Apple и Google злоупотребляет своим положением на рынке и уничтожает стартапы по всему миру.

Подобное же монопольное положение сложилось и на Android.

И в эпоху расцвета веб-сервисов в нулевые годы разработчики монетизировали свои ресурсы, не платя ничего создателям веб-браузеров.

В качестве решения основатель Telegram предлагает надавить на Apple и Google.

Например, Еврокомиссия ведёт антимонопольное расследование в отношении злоупотреблений Apple своим положением на рынке.

Хакеры Evilnum пользуются услугами того же поставщика вредоносного ПО, что и FIN6Alexander AntipovУслугами и инструментами Golden Chickens пользуются «маститые» киберпреступные группировки.

Киберпреступная группировка Evilnum собрала набор инструментов, объединяющий в себе кастомное вредоносное ПО, легитимные утилиты и инструменты, приобретенные по модели «вредоносное ПО как услуга» (malware-as-a-service, MaaS) у поставщика, обслуживающего крупные финансовые киберпреступные группировки.

Evilnum активна как минимум с 2018 года и специализируется на компаниях финансового и технологического секторов, предлагающих трейдинговые и инвестиционные платформы.

По данным ИБ-компании ESET, злоумышленни…

Обзор уязвимостей за неделю: 10 июля 2020 годаAlexander AntipovБыли обнаружены уязвимости в PAN-OS GlobalProtect, OpenClinic GA, Zoom, FFmpeg и пр.

Компания Palo Alto Networks выпустила обновление безопасности, исправляющее опасную уязвимость ( CVE-2020-2034 ) в комплексном решении безопасности PAN-OS GlobalProtect.

Уязвимость может быть использована неавторизованным злоумышленником для выполнения произвольных команд на системе с привилегиями суперпользователя.

Поставщик также исправил несколько менее опасных проблем ( CVE-2020-2031 , CVE-2020-2030 и CVE-2020-1982 ), эксплуатация которых позволяет удаленному злоумышленнику дешифровать TLS-трафик, выполнить произвольные команды или осуществи…

Новые ИБ-решения недели: 10 июля 2020 годаAlexander AntipovКраткий обзор новых решений в области информационной безопасности.

Интегрированный подход стал основой для двух новых продуктов в линейке Kaspersky Security для бизнеса — Kaspersky EDR для бизнеса Оптимальный и Kaspersky Total Security Plus для бизнеса.

Решение Kaspersky EDR для бизнеса Оптимальный включает в себя весь продвинутый функционал продукта Kaspersky Endpoint Security для бизнеса Расширенный, усиленный базовыми функциями EDR.

Решение Kaspersky Total Security Plus для бизнеса — это на сегодняшний день самый высокий уровень линейки Kaspersky Security для бизнеса.

В новой версии были обновлены категории «Техники», «Группы» и …

Google будет блокировать рекламу шпионского ПОAlexander AntipovВ новой рекламной политике будут и исключения, например, реклама услуг частных детективных агентств и пр.

Компания Google намерена обновить свою политику Google Ads Enabling Dishonest Behavior и, начиная с 11 августа 2020 года, будет запрещать рекламу шпионского программного обеспечения (stalkerware).

«Обновленная политика будет запрещать продвижение продуктов или услуг, которые продаются или предназначаются для явной цели отслеживания или мониторинга деятельности человека без его разрешения», — пояснила Google.

В новой рекламной политике будут также и исключения, например, реклама услуг частных детективных агентств или реклама …

Huawei и другие техногиганты представляют киберугрозу для РФAlexander AntipovГлавным конкурентом РФ на ИБ-рынке является именно США, считает руководитель Group-IB Илья Сачков.

Руководитель компании Group-IB Илья Сачков полагает, что работающие в России иностранные техногиганты, такие как Huawei, представляют киберугрозу стране, сообщил «Интерфакс».

рублей получают от Huawei в России предложения на 1,2-1,5 млн рублей.

Это высасывание мозгов внутри страны и полное разрушение рынка труда и заработных плат», — считает Сачков.

Сачков считает главным конкурентом РФ на ИБ-рынке именно США, поскольку американские компании применяют стратегию высокой капитализации и поддержки со стороны правительств…

Использующие китайское оборудование компании лишатся госконтрактов в СШАAlexander AntipovНовые правила распространяются на китайских техногигантов Huawei, Dahua, ZTE, Hikvision и Hytera.

Администрация президента США Дональда Трампа намерена ввести правила, которые запретят правительству США покупать товары или услуги у любой компании, использующей продукты пяти китайских техногигантов — Huawei, Dahua, ZTE, Hikvision и Hytera.

Рынок государственных контрактов в США имеет ежегодный оборот около $500 млрд, и теперь доступ к нему может быть затруднен для тех компаний, которые используют оборудование Huawei, Dahua, ZTE, Hikvision или Hytera.

Например, Dahua и Hikvision являются крупнейшими в мир…

Google поможет проектам с открытым исходным кодом управлять торговыми маркамиAlexander AntipovКомпания учредила организацию Open Usage Commons, которая разработает руководства по управлению торговыми марками.

По словам директора Google по открытым проектам Криса Дибоны (Chris DiBona), торговые марки становятся настоящей проблемой для разработчиков проектов с открытым исходным кодом, и дело даже не в юридических сложностях.

По сути, они говорят нет, не цепляйте это, это не наша проблема, давайте вы как-то сами», – пояснил Дибона изданию TechCrunch.

Как правило, лицензии на ПО с открытым исходным кодом не распространяются на торговые марки, поскольку их не так много, чтобы беспокоиться об это…

Трамп рассматривает блокировку TikTok как наказание для Китая «за коронавирус»Alexander AntipovРанее госсекретарь США сообщал о возможной блокировке TikTok из соображений нацбезопасности.

Президент США Дональд Трамп подтвердил появившуюся ранее информацию о том, что его администрация рассматривает возможность блокировки на территории страны китайского приложения TikTok.

Напомним, о возможном запрете TikTok в США в начале недели сообщил госсекретарь Майк Помпео.

«Это то, что мы рассматриваем, да», - подтвердил Трамп в эфире американской телерадиокомпании Gray Television в ответ на вопрос о сообщении Помпео.

Президент США также добавил, что блокировка TikTok является одной из «многих» возможн…

Вредоносное ПО Joker вновь распространяется через Google Play StoreAlexander AntipovНовая версия Joker способна загружать на устройство дополнительные вредоносные программы.

По словам экспертов, операторам Joker удалось найти еще один способ обойти защиту Google Play Store — они скрывают вредоносный исполняемый файл DEX внутри приложения в виде закодированных в Base64 строк, которые затем декодируются и загружаются на скомпрометированное устройство.

Для загрузки файла dex использовался метод чтения его из файла манифеста.

Таким образом, достаточно было прочитать данные из файла манифеста, декодировать полезную нагрузку и загрузить новый файл dex.

Специалисты в ходе исследования также обнару…

Критическая уязвимость в Zoom ставит под угрозу ПК с устаревшими версиями WindowsAlexander AntipovС помощью уязвимости удаленный атакующий может выполнить код на Windows 7, Windows Server 2008 R2 и более ранних.

Словенская ИБ-компания ACROS Security раскрыла уязвимость в ПО для конференцсвязи Zoom, позволяющую злоумышленнику удаленно выполнить код на компьютере, где установлен уязвимый клиент Zoom для Windows.

Проблема затрагивает только пользователей устаревших версий ОС от Microsoft, в частности Windows 7, Windows Server 2008 R2 и более ранних.

ACROS Security также обновила свой клиент 0patch, добавив в него микропатч, закрывающий уязвимость в четырех разных частях кода в устаревших верси…

Осужден сотрудник ФСБ, продававший данные абонентов мобильной связиAlexander AntipovКапитану ФСБ вменялось разглашение сведений, составляющих государственную тайну, доверенных ей по службе, которые стали достоянием постороннего лица (ч.

283 УК РФ).

Дело слушалось в закрытом режиме.

Согласно ч.

По данным пресс-службы судов, Соловьева вину не признала.

Произошла утечка паспортных данных участников онлайн голосования22:11 / 9 Июля, 20202020-07-09T23:11:44+03:00Alexander AntipovВ базе содержались только серия и номер паспорта, по которым идентифицировать владельца напрямую невозможно.

Паспортные данные абсолютно всех участников электронного голосования по поправкам в Конституцию при небольших усилиях были доступны всем желающим, выяснила «Медуза».

Выявлен не только серьезный организационный просчет: полученная информация позволила оценить количество голосовавших повторно и по недействительным паспортам.

При этом сами сведения о паспортах лежали в базе данных db.sqlite, не защищенной паролем.

Подписывайтесь на каналы "SecurityLab" в Telegram…

Использование PowerShell для пентестов в Kali LinuxAlexander AntipovС точки зрения пентестера мы использовали PowerShell для более разнообразных тактик, реализуемых после эксплуатации уязвимостей.

Более того, Microsoft сделала доступным PowerShell для других платформ на базе .NET Core, а недавно компания Offensive Security добавила PowerShell в Kali Linux.

Однако есть несколько функций в PowerShell, которые на данный момент не доступны в линуксовых системах:Поддерживаются не все командлеты.

Рисунок 7: Пример запуска команд внутри созданной сессииНе забывайте, что есть определенные командлеты, которые не будут работать в PowerShell для Линукса, поскольку не поддерживаются для этой платформы.…

NVIDIA исправила RCE-уязвимость в GeForce ExperienceAlexander AntipovТакже были выпущены обновления безопасности для JetPack SDK.

Компания NVIDIA выпустила обновление, исправляющее критическую уязвимость (CVE‑2020‑5964) в приложении GeForce Experience, эксплуатация которой позволяет удаленно выполнить код.

Программное обеспечение NVIDIA GeForce Experience работает с видеокартами GeForce и используется для управления драйверами, оптимизации настроек видеоигр и для потоковой трансляции.

Проблема получила оценку в 6,5 балла по шкале CVSS и затрагивает все версии программного обеспечения GeForce Experience до 3.20.4 для Windows.

Специалист Майкл де Ганс (Michael de Gans) обнаружил опасную уязви…

К тому же владение английским языком сейчас — и в менее технологичных сферах нечто вроде умения складывать и делить, а для многих авторов и экспертов в нашей тематической области оно давно уже стало привычным и естественным.

Поэтому авторы и спикеры без раздумий приносят в русский язык то, что им знакомо по английской речи, и в результате порой получаются удивительные вещи.

ВыводыКогда разговор заходит о смысловых тонкостях в частности и о языковых ошибках в целом, желание строго следовать норме иногда вызывает удивление.

— И не поймёшь, пока я тебе не объясню, — ответил он.

— Когда я беру слово, оно означает то, что я хочу, не больше и не меньше, — сказал Шалтай презрительно.

Но несколько уязвимостей одновременно могут привести к опасным комбинациям, и с их помощью можно нанести ущерб пользователям приложений.

Уязвимости пути (Path-based vulnerabilities)Сообщение об этой уязвимости появляется, если сканер находит в публичном доступе файлы с предположительно конфиденциальными данными.

Пользователь может сам управлять этими возможностями в браузере и решать, какую информацию и для каких сайтов хранить.

При нажатии на кнопку щелчок перехватывается, и от имени пользователя действия совершаются на оригинальном сайте.

Например, так бывает, если в формах на сайте данные от пользователя не экранируются — не проверяются на правильность до отправки запроса на сервер.

Мы ненадолго погрузились на дно глобальной паутины и собрали информацию о том, какие товары и услуги наиболее востребованны там в данный момент.

Как правило, все платежи совершаются в криптовалюте, в основном — в биткоинах.

Наиболее востребованные товары и услуги в дарквебеЗаранее оговоримся, что перед нами не стояла задача прорекламировать чёрные рынки дарквеба или сам дарквеб.

Ассортимент представлен очень широко, встречаются предложения как по лёгким наркотикам вроде гашиша и марихуаны, так и по более тяжёлым, например героину.

Как и в случае с наркотиками, здесь представлено большое многообразие различных видов, начиная от кастетов и ножей и заканчивая автоматами и гранатами.

Kaspersky Automated Security Awareness Platform (Kaspersky ASAP) от «Лаборатории Касперского» относится к числу относительно молодых, но быстро набирающих популярность автоматизированных платформ для повышения осведомлённости о кибербезопасности.

Системные требованияДля работы с Kaspersky ASAP необходимо обеспечить сотрудников рабочими местами в соответствии с системными требованиями, представленными в табл.

Функциональные возможностиПлан обучения, принятый в Kaspersky ASAP, состоит из последовательно изучаемых тем в соответствии с целевым уровнем обучения, который настраивается администратором.

План обучения основам кибербезопасности в Kaspersky ASAPКраткое описание тем обучения приведено …

Такая технологическая трансформация, как и любая другая, создаст потребность в новых кадрах, а иных оставит без работы.

ВведениеДанной публикацией я планирую начать цикл статей, посвящённых тому, как новые технологии в области кибербезопасности могут трансформировать всю отрасль ИТ.

