelsInstagramFacebookTwitterLinkedInShareShare:

Cisco Secure Workload, part of Cisco’s broader Secure Firewall portfolio provides this microsegmentation capability on IBM LinuxONE and Linux on Z platform.

Moreover, Secure Firewall integrates with Cisco Secure workload and provides advanced features, including Snort 3 IPS.

For more information about the Cisco Secure Workload on IBM LinuxONE and Linux on Z platforms, please visitCisco Secure Workload page; https://www.cisco.com/c/en/us/products/security/tetration/index.htmlWe’d love to hear what you think.

Ask a Question, Comment Below, and Stay Connected with Cisco Secure on social!

Cisco Secure Social ChannelsInstagramFacebookTwitterLinkedInShareShare:

Cisco Secure products are adopting an API-first approach to allow more integrations, both internal within Cisco and with third-party products.

There is a new Cloud Security app for Splunk that integrates cloud security data with event data from Splunk.

Cisco Secure Firewall integrationsCisco Secure Firewall has several new partner integrations.

Cisco SecureX threat response IntegrationsCisco SecureX threat response automates integrations across select Cisco Security products and accelerates key security operations functions: detection, investigation, and remediation.

[2] New Cisco Secure Endpoint for iOS (formerly CSC) IntegrationsCLOMO a leading MDM vendor in Japan, is now part of the Cisc…

In reality, securing nonprofits protects us all – from those who rely on them, to the individuals and corporations who support them.

Dr. Kelley Misata: Sightline Security is a nonprofit organization that is helping other nonprofits assess, evaluate, and find solutions to improve security risk in their organizations.

We are able to serve as a translator between what nonprofits need and what security vendors are offering.

Dr. Kelley Misata: As we’ve tried to stress in this interview, better security for nonprofits equals better security for everyone – from individuals to enterprises.

While Sightline Security is spearheading this effort, we need other nonprofits and corporations to get involve…

With contributions from Jamal “Jay” Bethea, Cisco Secure Email Product Marketing ManagerThink email security is not complicated; think again.

We are giving you a sneak peek into our recommendations for email security based on 2021 trends that will be out later this year.

Here is a brief review of the 2021 Email Security Recommendations:Spam and Unwanted Email Detection: For most organizations, spam & unwanted email volumes are running in the low 80% of their entire email volume.

You should prioritize and consult with your email security vendor to confirm coverage and available support.

Cisco Secure Email can simplify your email security management and protect against email-borne threats no …

Infrastructure as a Code (IaC) and Automation are now common requests from our customers deploying Cisco Secure Firewalls.

Our response to this trend is making Cisco Secure Firewall deployable as a code utilizing new IaC templates, which we are happy to announce!

To implement IaC, customers require highly skilled engineers generating time-consuming & costly automation scripts.

If you are interested in IaC or want more information, documentation, and video demonstrations, please check out Developer.Cisco.com/secure-firewall, the Cisco Secure Firewall – YouTube Channel, and our Secure-Firewall GitHub Repository to access our additional resources.

Cisco Secure Social ChannelsInstagramFacebookT…

Reports are circulating that the HSGAC is now considering a reform of the FISMA legislation, and that is simultaneously a welcome development and a cause for concern.

The Risk Management Framework doesn’t take into account that the human is the new perimeter of the enterprise.

An understanding that cloud migration, cloud security, and digital transformation are prevailing cybersecurity and risk management trends in federal (and commercial) cybersecurity and risk management.

An elevation of risk management to the agency leadership level.

In the end, federal information security is all about protecting our nation’s systems and networks from those who wish to do them harm.

Cisco Secure returned as a supporting partner of the Black Hat USA 2021 Network Operations Center (NOC) for the 5th year; joining conference producer Informa Tech and its other security partners.

Protecting Attendees from Malware, Cryptomining and ThemselvesFor the 2nd year (1st in 2019), Black Hat USA, used captured webpage notifications for users who connected to the Black Hat network and were found to be infected with malware, at risk for phishing attack, shared credentials in the clear or were running cryptomining.

Malware AnalysisWith the lack of classroom training and move to mobile access, no malware samples were observed at Black Hat USA 2021.