Уже сейчас патентование и регистрация алгоритмов выглядят как не очень практичная и реально что-то защищающая процедура, все разработчики более склонны оставлять важные наработки как некое ноу-хау, нежели раскрывать и патентовать результаты.

Я бы спрогнозировал, что правовых споров в индустрии ИТ 10 лет спустя больше не будет, по крайней мере — в том виде, как мы это представляем сейчас.

ВыводыПрогнозы, озвученн…

Сервис Internet Umbrella, о котором мы сегодня будем рассказывать, является средством защиты от DDoS-атак.

Архитектура Orange Internet UmbrellaCервис Orange Internet Umbrella разворачивается и функционирует только на мощностях компании Orange Business Services.

В силу этого Orange Internet Umbrella имеет централизованную архитектуру, которая легко масштабируется в зависимости от поставленных задач.

Особенности сервиса Orange Internet UmbrellaCервис защиты от DDoS-атак Orange Internet Umbrella способен:Отражать простые и сложносоставные DDoS-атаки, которые на практике весьма разнообразны как по объёму трафика, так и по длительности.

Тестирование сервиса Orange Internet UmbrellaРегистрация в …

Рассмотрим подробнее, из каких частей будет состоять этот проект, на что понадобится обратить внимание и сколько времени это займёт.

Разумеется, запросы на организацию проектов в области информационной безопасности, связанных с переходом на дистанционную работу, были и в самом начале режима изоляции.

С чем работают удалённые сотрудникиИтак, для того чтобы грамотно подобрать инструментарий для защиты от внешних атак, важно понять, с какими бизнес-приложениями взаимодействует тот или иной пользователь.

В силу ограниченности средств, обеспечивающих безопасность устройств пользователей в домашних и публичных сетях, особую важность приобретает борьба с вирусами.

Стоит отметить также, что с завер…

Наша цель — рассмотреть, как изменился процесс на стороне заказчика, что за перемены это обусловило на стороне SOC и как собирать правильную информацию об инциденте.

ВведениеМожно мало что знать о SOC, но всё равно будет интуитивно понятно, что в его работе важнее всего две вещи: выявление инцидентов и реагирование на них.

Однако в силу ряда причин в последние годы процесс реагирования на стороне заказчиков начал существенно модифицироваться, и это потребовало изменений и со стороны SOC.

В результате SOC должен постоянно изобретать всё больше хитрых сценариев детектирования атак и в обязательном порядке подключать их заказчику.

Собственно, это и приводит к тому, что для ускорения процесса р…

Мы проанализировали наиболее популярные сервисы видеоконференций и сравнили их между собой с точки зрения защиты от перехвата данных, управления доступом и хранения пользовательской информации.

В 2019 году стало известно о трёх уязвимостях, а с начала 2020 года зарегистрирована лишь одна ошибка среднего уровня опасности.

Управление пользовательской информацией реализовано в рамках стандартной политики конфиденциальности для продуктов Google и допускает удаление информации как с сервера, так и с клиентского устройства.

Сервис предоставляет пользователю возможность удалить накопленные данные о себе как с локальных устройств, так и с серверов Microsoft.

Название решения Сквозное шифрование дан…

Ситуация отягощалась российскими корнями FaceApp, что не преминуло подчеркнуть ФБР, представители которого заявили: любой гражданин, пользующийся FaceApp, ставит под угрозу национальную безопасность США.

Новые вопросы к FaceApp по части конфиденциальностиНа днях по соцсетям и другим онлайн-площадкам разлетелись фотографии, на которых пользователи внешне меняли свой пол с помощью FaceApp.

Вот самые основные моменты, волнующие людей: какую информацию собирает FaceApp, что FaceApp делает впоследствии с этой информацией, у кого есть доступ к ней, как можно удалить свои данные.

При этом Гончаров подчёркивает, что FaceApp удаляет фотографии с серверов в течение 24-48 часов после их последнего ред…

ВведениеВ первой статье о результатах исследования фонда «Сколково» мы охарактеризовали состояние рынка информационной безопасности, где применяются технологии искусственного интеллекта.

Причины применения технологий искусственного интеллекта в информационной безопасностиРынок кибербезопасности будет стремительно расти в ближайшие годы за счёт основных трендов в развитии информационных технологий и глобальной цифровизации.

Динамика заявок на патенты, описывающие методы использования ИИ в кибербезопасностиТехнологические лидеры и крупные вендоры по информационной безопасности серьёзно вкладываются в разработку новых методов применения технологий ИИ, в том числе и российская «Лаборатория Касп…

Компания ESET обновила своё решение Secure Authentication (ESA), обеспечивающее безопасный доступ к корпоративным ресурсам за счёт применения различных методов двухфакторной аутентификации (2FA) при удалённом подключении к ним.

Ранее мы уже рассматривали предыдущую сборку решения ESET Secure Authentication 2.8 в материале «Обзор ESET Secure Authentication, системы двухфакторной аутентификации».

Описание ESET Secure Authentication 3.0Решение ESET Secure Authentication 3.0 (далее — «ESA 3.0») предоставляет возможность обеспечить защищённый доступ к корпоративным ресурсам с использованием двухфакторной аутентификации локально либо через интеграцию с Microsoft Active Directory.

Подраздел «Mobil…

Михаил Прибочий заявил, что в первом квартале 2020 года в «Лаборатории Касперского» выросли абсолютно все направления.

Тенденции рынка информационной безопасности в России в 2020 годуВопросы, которые были предложены для обсуждения экспертам:Какие тренды ИБ-рынка отмечают специалисты?

Как отметил Михаил Прибочий, работать на «удалёнке» приходится больше, а в остальном изменений в деятельности «Лаборатории Касперского» оказалось немного.

Компания не сокращает количество сотрудников, не уменьшает фонд оплаты труда и не планирует этого делать.

В Москве лишь 5% сотрудников готовы работать исключительно в офисе, в то время как в регионах таких людей в три раза больше», — подчеркнул Евгений Куртук…

Контроль выполнения нормативных требований по защите информации: автоматизация и роботизацияИтак, одной из основных целей «классических» SGRC-систем является обеспечение департаментов ИБ инструментами контроля выполнения нормативных требований по защите информации — как внутренних, так и государственных.

Актуальные данные становятся важной основой не только в ИБ-процессах, но и в сопутствующих ИТ-процессах.

Получаемые от устройств и систем данные заносятся в базу a-SGRC, где ставятся в соответствие пунктам требований комплаенса из автоматизированного опросника (чек-листа).

Результаты сравнения реальных фактов (настроек и параметров ПО и устройств) с требуемыми нормативами формируют оценку в…

После завершения интернет-голосования, которое закончилось удивительно хорошо, меня и многих людей долго не покидало чувство того, что в России просто не может что-то пройти так хорошо. Сейчас можно расслабиться — реальность не подкачала и мы увидели двойное безумие: как с точки зрения архитектуры решения, так с точки зрения криптографии.

Кстати, Минкомсвязь до сих пор исключает ЛЮБУЮ возможность утечки паспортных данных избирателей Между тем распределение серий паспортов выглядит вот так: Давайте воспроизведем события и попробуем понять как всего этого можно было избежать Читать дальше →

Создавая продукты и развивая экспертизу, мы в первую очередь руководствуемся стремлением повысить безопасность компаний. Однако в своих исследованиях мы движимы не только заботой о клиентах. Уже довольно давно у нас появилось желание проводить исследования для сообщества по информационной безопасности на волонтерских началах и сейчас мы активно делаем это: публикуем в Twitter детекты громких сетевых атак, поставляем правила анализа трафика в сервис ANY.RUN и пополняем набор правил ETOpen. Существует много опенсорсных проектов, в которые можно отослать pull request, но до недавнего времени до хостовых детектов все никак не доходили руки. И тут мы узнали, что группа энтузиастов решила устроит…

Мотивом к публикации столь подробных текстов об AES стандарте-предоставление возможности ознакомления с ним в деталях, достаточных не только для разработки самостоятельной программной реализации алгоритма зашифрования, но и для создания алгоритмов возможных криптоаналитических атак на шифр, т. е. для дешифрования шифрграмм без знания ключа.

Те публикации, которые имеются в сети, названным целям не отвечают, не могут быть мною использованы в процессе обучения специалистов. Одно из основных старых (или даже старинных) требований к шифрам — это создавать открытый (доступный для изучения) алгоритм шифрования и накрутки вокруг него (режимы, протоколы и т. п.) всё, кроме ключа шифра. Ключ — это т…

Привет, Хабр! Хотим поделиться небольшой подборкой по ИБ- инцидентам за июнь 2020 года. Оговоримся сразу, что она не претендует на полноту картины всех мировых в области ИБ. Предлагаем вашему вниманию лишь те, которые показались специалистам «Рексофт» наиболее интересными. Читать дальше →

Привет, Хабр! Сегодня мы хотим рассказать о новых кибератаках, которые недавно были обнаружены нашими аналитическими центрами киберзащиты. Под катом рассказ о крупной потере данных производителем кремниевых чипов, история об отключении сетей в целом городе, немного об опасности уведомлений Google, статистика о взломах медицинской системы США и ссылка на канал Acronis на YouTube. Читать дальше →

Threat hunting или TH — проактивный поиск следов взлома или функционирования вредоносных программ, которые не обнаружены стандартными средствами защиты. Сегодня мы поговорим о том, как устроен этот процесс, какие инструменты можно использовать для поиска угроз, о чем помнить при формировании и проверке гипотез. Читать дальше →

Почти у всех периодически возникает необходимость разобраться в какой-то новой сфере, провести исследования или быстро найти очень узкоспециализированную информацию. Но поисковик не всегда нас понимает. Мы старательно пытаемся объяснить: вводим большие предложения на смену коротким словосочетаниям. Рыскаем по страницам и ссылкам. И, вероятно, через несколько часов обнаруживаем в каком-то документе pdf запрос, который надо было вводить с самого начала. Бывает, не всегда легко выразить свою информационную потребность в поисковом запросе. Может не хватать нужной терминологии, или вы еще не совсем уверены, в том, что именно ищите, а увидев возможные варианты, сразу поймете что нужно. А может, т…

Базовые требования к сервисам для организации видеоконференцсвязи — качество, надёжность и безопасность. И если первые два требования в основном сопоставимы у всех крупных игроков, то ситуация с безопасностью значительно отличается. В этом посте рассмотрим, как обстоят дела с защитой у самых используемых сервисов: Zoom, Skype, Microsoft Teams и Google Meet. С начала пандемии все сервисы для организации видеоконференцсвязи столкнулись с взрывным ростом числа пользователей: • число ежедневных пользователей Skype всего за месяц выросло на 70%,

• количество пользователей MS Teams с января выросло в 5 раз и достигло 75 млн человек,

• количество пользователей Zoom за 4 месяца выросло в 30 раз и п…

Многие компании сегодня обеспокоены вопросом обеспечения информационной безопасности своей инфраструктуры, некоторые это делают по требованию регламентирующих документов, а некоторые с того момента как произойдет первый инцидент. Последние тенденции показывают, что количество инцидентов растет, да и сами атаки становятся все более изощрёнными. Но не нужно ходить далеко, опасность находится гораздо ближе. В этот раз хотелось бы поднять тему безопасности интернет-провайдеров. На хабре есть посты в которых обсуждалась данная тема на уровне приложений. В этой статье речь пойдет о безопасности на сетевом и канальном уровнях. Читать дальше →

Projector — это способ запускать IntelliJ IDEA на удалённом сервере. Недавно я писал об этом статью, но умолчал о важной для любого параноика вещи — шифровании данных на вебсокете.

Генерация и подкладывание ключей — довольно муторный кусок работы. Тут придётся познакомиться с особенностями Docker и криптографии в Java. К сожалению, убежать от этого никуда нельзя, потому что это Java, и ребята из JetBrains совершенно не виноваты.

В изначальной статье этот текст был закрыт спойлером, но потом я почувствовал, что читать такую стену текста невозможно и родил вот этот текст. Заранее извините. Открывая эту статью вы соглашаетесь с тем, что увиденное вам не понравится. Читать дальше →

Привет дорогие читатели! Сегодня мы кратко расскажем о таком продукте, как Panorama от компании Palo Alto Networks. По какой-то причине на русском языке достаточно мало информации о настройке и основных принципах работы. Что ж, давайте будем заполнять эти пробелы. Читать дальше →

Сейчас я работаю в компании-вендоре программного обеспечения, в частности решений по управлению доступом. А мой опыт «из прошлой жизни» связан со стороной заказчика – крупной финансовой организацией. Тогда наша группа по контролю доступа в ИБ-департаменте не могла похвастаться большими компетенциями в IdM. Мы многому обучались в процессе, пришлось набить кучу шишек, чтобы выстроить в компании работающий механизм управления правами пользователей в информационных системах. Объединив свой выстраданный в заказчике опыт с вендорскими знаниями и компетенциями, я хочу поделиться с вами по сути пошаговой инструкцией: как создать в крупной компании ролевую модель управления доступом, и что это даст …

В конце прошлого года эксперт Positive Technologies обнаружил уязвимость CVE-2019-19781 в ПО Citrix ADC, которая позволяет любому неавторизованному пользователю выполнять произвольные команды операционной системы. Под угрозой оказались около 80 тысяч компаний по всему миру. Ситуация усугубляется тем, что продукт Citrix ADC устанавливается на границе между внешней и внутренней сетью организации. Таким образом, после эксплуатации уязвимости, злоумышленник получает доступ сразу во внутреннюю сеть компании и имеет возможность развивать атаки на приватный сегмент сети. В сегодняшнем материале автор исследования подробнее разберет уязвимость, детали ее обнаружения и эксплуатации. Поехали! Читать …

Впервые уязвимость была обнаружена еще 26.06.2020, о чем автор тут же сообщил техподдержке Дом.ru. Автор долго и упорно пытался решить проблему непублично, но встретил полное её непонимание техническими специалистами. Провайдер уверяет, что случай автора еденичный, но сегодня пришло подтверждение наличия проблемы и у других источников. Автор не публикует ничьих личных данных и не призывает в противоправным действиям. Написание этой статьи — вынужденная мера. Хотя, если уж провайдер прямо говорит что всё нормально, то никаких рисков общедоступное описание работы его сервисов вообще не должно нести. В чем суть?

Крупный интернет-провайдер Дом.ru перехватывает http-трафик пользователя и, время …

Эта статья является первой частью серии по анализу Sysmon-угроз. Все остальные части серии:

Часть 1. Знакомство с анализом логов Sysmon Часть 2. Использование данных из Sysmon-событий для выявления угроз (мы тут)

Часть 3. Углубленный анализ Sysmon-угроз с помощью графов В этом разделе мы углубимся и начнём использовать детализированную информацию, которую предоставляет нам Sysmon. Вот три основных момента, которые мы будем прорабатывать: Использование PowerShell для прямого доступа к гранулированной информации о процессах;

Построение и визуализация иерархии процессов – первый важный шаг в поиске угроз;

Использование метаданных Sysmon для формирования важных метрик, полезных при углублённом …

Специалисты ESET обнаружили шпионскую программу Evilnum, нацеленную на финтех-компании и их клиентов, и рассказали об активности одноименной хакерской группы, существующей в 2018 года.

По данным исследователей, наибольшее количество атак Evilnum сосредоточено на территории стран ЕС и Соединенного Королевства, несколько атак также зафиксированы в Канаде и Австралии.

Интересно, что, по данным ESET, за разработкой малвари для группы Evilnum стоят хакеры из группы Golden Chickens, работающие по схеме малварь-как-услуга (malware-as-a-service).

Эти же люди являются поставщиками вредоносных программ для таких известных хак-групп, как FIN6 и Cobalt.

«Мы полагаем, что FIN6, Cobalt и Evilnum — это не…

Активность stalkerware возрослаАналитики компании Avast предупреждают, что в период карантина, с марта по июню 2020 года, использование шпионских программ (в том числе и тех, которые установлены незаметно от пользователя) в мире увеличилось на 51% по сравнению с январем-февралем 2020 года.

Stalkerware часто маскируется под приложения для родительского контроля, ПО для наблюдения за сотрудниками и даже под инструменты для организации удаленного доступа, предназначенные для корпоративного сектора.

Команда Avast Threat Labs выявила рост данной онлайн-угрозы на фоне роста физического насилия в семьях во время карантина.

В мае 2020 года количество звонков на всероссийский телефон доверия для жен…

В начале текущего года специалисты компании Malwarebytes рассказывали, что обнаружили предустановленную малварь в бюджетных смартфонах производства Unimax.

Как и в случае UMX U686CL, на смартфоне ANS UL40 были найдены два скомпрометированных приложения: Wireless Update и Settings.

Так как заражение на устройствах UMX и ANS различается, исследователи попытались выяснить, что же связывает эти бренды.

Общим знаменателем оказалось использование цифрового сертификата, используемого для подписи приложения ANS Settings.

«Мы имеем приложение Settings на ANS UL40 с цифровым сертификатом, подписанным компанией, которая является зарегистрированным брендом UMX, — рассказывают специалисты.

Специалисты компании Acros Security сообщили об опасном баг в Windows-клиенте приложения для видеоконференций Zoom.

Исследователи сообщают, что уязвимость представляет угрозу для Windows 7, Windows Server 2008 R2, а также более ранних версий ОС.

Эксплуатация уязвимости, которая в итоге приводит к выполнению произвольного кода на компьютере жертве, весьма проста: достаточно вынудить целевого пользователя Zoom открыть вредоносный документ.

Демонстрацию уязвимости в действии, а также блокирование бага посредством 0patch можно увидеть ниже.

Напомню, что в апреле текущего года, после серьезной критики со стороны ИБ-сообщества, Zoom приостановила разработку на 90 дней и в этот период занималась и…

С начала пандемии эксперты Group-IB фиксируют резкий подъем мошенничества с использованием переводов card-to-card: в период с апреля по июнь 2020 года количество таких транзакций возросло более чем в шесть раз.

Мошенники заманивают пользователей на фишинговые сайты, на которых жертвы вводят свои платежные данные на фейковых страницах оплаты, думая, что совершают покупку.

Так, по данным Group-IB, на текущий момент один банк в среднем фиксирует 400-600 попыток такого способа мошенничества в месяц.

Обычно сценарий использования 3D Secure выглядит следующим образом: пользователь вводит реквизиты своей платежной карты на странице оплаты онлайн-магазина.

Они содержат информацию о мерчанте, котора…

В Pi-hole — популярной программе для блокировки рекламы и нежелательных скриптов — за последнее время нашли целых три уязвимости.

Давай разберем причины проблем и заодно посмотрим, как искать уязвимости в коде на PHP и скриптах на Bash.

Коротко CVE-2020-8816 — эта уязвимость в Pi-hole существует из-за некорректной санитизации MAC-адреса при добавлении его в список.

CVE-2020-11108 — обновление скрипта Gravity в Pi-hole до версии 4.4 позволяет загружать произвольные файлы в веб-директорию системы.

Это значит, что достаточно, чтобы было как минимум одно вхождение такой регулярки, а помимо нее можно указывать все что хочется.

Аналитики компании Digital Shadows подсчитали, что в настоящее время на черном рынке (хакерских форумах, подпольных маркетплейсах, paste-сайтах, файлообменниках и так далее) можно найти более 15 миллиардов украденных логинов и паролей, в том числе более 5 миллиардов уникальных учетных данных.

Дело в том, что в наше время атаки на захват учетных записей просты и дешевы как никогда, а многие специализированные хакерские инструменты можно купить примерно за 4 доллара.

Если говорить о стоимости учетных данных, то средняя цена одного аккаунта на торговых площадках в даркнете и открытом интернете составляет 15,43 доллара.

Исследователи объясняют, что здесь работает тот же принцип, из-за которого …

В июне текущего года Павел Дуров уже писал в Twitter о том, что компании Apple и Google увеличивают на 30% цену мобильных приложений для всех пользователей смартфонов в мире, тем самым уничтожают стартапы и злоупотребляют своим положением на рынке.

Те проекты, которым удается оставаться прибыльными несмотря на 30%-ный сбор, почти всегда приносят меньше чистого дохода собственным создателям, чем дуополии Apple и Google», — пишет Дуров.

Таким образом Дуров приходит к выводу, в настоящее время практически все разработчики, которые продают пользователям смартфонов премиальные и цифровые услуги, скорее работают на Apple и Google, чем на самих себя.

И если Google еще разрешает пользователям устан…

Компания Google открыла исходники сканера Tsunami — масштабируемого решения для обнаружения опасных уязвимостей с минимальным количеством ложных срабатываний.

Как уже было сказано выше, от других подобных инструментов Tsunami отличает масштаб, ведь Google создавала свой сканер для по-настоящему гигантских компаний (таких, как она сама).

Tsunami хорошо адаптирован к большим и разнородным сетям такого рода и решает проблему запуска различных сканеров для каждого типа устройств.

Он взаимодействует с каждым устройством и его открытыми портами: выбирает список уязвимостей для тестирования и запускает безопасные эксплоиты, чтобы проверить, действительно ли устройство уязвимо для атак.

Разработчик…

Журналисты издания «Медуза» заявили, что паспортные данные интернет-избирателей, участвовавших в электронном голосовании о внесении поправок в Конституцию РФ, лежали практически в открытом доступе.

30 июня 2020 года собственный источник издания передал журналистам инструкцию по проверке интернет-избирателей на голосовании по изменениям в Конституции РФ.

При этом сведения о паспортах интернет-избирателей с пометками о голосовании поставлялись вместе с программой и хранились локально, в виде хешей в файле db.sqlite, не защищенном паролем.

Также «Медуза» пишет, что обнаружила 97 паспортов, которые были записаны в базе данных интернет-избирателей дважды.

Именно с ней сверяли данные паспортов в …

Так как в Google по какой-то причине не продлили домен, теперь 4,4 миллиона URL-адресов из результатах поиска Google оказались повреждены, ведь домен больше не отвечает на запросы.

Аналогичным образом сломались и постоянные ссылки blogspot.in, которыми люди пользовались в социальных сетях, на форумах и так далее.

Хотя профили пользователей blogspot.in, похоже, все же были перенесены на Blogger.com, URL-адреса все еще присутствуют в результатах поиска Google и не перенаправляют посетителей в новые блоги.

С таким количеством URL-адресов, любой злоумышленник приобретший домен, сможет использовать его для мошенничества, распространения малвари, черного SEO и так далее.

Журналисты обратились за …

В Android существует замечательная возможность назначать поставщиком геокоординат любую программу, и вся система будет использовать те широту и долготу, которые она выдаст.

В этой статье я покажу, как этим пользоваться и как самому написать программу для спуфинга координат GPS.

Что внутри у приложения для изоляции на дому» — именно тогда я обнаружил возможность менять поставщика координат в операционной системе, что открывает для пользователей много интересных возможностей.

С точки зрения юзера все очень просто: нужно лишь установить специальное приложение, затем включить в настройках режим разработчика и выбрать установленное приложение в качестве поставщика фиктивного местоположения.

Попы…

Все началось с того, что в феврале 2020 года исследователи обнаружили трояна, внедренного в память системного процесса на машине жертвы.

Внимание специалистов привлекли архитектура малвари в целом и асинхронная работа с сокетами в частности.

Отмечается, что с точки зрения программирования схожая с API архитектура модулей и асинхронная работа с сокетами являются прогрессом для группировки.

С точки зрения объектов пользовательского пространства Windows — это порты завершения ввода-вывода (I/O completion ports).

По мнению исследователей, в последнее время группировка Microcin сделала шаг вперед — не с точки зрения начального вектора заражения, но с точки зрения программирования.

Теперь Министерство юстиции США обнародовало обвинительное заключение, датированное 2018 годом, в котором заочно предъявлены обвинения 37-летнему гражданину Казахстана Андрею Турчину, также известному как Fxmsp.

Ранее эта информация держалась в тайне, чтобы подозреваемый не знал о том, что его разыскивают американские власти.

Эта информация полностью совпадает с анализом специалистов Group-IB, которые так же вычислили Турчина и заявили, что он, вероятно, и скрывается за псевдонимом Fxmsp.

Как выяснилось, в США Турчину предъявлено пять обвинений, в том числе в сговоре с целью совершения компьютерного взлома, мошенничестве с использованием компьютера, в сговоре с целью совершения мошенничеств…

Журналисты издания ZDNet привлекли внимание инженеров Mozilla к многочисленным злоупотреблениям сервисом Firefox Send, который активно использовался для распространения малвари.

В настоящее время работа сервиса временно приостановлена (на время проведения расследования), и разработчики обещают улучшить его и добавить кнопку «Сообщить о нарушении».

Ответ Mozilla удивил и журналистов и ИБ-специалистов, так как организация немедленно приостановила работу сервиса Firefox Sens и сообщила, что работает над его улучшением.

«Мы временно переведем Firefox Send в автономный режим, пока будем улучшать продукт.

Все ссылки на Firefox Send перестали работать, а значит все вредоносные кампании, использова…

"The Joker malware is tricky to detect, despite Google's investment in adding Play Store protections," said Check Point's Aviran Hazum, who identified the new modus operandi of Joker malware.

"Although Google removed the malicious apps from the Play Store, we can fully expect Joker to adapt again.

"As the Play Store has introduced new policies and Google Play Protect has scaled defenses, Bread apps were forced to continually iterate to search for gaps," Android's Security & Privacy Team said earlier this year.

"They have at some point used just about every cloaking and obfuscation technique under the sun in an attempt to go undetected.

Also, make sure to carefully scrutinize your permission…

The Fine Art of Forensic InvestigationExample of a challenge solutionCynet 360 for Incident ResponseIn April 2020, Cynet launched the world's first Incident Response Challenge to test and reward the skills of Incident Response professionals.The Challenge consisted of 25 incidents, in increasing difficulty, all inspired by real-life scenarios that required participants to go beyond the textbook solution and think outside of the box.