In contrast, in 2018 there were about 4…

Cisco Security was honored to be a sponsor of the 24th Black Hat USA 2021 Conference – the internationally recognized cybersecurity event series providing the security community with the latest cutting-edge research, developments and training.

For a complete list of Cisco-sponsored sessions, demos and resources, visit the Cisco Secure Black Hat page.

It is difficult for incident response teams to help businesses after security breaches if specific data from security systems are not recorded.

Check out these other Black Hat sessions exploring ransomware, threat intelligence and more.

Cisco Talos is one of the largest commercial threat intelligence teams in the world, comprised of world-class…

In August, Microsoft Threat Intelligence Center (MSTIC) identified a small number of attacks (less than 10) that attempted to exploit a remote code execution vulnerability in MSHTML using specially crafted Microsoft Office documents.

These attacks used the vulnerability, tracked as CVE-2021-40444, as part of an initial access campaign that distributed custom Cobalt Strike Beacon loaders.

Turn on cloud-delivered protectionin Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques.

Use device discoveryto increase your visibility into your network by finding unmanaged devices on your network and onboarding them to Micros…

Beginning today, you can now completely remove the password from your Microsoft account.

Use the Microsoft Authenticator app, Windows Hello, a security key, or a verification code sent to your phone or email to sign in to your favorite apps and services, such as Microsoft Outlook, Microsoft OneDrive, Microsoft Family Safety, and more.

Go passwordless today with a few quick clicksFirst, ensure you have the Microsoft Authenticator app installed and linked to your personal Microsoft account.

To learn more about how Microsoft solutions, such as Microsoft Azure Active Directory and Microsoft Authenticator, are allowing users in organizations to forget their passwords while staying protected, joi…

During our conversation, we also spoke about threat intelligence and what’s involved in threat actor attribution.

For years, FireEye’s Mandiant Threat Intelligence team has been tracking financial crime group Fin11, which deploys point-of-sale malware targeting the financial, retail, restaurant, and pharmaceutical industries.

To learn what organizations can do to combat threats, listen to Afternoon Cyber Tea with Ann Johnson: Taking a “when, not if” approach to cybersecurity on Apple Podcasts or PodcastOne.

What’s nextA new season of Afternoon Cyber Tea with Ann Johnson launches this October 2021 on The CyberWire!

You can listen to Afternoon Cyber Tea with Ann Johnson on:Apple Podcasts : Yo…

This blog post is part of the Microsoft Intelligent Security Association guest blog series.

Microsoft security solutions have native capability designed to work cohesively to provide integrated threat detection and response capabilities, but technology alone is not enough.

Trustwave removes the complexity and burden of threat detection and response with an entire portfolio of cybersecurity solutions that work with existing Microsoft investments to fight cybercrime, protect data, and reduce risk.

Implementing proactive endpoint detection and response (EDR) and MDR solutions can relieve your teams, prevent breaches, and appease your stakeholders.

To learn more about Microsoft Security solutio…

The backgrounds of cybersecurity professionals are more diverse than those of professionals in other industries.

Strengthen your cybersecurity team through diversityGeoff, who joined LinkedIn in 2019, leads the organization’s internal security teams in building a safe, trusted, and professional platform.

The cybersecurity industry is projected to triple year-over-year through 2022, but the shortage of cybersecurity professionals is in the millions globally, according to an article in The CyberWire1.

By investing in people with useful raw skills and developing their cybersecurity skills, organizations fill roles and add valuable diverse perspectives to their cybersecurity teams.

1Understandi…

Microsoft’s recommended mitigation prioritizationBased on our experience with ransomware attacks, we’ve found that prioritization should focus on these three steps: prepare, limit, and prevent.

Against that reality, it’s important to prepare for the worst and establish frameworks to contain and prevent attackers’ abilities to get what they’re after.

Against ransomware, organizations should prioritize: Improving security hygiene by reducing the attack surface and focusing on vulnerability management for assets in their estate.

Against ransomware, organizations should prioritize:The takeawayTo counter the threat of ransomware, it’s critical to identify, secure, and be ready to recover high-va…

It immediately became evident that the Serv-U process would make stealthy, reliable exploitation attempts simple to accomplish.