Over 2,500 IR professionals competed to be recognized as the top incident responders.Now that the competition is over (however, the challenge website is still open for anyone who wants to practice solving the challenges), Cynet makes the detailed solutions availa…

"Of the 11 vulnerabilities, there are six possible attacks routes; five of those have barriers to exploitation," Citrix's CISO Fermin Serna said.

"Two of the remaining three possible attacks additionally require some form of existing access.

That effectively means an external malicious actor would first need to gain unauthorized access to a vulnerable device to be able to conduct an attack.

"Although Citrix has refrained from publishing technical details of the vulnerabilities citing malicious actors' efforts to leverage the patches and the information to reverse engineer exploits, attacks on the management interface of the products could result in system compromise by an unauthenticated us…

"Modern malware is complex, sophisticated, and designed with non-discoverability as a core tenet," said Mike Walker, Microsoft's senior director of New Security Ventures.

"Project Freta intends to automate and democratize VM forensics to a point where every user and every enterprise can sweep volatile memory for unknown malware with the push of a button — no setup required.

"The goal of this democratization effort is to increase the development cost of undiscoverable cloud malware toward its theoretical maximum," Walker said.

"Producers of stealthy malware would then be locked into an expensive cycle of complete re-invention, rendering such a cloud an unsuitable place for cyberattacks.

The …

Cato can access all relevant information for threat analysis since it already serves as the customer's network platform (remember, Cato MDR is integrated into Cato's SASE platform).

Network-level threat containment: Cato alerts customers in case of a verified threat, and based on a predefined policy, will apply network-level threat containment by blocking the network traffic.

Cato alerts customers in case of a verified threat, and based on a predefined policy, will apply network-level threat containment by blocking the network traffic.

This eliminates what we all dread – false positives.The Cato MDR portal is where customers handle all requests and activities.

Cato's integrated security sta…

F5 BIG-IP ADC RCE Flaw (CVE-2020-5902)F5 BIG-IP ADC XSS Flaw (CVE-2020-5903)Affected Versions and Patch UpdatesFound this article interesting?

Follow THN on Facebook Twitter  and LinkedIn to read more exclusive content we post.

"The attacker can create or delete files, disable services, intercept information, run arbitrary system commands and Java code, completely compromise the system, and pursue further targets, such as the internal network," Klyuchnikov said "RCE in this case results from security flaws in multiple components, such as one that allows directory traversal exploitation.

"As of June 2020, more than 8,000 devices have been identified online as being exposed directly to the i…

Follow THN on Facebook Twitter  and LinkedIn to read more exclusive content we post.

"In early 2020, EncroChat was one of the largest encrypted digital communication providers with a very high share of users presumably engaged in criminal activity.

User hotspots were particularly present in source and destination countries for cocaine and cannabis trade, as well as in money laundering centers," Europol said.Law enforcement agencies claimed to have cracked the encryption code of EncroChat in March this year and began penetrating data from April 1.

On June 13, EncroChat realized the platform had been penetrated and sent a message to users urging them to throw away their devices as its server…

The first of the two flaws permits an attacker to craft a malicious rdpsnd message that could lead to an out-of-bounds read similar to Heartbleed.

A second bug in the same channel is a data leak that transmits the out-of-bounds data to a connected client.

"After the cybersecurity firm responsibly disclosed its findings to Apache, the maintainers of Guacamole, on March 31, the company released a patched version in June 2020.

Apache Guacamole is a popular open-source clientless remote desktop gateways solution.

"When most of the organization is working remotely, this foothold isequivalent to gaining full control over the entire organizational network.

Windows 10 version 1709Windows 10 version 1803Windows 10 version 1809Windows 10 version 1903Windows 10 version 1909Windows 10 version 2004Windows Server 2019Windows Server version 1803Windows Server version 1903Windows Server version 1909Windows Server version 2004Found this article interesting?

Follow THN on Facebook Twitter  and LinkedIn to read more exclusive content we post.

Microsoft yesterday quietly released out-of-band software updates to patch two high-risk security vulnerabilities affecting hundreds of millions of Windows 10 and Server editions' users.To be noted, Microsoft rushed to deliver patches almost two weeks before the upcoming monthly 'Patch Tuesday Updates' scheduled fo…

Smaller companies benefit by leveraging a single platform that would otherwise require coordinating several expensive and complex point solutions.

"Despite all the security tools that have been deployed over the years to prevent and detect breaches, attackers are still able to find the seams in the protections," says Eyal Gruner, CEO of Cynet.

"One of the main problems is that security teams simply cannot make sense of the barrage of information and alerts coming at them from multiple security tools.

The XDR solution RFP can help companies prioritize the capabilities available in emerging solutions to improve their purchase decisions.The RFP comprises five sections:The RFP Guides ensure org…

"However, this installer was a simple Apple installer package with a generic icon.

"For example, the first-ever Mac ransomware, KeRanger, included a three-day delay between when it infected the system and when it began encrypting files.

This helps to disguise the source of the malware, as the malicious behavior may not be immediately associated with a program installed three days before.

"The best way of avoiding the consequences of ransomware is to maintain a good set of backups," Reed concluded.

"Keep at least two backup copies of all important data, and at least one should not be kept attached to your Mac at all times."

"Interestingly, all files investigated pertaining to the tainted applications appear to have been compiled from Monday to Friday, during normal 9 to 6 UTC+2 working hours," the researchers said.

"This strengthens the idea that StrongPity could be a sponsored and organized developer team paid to deliver certain 'projects.

What's more, the fake Firefox installer also checks if either ESET or BitDefender antivirus software is installed before dropping the malware.

"These characteristics can be interpreted as signs that this threat actor could in fact be part of an enterprise service for hire operation," the researchers said.

"We believe this has hallmarks a professionally packaged solution due…

Found this article interesting?

Follow THN on Facebook Twitter  and LinkedIn to read more exclusive content we post.

"Aleksei's massive fraud victimized hundreds of thousands of people and resulted in over $20 million in losses," said G. Zachary Terwilliger, U.S. Attorney for the Eastern District of Virginia.

"Tackling global cybercrime means holding accountable leaders like Burkov who have allowed cybercrime to become organized and hyper-specialized.

I want to thank our prosecutors and investigative partners for their terrific work on this complex case.

Using Steganography to Hide Skimmer Code in EXIFAbusing DNS Protocol to Exfiltrate Data from the BrowserIn what's one of the most innovative hacking campaigns, cybercrime gangs are now hiding malicious code implants in the metadata of image files to covertly steal payment card information entered by visitors on the hacked websites.

"We found skimming code hidden within the metadata of an image file (a form of steganography) and surreptitiously loaded by compromised online stores," Malwarebytes researchers said last week.

"This scheme would not be complete without yet another interesting variation to exfiltrate stolen credit card data.

Once again, criminals used the disguise of an image file…

Google will soon prohibit ads on its platform that promote stalkerware products and services – but the tech giant’s ban comes with a catch that some security experts worry will render it ineffective.

Google said, violations of this policy will first lead to a warning being issued for at least seven days prior to any suspension of one’s account.

However, Google said that its ban on stalkerware ads will not extend to private investigation services or services designed for parents to track or monitor their underage children – which some are condemning as a big loophole for surveillanceware companies.

One of those stalkerware families, disclosed in March, is an aggressive stalkerware app called…

Researchers are warning vulnerabilities in a smartwatch application for dementia patients could allow an attacker to convince patients to overdose.

These smartwatches are utilized by elderly patients with dementia who need reminders for taking their medication and to carry out everyday tasks.

The apps are also used by parents to track their children – expanding the impact of the security issues.

While IoT device security issues are nothing new, connected smartwatch privacy issues are viewed as particularly insidious when it affects the elderly and children.

In January 2019, researchers found an array of security issues in the Gator portfolio of watches from TechSixtyFour, and found flaws ex…

A security review of 127 popular home routers found most contained at least one critical security flaw, according to researchers.

However, even updates to the router’s firmware didn’t solve the problems in many cases.

AVM International was the best of the bunch in terms of all the security aspects researchers examined, although the company’s routers also contained flaws, they said.

Both update their routers more frequently than their rival companies, and use more current, supported versions of the Linux kernel for their firmware, researchers found.

Among the routers examined, those from D-Link, Linksys, TP-Linkand Zyxel fared the worst in terms of how well common security aspects were addre…

Application-based attacks that use the passwordless “log in with…” feature common to cloud services are on the rise.

Against the backdrop of widespread remote working and the increased use of collaboration apps, attackers are ramping up application-based attacks that exploit OAuth 2.0, Microsoft is warning.

“This is where attackers trick users into granting a malicious app access to sensitive data or other resources,” she explained, in a blog post this week.

“The app gets an authorization code which it redeems for an access token, and potentially a refresh token,” Girling explained.

“Attackers like to spoof app names that make it appear to come from legitimate applications or companies but …

The issue was confirmed for Threatpost by a Zoom spokesperson.

The 0patch team said that the vulnerability is present in any currently supported version of Zoom Client for Windows, and is unpatched and previously unknown — catnip for cybercriminals.

However, it’s important to note that the flaw has a couple of big mitigating factors that reduce the concern around it.

A target must first perform some typical action such as opening a document file for an exploit to work.

This morning we received a report of an issue impacting users running Windows 7 and older.

A new variant of the Joker malware has hoodwinked its way onto the Google Play marketplace yet again, in 11 Android apps that were recently removed.

A new variant of the infamous Joker malware has once again made it onto Google Play, with Google removing 11 malicious Android applications from its official app marketplace, researchers disclosed Thursday.

The Joker malware continues to hoodwink its way onto Google Play via legitimate applications.

In January, researchers revealed that Google removed 17,000 Android apps so far from the Play store that have been conduits for the Joker malware (a.k.a.

Threatpost has reached out to Google for further comment on this incident and on its Google Pla…

The server contained almost 270 gigabytes of data collected from 200 police departments, law enforcement training and support resources and fusion centers.

German authorities have reportedly seized a server hosting the massive BlueLeaks data dump, which was released earlier in June and exposed thousands of sensitive police department and law enforcement files.

According to a Wednesday report by PCMag, the server was based in Falkenstein, Germany and was seized after a request from the U.S. government.

“We have received official confirmation that #DDoSecrets’ primary public download server was seized by German authorities (Department of Public Prosecution Zwickau file number AZ 210 AR 396/20…

Curiously, the malware that researchers found on the UL40 device is the same as the malicious apps that Malwarebytes researchers discovered on the Unimax Communications U683CL Android device in January.

It’s installed in the device’s Settings app, which as its name suggests, is required to control all of the device’s settings.

While it was not immediately obvious that the trojan was present on the device, researchers were able to detect it given its similarity to another malware downloader.

“Nevertheless, there is enough evidence that this Settings app has the ability to download apps from a third-party app store,” he wrote.

Research by Kaspersky Labs found that many Android devices — espec…

The Adning Advertising plugin for WordPress, a premium plugin with over 8,000 customers, contains a critical remote code-execution vulnerability with the potential to be exploited by unauthenticated attackers.

RankMath is a WordPress plugin with more than 200,000 installations.

In March, another critical vulnerability in a WordPress plugin known as “ThemeREX Addons” was found that could open the door for remote code execution in 44,000 websites.

Also in March, two vulnerabilities – including a high-severity flaw – were patched in a popular WordPress plugin called Popup Builder.

And, earlier that month, a critical flaw in a popular WordPress plugin that helps make websites compliant with the…

“Fxmsp,” a notorious hacker who made headlines last year for allegedly stealing and selling source code and customer access from McAfee, Symantec and Trend Micro, has been outed.

He’s a Kazakh national named Andrey Turchin, and according to unsealed court documents, he faces hacking charges dating back to 2018.

Seamus Hughes, the deputy director of the Program on Extremism at George Washington University, tweeted out the court documents on Tuesday.

Once the access is gained, Fxmsp harvests dumps of all the accounts and decrypts them.

While activity under the handle “Fxmsp” disappeared after the security-firm incidents, Volkov believes the activity could continue, just under a different moni…

The phishing campaign targeted Office 365 accounts in 62 countries, using business-related reports and the coronavirus pandemic as lures.

Microsoft has seized several domains associated with a massive hacking campaign, which has targeted Office 365 accounts with phishing and business email compromise (BEC) emails.

The sophisticated phishing attacks, which first began in December, have since compromised Office 365 accounts in 62 countries.

The attackers behind the campaign have gained access victims’ emails, contact lists, sensitive documents and other valuable information, according to Microsoft.

A recent phishing campaign for instance leveraged novel training programs that are required for…

Unprecedented amounts of data for accessing bank accounts and streaming services are being flogged on the dark web.

Fifteen billion usernames and passwords for a range of internet services are currently for sale on underground forums – shedding light on the sheer scope of compromised credentials that are fueling account takeovers on the internet.

The credentials being flogged online vary in access and price, according to the report.

Data for accessing antivirus programs earned the second-highest price on hacker forums, at an average of $21.67.

The report uncovered 2 million accounting email addresses exposed online, with those referencing “invoice” or “invoices” the most commonly advertised…

A Dubai resident with an elaborate lifestyle that he touted on social media – think designer clothes, expensive watches, luxury cars and charter jets – has arrived in the United States to face criminal charges.

He is charged with conspiring to engage in money laundering, as part of a business email compromise (BEC) and general fraud effort.

According to the FBI, his campaigns targeted a New York law firm, a foreign bank and an English Premier League soccer club.

These and other ongoing efforts helped Abbas amass “significant wealth” according to the FBI, judging from his postings on social media sites like Instagram.

If convicted of conspiracy to engage in money laundering, Abbas would face…

Researchers warn that Keeper, using Magecart code, will launch increasingly sophisticated attacks against online merchants worldwide in the coming months.

Since its launch three years ago, the Keeper threat group has compromised more than 570 e-commerce websites, from online liquor stores to Apple product resellers.

The Keeper group, a faction of the Magecart umbrella, consists of an interconnected network of 64 attacker domains and 73 exfiltration domains.

“The Gemini team has named this group ‘Keeper’ based on its repeated usage of a single domain called fileskeeper[.

Magento is known to be the top target for Magecart attacks, and has more than 250,000 users worldwide.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

“[T]here is not a single device without known critical vulnerabilities,” says the damning study, called Home Router Security Report 2020.

“Linux works continuously to close security vulnerabilities in its operating system and to develop new functionalities.

The research used FKIE’s Firmware Analysis and Comparison Tool (FACT) to examine the devices’ latest firmware versions as available on March 27th, 2020.

Additional readingWe’ve covered the subject of router security extensively in recent years, and especially in the work-from-home era this subject is even more important than ever.

For starters, you may want to read our general article on how to boost your router security or peruse our ti…

The usernames and passwords found on cybercriminal marketplaces, especially on the dark web, come from over 100,000 separate data breaches and include access credentials for financial accounts and streaming services, and even for admin accounts providing access to organizations’ key systems.

The researchers spent a year and a half analyzing the tactics that crooks use to exploit pilfered account information and found that the amount of misappropriated credentials has risen by 300% since 2018.

Most of the stolen login information belongs to consumers and while many are often offered for free, those that do go on sale have an average asking price of approximately US$15 per account.

RELATED RE…

The main goal of the Evilnum group is to spy on its targets and obtain financial information from both the targeted companies and their customers.

The name Evilnum was given to the C# component by other researchers in the past, but the JS component also has been referred to as Evilnum.

We believe that FIN6, Cobalt Group and Evilnum group are not the same, despite the overlaps in their toolsets.

Also, Evilnum group uses legitimate (signed) applications such as cmstp.exe or msxsl.exe as a defense evasion mechanism.

T1113 Screen Capture Screenshots are taken by some Evilnum malware components.

The vulnerability, which received the highest possible severity score, leaves thousands of devices at risk of being taken over by remote attackers.

F5 Networks, one of the world’s leading providers of enterprise networking equipment, has recently published a security advisory about a critical vulnerability that impacts its BIG-IP multi-purpose networking devices and “may result in complete system compromise”.

The company has also released a patch plugging the security hole, all the while multiple security experts report that attackers are already deploying exploits targeting the flaw.

Klyuchnikov also uncovered another, though less severe, vulnerability in BIG-IP that earned a severity scor…

The phenomenon of (over)sharing content involving one’s kids on social media has even earned its own name – sharenting.

If your social media profile is public, then literally anyone who stumbles upon your profile can see the content.

The best and safest advice is, “don’t post anything relating to your children on social media”, but most modern parents would be hard-pressed to comply.

Your kids will eventually join social media, so you can start by leading by example.

That way, they’ll have a stable foundation before you start a conversation with your children about the perils of social media.

Citing an analysis by the Auriemma Group, the Fed noted that synthetic identity fraud cost US lenders around US$6 billion and was responsible for 20% of credit losses in 2016.

They frequently target individuals, who are less likely to check their credit information often, such as children, the elderly, or even homeless people.

The upside of utilizing this method for fraudsters is that synthetic identities act like legitimate accounts, which means they evade conventional means of fraud detection.

The guidance, entitled “Mitigating Synthetic Identity Fraud in the U.S. Payment System”, is the third publication in a series of white papers dedicated to synthetic payments fraud; the previous two …

Brute-force attacks against RDP surge – Is contact tracing the answer to ending the COVID-19 crisis?

– Microsoft ships urgent security updatesESET researchers have released data that confirms a sharp increase in brute-force attacks against Remote Desktop Protocol connections during the pandemic-induced lockdowns.

Also this week, we discussed the question of whether contact tracing can stem the COVID-19 pandemic while avoiding the privacy risks of location tracking.

Meanwhile, Microsoft rushes out an emergency patch to fix a pair of serious vulnerabilities in its Windows Codecs library.

All this – and more – on WeLiveSecurity.com.

The service, dubbed EncroChat, was used by 60,000 people worldwide to manage their criminal enterprises.

The service sold these devices for £900 (US$1,120) a pop with an additional £1,350 (US$1,680) charged for a six-month subscription.

But apparently this warning came too late, as the law enforcement swooped to arrest hundreds of criminals in the UK, France, the Netherlands, Norway, and Sweden.

In a number of cases, more arrests are very likely to follow in the coming period,” reads the press release by Europol, the EU’s law enforcement agency.

“Once a service such as EncroChat is shut down, it is quite normal to see another similar service crop up.

The cybercriminal behind the ransom raids on almost 23,000 databases threatens to leak the data and alert GDPR regulatorsAn unknown cybercriminal has infiltrated 22,900 unsecured MongoDB databases, wiping their contents and leaving behind a ransom note demanding bitcoin in return for the data.

Once the miscreant realized the mistake in their script, they amended it and started wiping the MongoDB databases.

The researcher, whose responsibilities include reporting exposed servers, stated that he noticed the wiped systems while checking on MongoDB databases he was supposed to report so they could be secured.

“Today, I could only report one data leak.

Attacks that involve infiltrating and holdi…

The out-of-band update plugs two remote code execution bugs in the Windows Codecs library, including one rated as criticalMicrosoft on Tuesday released emergency security patches to plug a pair of serious vulnerabilities in its Windows Codecs library that impact several Windows 10 and Windows Server versions.

Both security loopholes have to do with how Microsoft Windows Codecs Library handles objects in memory.

The updates are being deployed automatically via Microsoft Store, rather than the Windows Update process.

“Affected customers will be automatically updated by Microsoft Store.

In order to check if the updates have been implemented or to expedite the process, Microsoft provides this g…

The UK Government recently announced that it was ceasing development of its current contact-tracing app; on the same day, the Canadian Government stated that it was developing one.

The first is the global positioning system (GPS): this uses satellite-based radio-navigation to approximate the individual’s location and the location of other app users.

The primary technology in use by COVID-19 contact-tracing apps is Bluetooth, as it provides a higher level of privacy protection.

The frameworks have been created in parallel by a mix of technology companies, privacy organizations, academia and governments.

When a contact-tracing app comes into contact with another device running the same app th…

Poorly secured remote access attracts mostly ransomware gangs, but can provide access to coin miners and backdoors tooThe COVID-19 pandemic has radically changed the nature of everyday work, forcing employees to do large parts of their jobs via remote access.

Despite the increasing importance of RDP (as well as other remote access services), organizations often neglect its settings and protection.

Called ESET Brute-Force Attack Protection, this new layer detects groups of failed login attempts from external environments, which hint at an incoming brute-force attack, and then blocks further attempts.

How to configure remote access correctlyYet, even with protective measures such as ESET Brut…

Android ransomware posing as a COVID-19 tracing app – Ill-trained and ill-equipped newly-minted remote workers – How Bitcoin giveaway scams misuse Elon Musk’s nameThis week, ESET researchers published their findings about Android ransomware spreading under the guise of an official COVID-19 contact-tracing app developed by Health Canada.

A study by IBM shows that many newly-minted remote employees use their personal laptops for work and lack security training or tools to properly secure the devices.

Scammers now include the name of Tesla and SpaceX CEO Elon Musk in Bitcoin addresses in order to give their schemes extra credibility.

For more information, go to WeLiveSecurity.com.

A password manager can make your digital life both simpler and more secure.

Once you want to sign into any of the services that you use, the password manager automatically fills in your credentials and you’re all set.

The pros and cons of using a password managerThere are various types of password managers to choose from, with cloud-based options being among the most popular.

Be sure to choose your password manager carefully and avoid the common mistakes we mentioned at the beginning of the article when you’re creating your master password.

For extra security, you can also add an extra authentication factor for all your valuable online accounts, or even for the password manager itself.

In a move lauded by privacy advocates, Boston joins the ranks of cities that have voted down the municipal use of the technologyBoston has become the second-largest city in the world after San Francisco to ban the use of facial recognition technology by police and city agencies.

The ordinance was passed unanimously on Wednesday and bars city officials from using the technology and from procuring facial surveillance from a third party.

The ACLU has been a vocal opponent of facial recognition for quite some time, voicing its fears about the technology being abused and used as a surveillance tool.

Just days ago, Amazon, Microsoft and IBM halted the sale of facial recognition to the police.

ESE…

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Facebook hoaxes back in the spotlight – what to tell your friends

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Earlier this week, Citrix released security updates for Citrix Application Delivery Controller (ADC), Citrix Gateway, and the Citrix SD-WAN WANOP appliance, and urged admins to apply them as soon as possible to reduce risk.

At the time, there was no public attack code and no indication that any of the fixed flaws were getting actively exploited.

On Thursday, though, SANS ISC’s Dr. Johannes Ullrich spotted attackers attempting to exploit two of the Citrix vulnerabilities on his F5 BigIP honeypot (set up to flag CVE-2020-5902 exploitation attempts).

The security advisory Citrix published noted them and laid out the pre-conditions needed for their exploitation, but does not contain too many de…

Microsoft has averaged roughly 90 common vulnerabilities and exposures (CVE) fixes per month over the past five months.

With everyone working from home and apparently focused on bug fixes, I expect this large CVE fixing trend to continue.

It’s now been over a full month since the May 27 release of this ‘new’ operating system.

If you are experiencing any particular issues as you roll out this new operating system you should check out the known issues page for the latest information.

Continue to be diligent with your vulnerability management and system updates as we move deeper into the summer.

Public cloud adoption continues to surge, with roughly 83% of all enterprise workloads expected to be in the cloud by the end of the year.

So, how does one modernize and develop an effective cloud security posture management (CSPM) strategy?

One option is to work with an outside expert to design a plan (as part of a cloud security posture assessment) for creating and enabling mission-critical security checks and policies.

Effective cloud security posture: The takeawayThe adoption of public cloud computing has been inexorable, and in a post-COVID-19 world, it will accelerate exponentially.

To maintain a more robust cloud security posture, it’s necessary to update existing, on premises-centri…

USB control and encryption refers to the set of techniques and practices used to secure the access of devices to USB ports.

The most authoritarian approach is to block the use of USB devices altogether, either by physically covering endpoint USB ports or by disabling USB adapters throughout the operating system.

A cheaper (but harder to manage) alternative is to implement and enforce specific IT policies governing the use of USB devices.

This could either be one that only permits employees to use certain “authenticated” USB devices – whose file systems have been manually encrypted – or stipulating that individual files must be encrypted before they can be transferred to a USB storage device…

69 percent of employees surveyed agreed that their job provides them with meaningful work they take pride in.

In the category of technology infrastructure, however, employees reported that their current company systems need a unified overhaul.

Streamline business processes51 percent of employees categorized these systems inadequate in keeping them aligned with company goals while working remote.

37 percent of enterprise employees found their technology infrastructure not supportive to good communication throughout the organization as they work remote.

“The data show that companies, especially at the enterprise level, are realizing the importance of integrated solutions to streamline busines…

Alfresco Software, an open source, content services provider announced the availability of Alfresco Policy and Procedures as a Service, a new Content Accelerator hosted in Alfresco Cloud.

Alfresco Cloud enables enterprises to build process and content intensive apps without the cost and complexity of deploying, managing, and updating the platform themselves.

Mark Stevens, SVP and GM, Cloud Operations in Managed Services, Alfresco noted: “We’re optimizing our content services and solutions across PaaS to enable broad enterprise adoption.

It comprises a number of on-demand services including Content as a Service, Governance as a Service, and AI as a Service.

Alfresco boasts multiple new custo…

Driven by strong customer demand, Oracle announced Oracle Dedicated Region Cloud@Customer, the industry’s first fully-managed cloud region that brings all of Oracle’s second-generation cloud services, including Autonomous Database and Oracle Cloud applications, to customer datacenters.

With this announcement, Oracle is making all of its cloud services — more than 50 services — available on-premises so enterprises can use Oracle’s cloud services wherever they need them – in the cloud or on-premises via Cloud@Customer.