We shared these findings, as well as the fuzzer we created, with SolarWinds through Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR), and worked with them to fix the issue.

After reversing related code in the RhinoNET and Serv-U DLLs, we could track SSH messages’ paths as Serv-U processes them.

This implies a single packet may include any number of SSH messages (provided they fit in the maximum buffer size), as well as partial SSH messages.

In addition to sharing vulnerability details and fuzzing tooling with SolarWind…

Valimail Authenticate removes the significant manual upkeep from email security workflows, making the whole process seamless for Microsoft Office 365 users.

Microsoft Office 365 users can get free visibility into their environment and turn on Valimail Authenticate with a single click.

How Microsoft Office 365 and Valimail Authenticate work togetherMicrosoft launched Office 365 to drive an industry-wide shift toward cloud-based services and API-driven integrations.

It starts with Microsoft 365 users getting free visibility into DMARC enforcement, plus a free trial of all the features of Valimail Authenticate.

2Forrester names Microsoft a Leader in the 2021 Enterprise Email Security Wave, Rob…

It’s the need for this ubiquitous connectivity that underpins the significance of endpoint management and security as vital for organizational success.

They responded with increasing reliance on Microsoft Endpoint Manager to enable their employees’ remote and hybrid work.

Windows endpoint management in the cloudOur focus on helping businesses adapt continues as organizations move to cloud management, starting with their Windows endpoints.

Learn moreThe endpoint is the new workplace, and we’re committed to helping organizations build business resiliency with Microsoft Endpoint Manager.

1Gartner, Magic Quadrant for Unified Endpoint Management Tools, Dan Wilson, Chris Silva, Tom Cipolla, 16 Au…

Microsoft Consulting Services can help you decide on the right platform to enable CMMC compliance for your organization.

Microsoft CMMC Acceleration ProgramTo help speed your journey to CMMC compliance, our CMMC Acceleration Program provides resources for partners and DIB companies alike.

Our goal is to provide a baseline framework that can help close the gap for compliance of infrastructure, applications, and services hosted in Microsoft Azure, Microsoft 365, and Microsoft Dynamics 365.

Recent updates to Microsoft CMMC Acceleration Program include:Microsoft Product Placemat for CMMC: an interactive view representing how Microsoft cloud products and services satisfy requirements for CMMC pr…

Microsoft has been actively tracking a widespread credential phishing campaign using open redirector links.

These include free email domains from numerous country code top-level domains (ccTLDs), compromised legitimate domains, and attacker-owned domain generated algorithm (DGA) domains.

As of this writing, we have observed at least 350 unique phishing domains used for this campaign.

Attack analysis: Credential phishing via open redirector linksCredential phishing emails represent an extremely prevalent way for threat actors to gain a foothold in a network.

To do this, attackers send unique URLs to each recipient with PHP parameters that cause tailored information to render in the phishing …

Natalia: What are some examples of online harassment experienced in the workplace?

In 2020, 41 percent of Americans experienced it and 28 percent experienced the more severe kinds, like threats of violence, stalking, sexual harassment, and persistent harassment, according to the Pew Online Harassment Update1.

Project Include just published a study2 on the internal company harassment landscape during COVID-19, and there has been a sharp uptick in workplace harassment.

Natalia: What are the best practices a company can institute to mitigate online harassment or assist those impacted by it?

1The State of Online Harassment, Emily A. Vogels, Pew Research Center, 13 January 2021.

She believes it’s up to managers, supervisors, and global security directors to create a workplace where everyone feels heard.

Emma recalls attending her first industry event after taking over as Chief Information Security Officer at Royal Bank of Scotland in 2011.

That experience made her personally aware of how important it is to feel included and she said workplace inclusion is a subject she holds close to her heart.

She worked for two years at Royal Bank of Scotland as Head of Internal Audit, Technology, before taking roles at the bank as Head of Group Information Security, Records and Payments Security, Chief Information Security Officer, and Director of Security and Resilience.

Bret A…

Mozi is a peer-to-peer (P2P) botnet that uses a BitTorrent-like network to infect IoT devices such as network gateways and digital video records (DVRs).