Our major competitors can’t offer customers a comparable dedicated cloud region running on-premises.”Oracle Dedicated Region Cloud@Customer includes full management capabilitie…

RtBrick has extended its cloud-native approach to telco networks by offering two new APIs (Application Programming Interfaces) into its software.

Now, for the first time, RtBrick’s APIs allow operators to control every attribute of their disaggregated broadband networks from external systems.

RtBrick is also providing a switch-level API to control RtBrick’s FullStack networking software – the RBFS API.

Any system can access these new interfaces, whether it is another element management system, or an application written in Python or Go, for example.

“They can choose to use RBMS as an end-to-end management system, develop in-house controllers, or work with a third-party system integrator to a…

IronCore Labs, the data control and privacy platform, announced several new product features that build on the company’s two core products: the Data Control Platform and SaaS Shield.

“We’ve been hard at work to build new features based on customer feedback and industry demand,” Patrick Walsh, CEO of IronCore Labs, said.

“Our two big product announcements today are key features that differentiate us in the data privacy industry.”The IronCore team recently launched the IronOxide Android SDK, which allows customers to integrate IronCore’s privacy toolkit into Android applications to control sensitive data.

“Launching our Android SDK is a big step toward getting data control into the hands of e…

SANS Institute announces partnership with Elevate Security, a human risk management platform nominated by RSA Conference as a top ten most innovative startup.

SANS and Elevate Security are partnering to shift the industry paradigm to solve for the human element, with a data-driven approach focused on provable outcomes.

The partnership between SANS and Elevate Security combines the most trusted cybersecurity training provider with the most innovative technology, empowering security teams to reduce human risk and understand what interventions, training, and investments are yielding results.

“We are honored to partner with SANS to measurably reduce human risk and prove efficacy and impact.”“Ma…

ChaosSearch announced that it is teaming with Armor, a leading global cybersecurity software company that protects workloads in public, hybrid and private cloud environments, to deliver an integrated log analysis solution.

ChaosSearch’s Data Lake Analytic Engine, running on Amazon S3, will be integrated into Armor’s flagship product, Armor Anywhere, to enable a new class of log search and data visualization.

We explored several options, and found that ChaosSearch could deliver the reliability, scale and expanded retention we needed.

“Their solution is helping ease our teams’ workload, while providing Armor a notable cost savings.

“The fact that Armor, a company whose security software is tr…

Groupe Renault and Google Cloud announced a new industrial and technology partnership to accelerate the digitization of Groupe Renault’s industrial system and of Industry 4.0 transformation.

This new partnership with Google Cloud aims, among other things, at optimizing Groupe Renault’s wholly-owned and independently operated industrial data management platform.

Groupe Renault and Google Cloud plan to build a unique and scalable program to enhance Renault process engineering, manufacturing and IT teams’ skills via coworking, training and enablement sessions with the Google team.

“This collaboration is a perfect illustration of Groupe Renault’ digital strategy, applied here to the industrial …

Accenture has made a strategic investment, through Accenture Ventures, in Synadia Communications, the company behind the production-proven open source NATS.io project which provides a highly-scalable, secure communications technology for digital systems, services and devices.

As edge computing expands at an unprecedented pace, organizations require a secure, flexible, extensible and future-proof communications capability across cloud, on-premises, web, mobile, and Internet of Things environments.

Synadia helps to address these needs with its differentiated Adaptive Edge Architecture.

“Enterprise data is increasingly being created at the edge and the ability to securely message across the ed…

Axiologic Solutions announced that Louis Chabot has been appointed to the position of chief technology officer.

As CTO, Chabot will lead technology research, selection, development and tailoring, ensuring the latest technologies are effectively integrated in customer solutions to help federal agencies reach their mission goals in their ever-changing operational landscape.

Chabot was also an adjunct professor at George Mason’s department of applied IT, focusing on big data analytics for the intelligence community.

“Axiologic Solutions has achieved an incredibly impressive record of success with federal customers and across the intelligence community, and I am excited to be a part of their te…

Extreme Networks announced Nabil Bukhari as Chief Technology Officer, in addition to his current role as Chief Product Officer.

He will continue to report to President and Chief Executive Officer Ed Meyercord.

This demonstrates Extreme’s leadership in democratizing access to technology for our customers and partners, regardless of resource, people, or skills constraints.

“As Chief Product Officer, I am proud to be part of a world-class product organization that champions simplification.

Now, as Chief Technology Officer, I look forward to sharing this message and the results of our work by demonstrating how technology can help society flourish in the face of adversity,” said Nabil Bukhari.

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

BlockAPT announces a major accomplishment in being successful with the London Office for Rapid Cybersecurity Advancement (LORCA) accelerator programme, which is backed by the Department for Digital, Culture, Media & Sport.

This is testament to our mission to help protect the digital security of both organisations and people through sharing our knowledge, passion and expertise with our industry game changing BlockAPT platform.

We look forward to working with LORCA to extend our reach in the UK and abroad over the forthcoming year”.

Digital Infrastructure Minister Matt Warman said:“We are committed to helping our innovative cyber security startups thrive and maintain our position as Europe’s …

The COVID-19 Threat Intelligence Insight report was provided by AT&T Cybersecurity and the Telco Security Alliance (TSA), which observed cyberthreat activity between January and June 2020.

The TSA consists of a group including Singtel (Trustwave), and Telefónica (ElevenPaths), and aims to offer enterprises comprehensive cybersecurity insights to help them address the threat of cyberattacks and the evolving threat landscape.

The TSA has observed many cyberthreat groups during this pandemic-period and provided examples and analysis of such campaigns.

This group has been described as “prolific” and focused on email campaigns using Covid-19 with targets found in Australia, Egypt and China.

COVI…

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

According to a Honeywell report, the use of USBs are the second most widespread industrial vector vulnerability within operational technology.

Whilst the number of threats disrupting OT was at 26% in 2018, this percentage has significantly risen to 59% today.

“This isn’t a case of accidental exposure to viruses through USB,” said Eric Knapp, director of cybersecurity research and engineering fellow for Honeywell Connected Enterprise, Cybersecurity.

“It’s a trend of using removable media as part of more deliberate and coordinated attacks.”Source: SC Magazine

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

Chinese-state sponsored hackers have been using Android spyware tools to target ethnic minority groups particularly Uighurs, Tibetans, and Muslims, across 15 countries which include Malaysia, Turkey, Indonesia and Kazakhstan.

Threat researchers state the spyware exploits the victim’s Android device through targeted phishing and fake-third party app stores.

It was also revealed that many samples of these malware tools were trojanized legitimate apps, i.e., the malware maintained complete functionality of the applications they were impersonating in addition to its hidden malicious capabilities.

Out of the list of countries targeted by the hackers, 12 are said to be on the Chinese government’s…

Let’s answer these questions today, by running DMitry along with our own SurfaceBrowser™️ enterprise tool.

While this small tool called DMitry is considered old code, it does have a few useful information gathering tricks up its sleeve.

While the truthfulness of this information depends on the owner of the IP range, we often find obsolete information that can be misleading.

DMitry, when used with the flag “-i”, will query IP addresses to gather WHOIS information, and if you include a hostname it will solve the corresponding A record.

Final thoughtsDespite being small, DMitry was a very interesting information gathering tool when released, and may still complement up-to-date resources when c…

We had this issue even though we know the risks, heck - we have 230+ blog posts surrounding the topic educating others.

That worry about not knowing what it is that you don’t know has an impact on our ability and confidence to quickly develop.

We will solve thisWe will do everything in our power to solve the problem of unintended attack surface sprawl from technical debt, acquisitions or mistakes.

We will make understanding your surface area in a complex cloud based world the standard not the exception.

We are declaring war on this problem and we are dedicated to putting an end to it.

We have searched, tested and aggregated a list of the best blue team tools that will aid in many different blue team operations.

Without further ado, let’s dive into the best blue team tools to enrich your defensive toolkit!

Here are our top picks for the best blue team incident response tools:TheHiveNo list of blue team tools would be complete without this one.

ConclusionNavigating through the many tools, solutions and resources appropriate for blue teams and their operation can get overwhelming, so we’ve compiled this list of the best blue team tools with the same goal we kept in mind while making our list of red team tools: to keep things simple.

Now that we’ve provided you with a cheat …

Customers and free users who have used our API or services built on top of our API since November 11, 2019.

June 28, 2020: Investigation started about the deletion of an Elasticsearch index for the root cause of this incident.

On June 11, 2020, we had a brief outage situation where the IPsec tunnels between our Elasticsearch gateway at AWS and the Elasticsearch cluster at Azure stopped working.

The problem was then fixed by removing this IP address.

In addition, we have already introduced the ability for customers to re-generate their API keys without the need to contact support.

), getting network BSSIDs and MACs to generate a map of electronic assets is part of a process called Attack Surface Analysis, and that’s what we’ll address today.

Entrée - Determining how to get accessWhat is attack surface analysis?

Attack surface analysis is the examination of a logical or physical infrastructure for security holes that could allow attackers to take advantage and compromise services.

Here are a few good starting points:IoT Hackers Handbook (Aditya Gupta) - This is a great introduction to the subject, one that addresses attack surface analysis from several standpoints, from hardware diagnostics port discovery and surface analysis mapping to firmware extraction, backdoorin…

Security companies and vendors aid organizations and their security teams by providing them with solutions for network security, cloud security, endpoint security, threat intelligence, mobile security, prevention from identity theft and privileged access protection and management, email security, along with just about any other security operations that will help make their security procedures and processes faster, more efficient and cost-effective.

That’s why we’ve made our own list of top 10 best security vendors to watch for in 2020.

It’s widely known as one of the top security companies in 2020.

Having won many awards throughout its history, Imperva remains recognized as a highly regarde…

This itself leaves an amazing opportunity open, one that lets you consider every possible way you can send information using existing channels without being noticed.

This can also be obscured using different techniques like compression, string swapping (such as rot13 encoding), or encryption on the slower end.

All of these resources address different tools and points of view, including traffic capture and inspection, IDS/IPS configurations, network tampering devices, test access ports setup, secure network design, and network information forensic treatment and analysis (in case you need to make something legal out of your findings).

Only explicitly allowed network flows will pass, and those…

If all the characteristics of cyber espionage attacks sound quite similar to those of advanced persistent threats (APTs), you wouldn’t be mistaken.

There are usually two types of cyber espionage attacks:GovernmentalWith the current situation regarding the COVID-19 pandemic, there has been a rise in Chinese cyber espionage efforts.

Here are some of the first steps to take to protect your organization against cyber espionage:Cybersecurity cultureAs with many types of cyber attacks, social engineering remains the main vector used to carry out cyber espionage attacks.

And cyber espionage attackers often try brute force techniques to gain unauthorized access to corporate or government systems an…

Today we’ll review the open source tool Masscan, one of the most popular port scanners around.

The goal of Masscan, however, is to enable security researchers to run port scans on large swathes of the Internet as quickly as possible.

Banner checking : Apart from merely performing port scans, the tool can also complete TCP connections to fetch basic banner information.

Single IP port scanOur first test is a single IP and single port scan of a malvertising IP we’re tracking.

./masscan 198.134.112.240/28 -p80,443,25 #multiple ports ./masscan 198.134.112.240/28 -p1000-9999 #range of portsThe scanner tells us how many hosts (16) were found, and then displays which ports are open on which IP addr…

Recently, we went over the perfect red team tools for your security toolkit, and we mentioned phishing tools in the weaponization phase of the red team operation’s attack approach.

The following list of phishing tools is presented in no particular order.

King PhisherLet’s start with one of the better-known open source phishing campaign tools, one that was included in our post about red team tools.

While it may not be the most complete or ultimate phishing tool around, BlackEye is a great addition to your phishing toolkit.

This phishing toolkit offers different phishing templates (37 to be exact) of major websites including Facebook, Instagram, Google, Adobe, Dropbox, Ebay, Github, LinkedIn,…

Курс Криса по-прежнему ориентирован только на руководителей/аудиторов/проектантов SOC и не является дополнением к чему бы-то ни было.

Показать, нужен ли SOC организации и если да, то какой, и по какой модели его строить.

Например, как обосновать необходимость SOC руководству компании, какие доводы использовать, каким ролям CxO важны какие задачи SOC и т.п.

Упомянул вчера про прохождение курса по SOCам (для тех, кто думает, что SoC - это System-on-Chip, сообщаю, что это Security Operations Center) и хочу поделиться некоторыми впечатлениями.

Одним нужны курсы по Threat Hunting, другим по реагированию на инциденты, третьим по организации Red Team (если это часть сервисной модели SOC), четверты…

И что я могу сказать по итогам такого образовательного дистанционного интенсива?..

А все потому, что используемая платформа не позволяет организовать именно обучение, а не вебинар.

В одном из курсов это происходило только в чате и только во время присутствия лектора, а в другом - организаторы создали специальные группы в Фейсбуке и Телеграме для постоянного общения.

А я в следующей заметке попробую описать свой опыт прохождения курса по SOCам.

Так сложилось, что я не очень люблю отечественные учебные центры; не важно, в какой области они преподносят свои курсы - в ИБ ли или в чем-то ином.

И хотя число нелигитимных НПА в нашей области постоянно сокращается, все-таки стоит смотреть, насколько требования по принятию и регистрации НПА соблюдены.

Например, требования по импортозамещению ПО и железа, включая средства защиты, у коммерческих компаний (с госами ситуация иная).

Или требования по защите ПДн.

Вот есть у вас требование и оно легитимное и даже проверяющие есть, и они даже прийти могут проверить.

Там и требования, и регуляторы, и право проводить надзор, а вот проверок ноль.

Кто должен заниматься повышением продуктивности пользователей, тратящих время на чтение спама (часто это вешают на operations)?

Речь идет о том, что ИБ в нормальной жизни давно уже вышла за пределы выделенного подразделения ИБ и рассматривать ее необходимо как самостоятельную функцию в рамках всего предприятия.Попробую пояснить на простом визуальном примере.

И, как следствие, многие продолжают эту мысль и считают, что вся ИБ должна быть сосредоточена в службе ИБ.

ИБ на современном предприятии - это то, что пронизывает абсолютно все сферы деятельности компании.

ИБ превратилась (хотя, наверное, она всегда была такой) из набора задач, выполняемых службой ИБ, в функцию, которая должна быть обес…

То есть проект должен был использовать геймификацию, которая начинает набирать у нас обороты, и как новый формат для мероприятий, и как инструмент обучения.

А учитывая, что я про тему геймификации писал уже немало и в моей коллекции есть немало примеров игр по ИБ, мое участие в этом проекте было вполне логичным.

Alias - это такая простая игра на ассоциации - один участник пытается объяснить записанное на карточке слово, а другие игроки пытаются его угадать.

Cybersecurity Alias, соответственно, - это игра, в которой надо было объяснять термины и слова, связанные с кибербезопасностью.За кажущейся простотой этой идеи скрывается, на самом деле, очень много интересного.

Если вдуматься, то словар…

Как-то кучно зашло... Первая статья посвящена теме измерения эффективности SOC, метрикам и т.п.

Пока опубликована первая часть , в которой я рассмотрел различные временные метрики, используемые в SOC.Вторая статья тоже про SOC, но уже с другой точки зрения.

Этот материал тоже не вместился в рамки одной статьи, поэтому редакция "BIS Journal - Информационная безопасность банков" также решила разделить ее на части.

На что обращать внимание при переходе с точки зрения технологий, процесса, культуры удаленной работы, контроля эффективности, законодательства и т.п.

Первые две части были опубликована на Хабре ( тут тут ), а третью, спустя пару месяцев, опубликовал уже на IT-World.

По приглашению выступал на GDPR Day , собравшем около тысячи человек онлайн (очень хороший результат), и на котором я рассказывал о том, как технически защищать персональные данные в соответствие с ФЗ-152 и GDPR.

Выкладываю презентацию:Заодно выложу и ссылки из нее:

И Газпром и небольшую котельную, и РЖД и курьерскую службу, и Сбербанк и микрофинансовую организацию или ломбарж.

Все используемое на ОКИИ ПО и железо должно быть включено в реестр отечественного или евразийского ПО или реестр радиоэлектронной продукции.

Потом надо провести анализ требований Правительства по переходу на отечественное ПО и железо, поискать аналоги и оценить сроки амортизации используемого оборудования и сроки действия прав на ПО.

После проведения анализа из пункта выше список используемого и планируемого ПО и железо должен быть согласован с Минцифрой и Минпромторгом (а могут ведь и не соглассовать).

Он хоть и не понимал ничего в объекте регулирования, но и не лез туда особо …

Например, может оказаться так, что аналитики перегружены инцидентами и не успевают их отрабатывать, что приводит к переполнению очереди и нарушению установленного SLA.

Посколько аналитиков второй линии в SOC обычно меньше (бывают исключения) и они дороже обходятся компании, то их избыточная нагрузка может негативно сказаться на показателях работы SOC.

Учитывая возраст аналитиков в этом SOC и некий соревновательный дух среди его состава, такая геймификация позволила улучшить показатели реагирования на инциденты (без снижения его качества).

Либо речь идет о непонимании реальной работы SOC, в котором время принятия инцидента в обработку может составлять минуты (пока прилетит сигнал тревоги в S…

По прошлой заметке , посвященной дашборду оценки персонала в SOC, в одном из закрытых чатиков по SOCам возник вопрос относительно верхнего крайнего правого прямоугольника (KPI) с показателем по обучению.

Мол, он не был раскрыт на дашборде кроме последнего блока по квалификации аналитиков разных подразделений SOC.

Если вдуматься, нас интересует не просто число обученных сотрудников (если мы не для галочки измеряем этот показатель) и рейтинг провайдеров обучения, но и понимание, насколько в лучшую сторону меняется эффективность и результативность аналитиков после обучения.

Иными словами, мы хотим понимать, обучение меняет что-то в деятельности сотрудников SOC или нет?

Тогда можно добавить сле…

Вообще, карточные игры по ИБ - это то, что делается достаточно легко и быстро.

И вот часть из них была посвящена геймификации, а точнее различным примерам онлайн и не очень игр в области кибербезопасности.

Несколько примеров онлайн-игр по ИБ.

Каждый год ИТ-департамент Университета Техаса, в рамках национального месячника ИБ, подготавливает новые игры по ИБ для своих сотрудников и студентов.

Среди других примеров карточных ИБ -игр я бы упомянул:

ExcelПродолжим про дашборды в SOC и посмотрим на достаточно редкий пример, а точнее на кадровой вопрос SOC.

В случае с кадрами, что может интересовать руководителя SOC или руководителя служб ИБ, в состав которой входит SOC?

Я не буду подробно расписывать, как считать eNPS (это несложно), но на дашборде у нас будет примерно такая картина.

Это плохой знак и с ним надо будет что-то делать.Еще один показатель, пришедший к нам из западного менеджмента, - это абсентеизм.

Но это уже выходит за рамки статьи, в которой я хотел показать, что прежде чем мы зададимся вопросом о том, какие дашборды мне нужны в SOC, стоит задать иной вопрос - что меня волнует в SOC?

В целом, эти метрики неплохи, если мы знаем, зачем они нам и что мы хотим сделать на их основе.

Начинается все с прототипа, который постепенно доводится до состояния инструмента, помогающего принимать решения, а не "картины, закрывающей дырку в стене".

Чтобы дашборд "попал" в нужную аудиторию - надо понимать, что мы хотим (и хотим ли) и что она хочет?

Чтобы дашборд "попал" в нужную аудиторию - надо понимать, что мы хотим (и хотим ли) и что она хочет?

Но я там уже недавно публиковал одну заметку про SOC на удаленке и не могу сказать, что она была воспринята положительно.

Но это мы уже определили раньше, когда говорили о возможностях нарушителя.

Зачем нам еще городить огород со сложностью реализации угрозы, и так усложняя непростую методику?

Кстати, в одной из прежних редакций проекта методики ГОСТ 18045 использовался, но от него потом отказались.

Это на этапе эксплуатации опасность определяет приоритет мер защиты, а на этапе проектирования - определяет наиболее уязвимые компоненты ИС.

Как и предполагалось уровень сложности реализации угрозы - это тоже самое, что и уровень возможностей нарушителя; один в один.

Тактический, описывающий как раз тактики и техники, то есть то, чему посвящен основной блок методики ФСТЭК.

А самое неприятное, что и сопоставление TTP ФСТЭК и MITRE очень сложно реализовать, так как у нас постеснялись признать применение общепринятой методики и решили "пойти своим путем".

Так и ФСТЭК могла бы поступить.При этом ATT&CK - это не про моделирование угроз, это про понимание конкретных действий, совершаемых киберпреступниками.

Согласно нему угрозой считается совокупность ранее определенных:То есть оформление этого множества превратит специалистов по моделированию угроз в апологетов супрематизма.

Большинство компаний будет не в состоянии оформить даже одну угрозу, не говоря уже о…

I have prepared my GDPR Implementation Toolkit! It is available for my followers on Patreon:GDPR Short Assessment Template - https://www.patreon.com/posts/gdpr-short-30630519Data Protection Scope (template and example) - https://www.patreon.com/posts/data-protection-32496303GDPR Implementation Roadmap - https://www.patreon.com/posts/gdpr-roadmap-33173554The DPO's first 90 days checklist - https://www.patreon.com/posts/dpos-first-90-34493733List of GDPR documents - https://www.patreon.com/posts/list-of-gdpr-30630426Privacy Information Management System (PIMS) documents by ISO 27701 - https://www.patreon.com/posts/privacy-system-30748394GDPR RACI chart - https://www.patreon.com/posts/gdpr-rac…

В этом месяце я опубликовал на Патреоне (платная подписка) большую презентацию с обзором стандартов и "лучших практик" по управлению информационной безопасностью при взаимодействии с поставщиками - https://www.patreon.com/posts/36989990И еще несколько майндкарт по отдельным документам и подходам:NIST Supply Chain Risk Management - https://www.patreon.com/posts/36769458COBIT 2019 APO10.Managed Vendors - https://www.patreon.com/posts/36765092ISF SGP 2020. Supply Chain Management - https://www.patreon.com/posts/36730264ISO 27036 Information security for supplier relationships - https://www.patreon.com/posts/36357822

Моя презентация про использование RACI матрицы для распределения ответственности за внедрение и поддержание процессов соответствия GDPR, которую я сегодня рассказывал на конференции GDPR Day, доступна подписчикам моего Патреон - https://www.patreon.com/posts/37176801

Недавно ISACA анонсировала новую программу сертификации для специалистов по ИБ, а точнее, по privacy - Certified Data Privacy Solutions Engineer (CDPSE), которая будет доступна со следующего года. Для подтверждения нужно будет сдать экзамен, подтвердить необходимый опыт и ежегодно отчитываться о часах CPE (непрерывное обучение).От специалистов потребуются знания по 3м доменам: Privacy Governance, Privacy Architecture и Data Cycle. Подробнее представил информацию в виде майндкарты (в pdf и xmind доступна на Патреоне):А пока сертификация только набирает популярность, есть хорошая возможность для специалистов с опытом получить сертификат без экзамена. Для этого надо соответствовать критериям:H…

В апреле я подготовил и выложил на Патреон две большие презентации с разбором важных тем по обработке и защите персональных данных в контексте GDPR. 1. "GDPR and Personal Data Transfers". 30 слайдов про передачу ПДн между организациями и особенности трансграничного обмена данным.2. "GDPR and Security", это обновленный и сильно расширенный вариант моей старой презентации про требования информационной безопасности (был 21 слайд, стало 81).Если тема вам близка и интересна, то подписывайтесь на мой Патреон и получите доступ ко всем презентациям, майндкартам, чек-листам и шаблонам документов по управлению информационной безопасностью...

Сегодня принял участие в виртуальной встрече специалистов по обработке и/или защите персональных данных, которую проводили мои друзья из RPPA и KPMG. На ней совсем кратко (у меня было всего 15 минут) рассказал про самые важные различия в подходах к работе с ПДн в России и Европе. Держите презентацию: Data protection RU vs EU from Andrey Prozorov, CISM Если со slideshare сложности, то можете скачать презентацию в ВК - https://vk.com/wall-153623342_3600Ну, и еще посмотрите мою январскую заметку на эту же тему "Различия в подходах к обработке и защите ПДн в Европе и России", там таблица и дополнительные комментарии.