While the botnet itself is not new, Microsoft’s IoT security researchers recently discovered that Mozi has evolved to achieve persistence on network gateways manufactured by Netgear, Huawei, and ZTE.

Network gateways are a particularly juicy target for adversaries because they are ideal as initial access points to corporate networks.

2Mozi IoT Botnet, CERT-In, Ministry of Electronics and Information Technology Government of India, 12 November 2020.

3New Mozi Malware Family Quietly Amasses IoT Bots, Black Lotus Labs, Lumen, 13 April 2020.

Today, we are open sourcing Cloud Katana, a cloud-native serverless application built on the top of Azure Functions to assess security controls in the cloud and hybrid cloud environments.

Design principles of Cloud KatanaFigure 1: Cloud Katana design principles.

Managed identities integrationFurthermore, when executing simulations in Azure, Cloud Katana uses a user-assigned managed identity to access Azure AD-protected resources.

The relay agent sits in the middle between the on-premise server and the Cloud Katana Azure Function app.

Learn moreTo learn more about this open-source initiative, visit the Cloud Katana GitHub repository.

Today, we're excited to announce a new suite of services that provide a privacy-preserving bridge between Private Compute Core and the cloud.

Recap: What is Private Compute Core?

Android’s Private Compute Core is an open source, secure environment that is isolated from the rest of the operating system and apps.

This is where Private Compute Services comes in.

Introducing Android’s Private Compute ServicesMachine learning features often improve by updating models, and Private Compute Services helps features get these updates over a private path.

Yesterday, we were honored to participate in President Biden’s White House Cyber Security Summit where we shared recommendations to advance the administration’s cybersecurity agenda.

This included our commitment to invest $10 billion over the next five years to expand zero-trust programs, help secure the software supply chain, and enhance open-source security.At Google, we’ve long advocated for securing the software supply chain both through our internal best practices and industry efforts that enhance the integrity and security of software.

That’s why we're thrilled to collaborate with the U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) to support and de…

As an active member of the open source software (OSS) community, Google recognizes the growing threat of software supply chain attacks against OSS we use and develop.

Building on our efforts to improve OSS security with an end-to-end framework (SLSA), metrics (Scorecards), and coordinated vulnerability disclosure (guide), we are excited to announce Allstar.

Allstar is a GitHub app that continuously enforces security policy settings through selectable automated enforcement actions.

Allstar is already filing and closing security issues for Envoy and GoogleContainerTools, with more organizations and repositories lined up.

See the OpenSSF announcement for more information on Allstar.

We will now offer only two types of Titan Security Keys: a USB-A and a USB-C version.

In 2018, Google introduced the Titan Security Key as a direct defense against credential phishing.

Introducing new Titan Security Key optionsSince NFC functionality is now supported by a wide range of Android phones and iPhones, we are discontinuing the Bluetooth Titan Security Key and focusing on the easier and more widely available NFC capability.

Applicable warranties for existing Bluetooth Titan Security Keys will continue to be honored per their terms.

If you have an iPad with a lightning connector, it’s recommended to get a USB-A Titan Security Key with an Apple Lightning adapter To purchase a Titan …

There's a strong link between code robustness and security: making it harder for any bugs to manifest makes it harder for security flaws to manifest.

However, given the volume of flaws and their applicability to a particular system, not all security flaws have CVEs assigned, nor are they assigned in a timely manner.

Looking at just one source of potential kernel security flaws, the With vendors using old kernels and backporting existing fixes, their engineering resources are doing redundant work.

switch fallthrough,Beyond kernel code itself, the compiler and toolchain also need to grow more defensive features (e.g.

Upstream kernel developers can fix bugs, but have no control over what a dow…

We know a lot of you are using your achievements in the VRP to find jobs (we’re hiring!)

A stronger emphasis on learning: Bug hunters can improve their skills through the content available in our new Bug Hunter UniversityStreamlined publication process: we know the value that knowledge sharing brings to our community.

A little over 10 years ago , we launched our Vulnerability Rewards Program (VRP).

Our goal was to establish a channel for security researchers to report bugs to Google and offer an efficient way for us to thank them for helping make Google, our users, and the Internet a safer place.

As you continue to play around with the new site and reporting system, tell us about it - we wo…

Chrome's Site Isolation is an essential security defense that makes it harder for malicious web sites to steal data from other web sites.

Meanwhile, Site Isolation on Android currently focuses on protecting only high-value sites, to keep performance overheads low.

Today, we are announcing two Site Isolation improvements that will protect more sites for our Android users.

We continue to require a minimum RAM threshold (currently 2GB) for these new Site Isolation modes.

Given these improvements in Site Isolation on Android, we have also decided to disable V8 runtime mitigations for Spectre on Android.

Mentors and peers guide the participants through each stage of the program and top qualifiers then graduate and receive access to the SANS foundational security training courses, which readies and prepares these women for their first roles in the security industry.

In fact, I’ve volunteered to co-author a panel there with some of my amazing fellow recipients.

Tonight, I passed my first GIAC certification (GSEC)!”Despite these great results, we know there is still a lot of work to be done to help educate and develop a more inclusive information security workforce.

So this year we are expanding the Security Trainings Scholarship Program to help us reach even more women and generate a steady s…

One of the ways we can do that is by designing software so that you can get cryptographic certainty of what the software has done.In this post, we'll introduce the concept of verifiable data structures that help us get this cryptographic certainty.

We'll describe some existing and new applications of verifiable data structures, and provide some additional resources we have created to help you use them in your own applications.A verifiable data structure is a class of data structure that lets people efficiently agree, with cryptographic certainty, that the data contained within it is correct.

Certificate Transparency is a great example of a non-blockchain use of these verifiable data structu…

Build system compromiseA common CI/CD solution used by GitHub projects isA common CI/CD solution used by GitHub projects is GitHub Actions .

Scorecards checks for these anti-patterns with theEven with hash-pinning, hashes need to be updated once in a while when dependencies patch vulnerabilities.

Scaling the impactTo date, the Scorecards project has scaled up to evaluate security criteria for over To date, the Scorecards project has scaled up to evaluate security criteria for over 50,000 open source projects.

This fully automated tool periodically evaluates critical open source projects and exposes the Scorecards check information through a public BigQuery dataset which is refreshed weekly.…

A unified format means that vulnerability databases, open source users, and security researchers can easily share tooling and consume vulnerabilities across all of open source.

This new vulnerability schema aims to address some key problems with managing vulnerabilities in open source.

A unified format means that vulnerability databases, open source users, and security researchers can easily share tooling and consume vulnerabilities across all of open source.

We’re continuing to work with open source communities to develop this further and earn more widespread adoption in all ecosystems.

We’re continuing to work with open source communities to develop this further and earn more widespread a…

Our annual Google CTF is back!The competition kicks off on Saturday July 17 00:00:01 AM UTC and runs through Sunday July 18 23:59:59 UTC.

For those interested, we have published all 2020 Hackceler8 videos for your viewing pleasure here.

Whether you’re a seasoned CTF player or just curious about cyber security and ethical hacking, we want you to join us.

Sign up to learn skills, meet new friends in the security community and even watch the pros in action.

Curious about last year’s Google CTF challenges?

The software development and deployment supply chain is quite complicated, with numerous threats along the source ➞ build ➞ publish workflow.

With SLSA, consumers can make informed choices about the security posture of the software they consume.

The following image illustrates a typical software supply chain and includes examples of attacks that can occur at every link in the chain.

Higher SLSA levels require stronger security controls for the build platform, making it more difficult to compromise and gain persistence.

SLSA 4 is currently the highest level, requiring two-person review of all changes and a hermetic, reproducible build process.

Before introducing Rust into the Android Open Source Project (AOSP), we needed to demonstrate that Rust interoperability with C and C++ is sufficient for practical, convenient, and safe use within Android.

While both Rust and C++ support using the C ABI, it is not sufficient for idiomatic usage of either language.

While making Rust functions callable from C++ is a goal, this analysis focuses on making C++ functions available to Rust so that new Rust code can be added while taking advantage of existing implementations in C++.

Types are extracted by running objdump on shared libraries to find external C++ functions they use1 and running c++filt to parse the C++ types.

Instead of using cxx it …