Посмотрел на новый проект методики моделирования угроз безопасности информации от ФСТЭК России. Документ интересен в качестве методического, из него можно взять много полезных идей и моделей (например, сам процесс моделирования угроз, примеры негативных последствий, виды нарушителей и их возможности, тактика нарушителей).Но проблема в том, что предполагается, что он будет обязательным для широкого списка ИС:"Методика определяет порядок и содержание работ по моделированию угроз безопасности информации, включая персональные данные, в информационных (автоматизированных) системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, в том числе отнесенных к объектам…

Наконец-то удалось выделить достаточно времени для вдумчивого изучения книг COBIT 2019. На текущий момент комплект состоит из 4х базовых (COBIT® 2019 Framework: Introduction and Methodology, COBIT® 2019 Framework: Governance and Management Objectives, COBIT® 2019 Design Guide: Designing an Information and Technology Governance Solution, COBIT® 2019 Implementation Guide: Implementing and Optimizing an Information and Technology Governance Solution) и дополнительной книги Implementing the NIST cybersecurity framework using COBIT 2019.Как и прошлые редакции методологии COBIT ее крайне полезно использовать для управления ИТ, и довольно удобно (после некоторой адаптации) применять и для управлен…

Кратко подведу итоги ведения страницы на Патреон (доступ к контенту по платной подписке) за 1й квартал 2020 года. Это вторые 3 месяца моей активности на этой платформе, про итоги первых трех я писал в заметке тут.1. Наличие подписчиков очень меня дисциплинирует, за первые 3 месяца года я подготовил и опубликовал следующие материалы:ISO 27001 Mindmap. Майндкарта по стандарту ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements.Evolution of Data Protection Law in Europe (with short description). Краткая история развития privacy в Европе, требуется для подготовки к экзамену CIPP/E.CIPP/E Resource List (for the exam preparation…

Опубликовал на Патреоне 3 майндкарты с основными положениями Privacy Operational Life Cycle, соответствующие второй одноименной секции материалов для подготовки к экзамену CIPM. Майндкарты крайне полезны и для подготовки к экзамену (это материалы из официального гайда) и для понимания того, как выстраивать процессы обработки и защиты ПДн в организации... Ссылка для подписчиков - https://www.patreon.com/posts/cipm-privacy-35142365

Опубликовал на Патреоне 3 майндкарты с основными положениями Privacy Program Governance, соответствующие первой одноименной секции материалов для подготовки к экзамену CIPM. Майндкарты крайне полезны и для подготовки к экзамену (это материалы из официального гайда) и для понимания того, как выстраивать процессы обработки и защиты ПДн в организации...Ссылка для подписчиков - https://www.patreon.com/posts/cipm-privacy-34901536

Пересмотрел и обновил свой перечень полезных ссылок по GDPR и выбрал 5 самых важных (которые сам регулярно использую), держите:https://gdpr-text.com - постатейный текст GDPR с возможностью открытия до 3х языков одновременно (втч и русский)https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_en - все официальные рекомендации EDPB и WP29https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr - детальный гайд по GDPR от ICOhttps://iapp.org/news - новости по privacy от IAPPhttps://www.patreon.com/AndreyProzorov/posts?filters%5Btag%5D=GDPR - мои шаблоны и майндкарты по GDPR на Патреоне (ак…

К сожалению, нашей цивилизации не удалось быстро справится с проблемой коронавируса COVID-19, поэтому стоит ориентировать на изменение подходов к ИБ в России и Мире.Спецпредставитель президента РФ по вопросам цифрового и технологического развития Дмитрий Песков свои комментарии уже дал: "На IT-отрасль, я думаю, что в целом (влияние - ред.) нейтральное, потому что будут позитивные факторы и негативные. Негативные факторы - они понятны, общеэкономические, но для IT-отрасли мы ожидаем резкого роста капитализации и востребованности в области онлайн-образования, медицины, корпоративной связи. Акции этих компаний пойдут вверх в ближайшее время, долгосрочный эффект будет положительный", - сказал о…

На прошлой неделе посетил IAPP Helsinki KnowledgeNet (собрание членов IAPP), на котором выступал Trevor Hughes (President and CEO of the IAPP) с обзором общих тенденций по privacy в Мире. Отметил для себя некоторые мысли, держите:Про IAPP. Организация насчитывает более 55 000 членов в 120+ странах. Всего в Мире более 150+ представительств (chapters), финское насчитывает более 400 членов и входит в TOP10 по количеству.Про сертификации IAPP. Организация выдала более 25 000 сертификатов специалистов по privacy (CIPP, CIPM, CIPT). Самая популярная сертификация - CIPP-E, ее получили более 10 000 человек (и я в том числе, смотрите мою заметку об этом).Законодательство в Мире. Рекомендуется присма…

Коллеги из финской компании NIXU, про чью отличную игру по ИБ я недавно писал в блоге (Nixu hACME social engineering playing cards), выпустили еще один набор полезных карточек - Nixu CyberBogies. Этот набор используется для проведения брейншторма по выявлению и анализу потенциальных источников угроз ИБ (по сути, модель нарушителя).Cyber Bogies help you identify cybersecurity threats from the systems you are protecting.Скачать карточки и посмотреть дополнительную информацию можно тут - https://github.com/nixu-corp/NixuCyberBogies и тут - https://www.nixu.com/blog/gamify-your-threat-modeling-nixu-cyber-bogiesP.S. Отдельно отмечу, что преступника, специалиста по вредоносному ПО из Восточной Ев…

Сформулированный для краткости немного в вольной форме вопрос в теме этого поста развернуть можно так:Необходимо ли организации получать лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации в случаях, когда организация осуществляет лицензируемый вид деятельности для собственных нужд?

Вопросу не один год, найти на него ответ можно и в законодательстве и в других источниках, но мне понравилась формулировка коллег из УЦСБ, с которыми этот вопрос недавно обсуждали.

Официальный ответ зафиксирован в Постановлении Правительства РФ №79 от 03.02.2012 «О лицензировании деятельности по ТЗКИ», а неофициальный звучит так:Те пункты, где фигурируют « работы » — нужна лиц…

На сайте используется куки для наилучшего представления.

Если Вы продолжите использовать сайт, это будет означать, что Вас это устраивает.

Принятые в конце прошлого года поправки в Федеральный закон «Об электронной подписи» в числе прочего уточняют порядок проверки реальности личности обратившегося в Удостоверяющий центр.

Конкретно в описываемом мной случае оказалось, что для начала полноценной работы необходимо… в течение суток предоставить селфи руководителя с паспортом в руках.

Собственно, это мной для удобства чтения те, кто собрался что-то делать с селфи с паспортом, названы УЦ, Оператор и Сервис.

Могу предположить, что есть некий внутренний регламент УЦ, по которому его партнёры (центры регистрации) могут принимать заявления, но при этом обязаны сфотографировать заявителя с паспортом в руках.

Схема движения селфи с паспо…

№3960 — программное обеспечение Veeam Availability Suite (версия 9)Соответствует требованиям документов: ТУСертифицировано решение для виртуализации рабочих мест от Huawei.

№4181 — программное изделие Kaspersky Managed Protection Infrastructure on PremiseСоответствует требованиям документов: Требования доверия(4), ТУРешение от Позитив Текнолоджиз для ИБ АСУ ТП.

№4183 — защищенный программный комплекс 1С:Предприятие 8sСоответствует требованиям документов: РД НДВ(2), ТУСоответствует требованиям документов: РД НДВ(2), ТУ №4198 — программное обеспечение OpenText Documentum 16.4Соответствует требованиям документов: ЗБСоответствует требованиям документов: ЗБ №4201 — программное обеспечение IBM Ma…

У компании Qualys есть хороший бесплатный онлайн-сервис по анализу конфигурации SSL любых веб-серверов в Интернете: SSL Server Test.

Дабы не приводить в посте детальные скриншоты по каждому из 30 номинантов, свёл их в таблицу.

В конце концов, задача упомянутых выше сайтов — лишь представлять компанию-владельца, и вряд ли какие-то существенные данные, кроме разве что электронной почты в формах обратной связи, с их помощью собираются и обрабатываются.

С другой стороны, корректная настройка сайта для получения A+ и тем более А настолько несложная, что даже у меня это получилось сделать для собственного сайта ZLONOV.ru.

Рейтинг сайта ZLONOV.ru при сканировании Qualys SSL LabsКстати, на сайте Qu…

Не могу сказать, что на рынке есть недостаток курсов по ИБ АСУ ТП, хотя, конечно, тематика КИИ и 187-ФЗ частично растворила в себе тему безопасности промышленных систем.

Поэтому для сохранения чистоты специализации в перечень курсов ниже не стал включать те, которые одновременно посвящены безопасности значимых объектов КИИ и заодно АСУ ТП — мне представляется методологически некорректным так смешивать темы (подходы для ГИС, ИСПДн и АСУ ТП всё же различаются).

Также не стал рассматривать всё, связанное с повышением осведомлённости, хотя в первом абзаце и упоминал этот тип обучения.

Собственно, вот что в итоге получилось.

также Курсы по 187-ФЗ и безопасности КИИ — в некоторые из них включены …

Спустя полгода после прошлой публикации пришла пора обновить списки чатов и каналов по информационной безопасности и близким тематикам.

Начну с чатов.

Всего же сегодня в списке 38 чатов (из итоговой версии списка исключил чаты с числом участников менее 100).

Для каналов пока нижнюю границу для отсечки не стал устанавливать, но в следующий раз точно введу.

Если знаете ещё что-то подходящее по теме — пишите в комментариях или другим удобным способом.

Не смею нарушать традицию и завершаю очередной уходящий год подборкой самых популярных постов за прошедшие 12 месяцев.

Согласен, многовато что-то про КИИ =) Но, куда деваться — тема актуальная и интересная многим (в Telegram-чате КИИ 187-ФЗ, например, число участников уже 3000 превысило).

В 2019 году кроме курсов, постов, докладов, дайджестов и проч.

по КИИ сосредотачивался ещё на одной узкой теме: Аутентификация, биометрия, электронная подпись, основной площадкой для которой выбрал сеть ВКонтакте.

2020-ый, как известно, будет високосным, так что у нас всех будет на целый день больше для реализации своих планов!

Примерно с середины уходящего года творческий коллектив авторов в лице меня выпускал еженедельные Дайджесты по теме безопасности критической информационной инфраструктуры.

Всего за это время вышло 25 Дайджестов, включая самый свежий сегодняшний.

Общее число подписчиков на сегодня превышает уже полторы сотни человек, но и дальше продолжает расти, поэтому решил поделиться подборкой ссылок на все выпущенные Дайджесты, чтобы у всех была возможность ознакомиться с прошлыми выпусками.

На мой взгляд — неплохая получилась коллекция ссылок на материалы по КИИ и ГосСОПКА.

Подойдёт как для первичного знакомства, так и для глубокого погружения в тематику.

Ранее в блоге уже публиковал подборку курсов по 187-ФЗ и безопасности КИИ и даже пару раз её обновлял.

П. Г. Демидова объявил о возможности пройти очно-заочное обучение с применением дистанционных технологий по пяти программам повышения квалификации.

Итоговое тестированиеСам курс во многом состоит из текстового цитирования нормативно-правовых актов, не сопровождается ни голосом, ни видео, ни (почти) изображениями.

По завершении обучения Обучающийся, успешно освоивший образовательную программу и прошедший итоговую аттестацию, получает документ о квалификации установленного образца в соответствии со ст.

Тест лёгкий, поэтому почему бы не воспользоваться простой возможностью бесплатно пройти пр…

Пару советовТеперь я Клауд Практитионер!100 минут (сдал минут за 50)65 вопросов90 евро~неделя подготовки, но на экзамене пришлось понервничать.

Лучше, конечно, не рисковать и потратить месяц.Все в облако, ну и я в облако.

).Подходы Amazon к миграции данных, много финансовых вопросов про стоимость сервисов.Я не могу сказать, что сертификация расчитана на какою-то конкретную роль.

Могу предположить, что такая политика увеличивает продажы за счёт перездач.Очень много было вопросов с несколькими правильными ответами (выбери два-три из них).

Вероятность угадать 2 из 5-ти существенно ниже, чем 1 из 4х (0.11 против 0.25).В целом, конечно, экзамен базовый, проходной и опциональный, если ваша цель A…

И если в доХДшном мире это, по сути, уже свершилось, то HD/4k/8k контент пока ещё держится за счёт торрентов (у нас и в Европе) и юзнетов (штаты).Сегодня стримминг выигрывает, в основном, за счёт удобства.

Периодически приложение Radarr, установленное в Docker на домашнем NASe, синхронизируется с IMDB.

если его нет, Radarr скачает 1080p, а когда 4к релиз выйдет - перекачает и заменит HD на 4к5.

Через него можно управлять и Radarr и qBittorrent7.

Помогает мой docker-compose Jackett позволяет интегрировать все ваши торрент-треккеры в одном окне.Это удобноЧтобы нормально работала интеграция с Radarr нужно поставить галку "strip russian letters", т.к.

Тогда запускать питоновские скрипты можно сразу из павершела (хот-кей WIN+X и сразу "i" или "a" для админа).Код пишу я в SublimeText - он бесплатный для некоммерческого использования.

Часто то, что было сложно в Python 2, делается одной строкой в Python 3.

Даже в официальном репозитории могут быть библиотеки с бэкдором.Если нужно общаться питоном по сети - вначале я обкатываю все запросы в Postman 'е.

Пачка скриптов собирает отчеты с разных мест и в 7 утра у меня в ящике одно письмо только с теми цифрами, которые мне интересны (+ история за каждый день в базе данных)- чтобы упростить рутинное обслуживание СЗИ.

Здесь, как и с умным домом - подумай, вначале, что именно и как ты хочешь упрости…

параллельно с работой и сдать сам экзамен, но я халявил - выполнил только часть лаб и практически забил на слайды (чего и вам советую, в экзамене ничего из слайдов нет).

Лабораторки дают по 2 CPE балла, которые можно перезачать в тот же CISSP.Экзамен выглядит примерно так: зайдите в Кали, проNMAPьте сеть, сохраните вывод в файл.

У меня на всё про всё ушло 35 минут, из которых 15 минут я ждал, пока OpenVAS закончит скан.Но формат мне понравился.

Ну не видел я пока ни в одной крупной компании Snort с SecurityOnion.

Каких-либо ценных практических знаний вы, скорее всего, не получите, но представление о мучениях опенсорс ИБшников составите.Другие подобные статьи: Сдал CEH

Domain fronting весьма любопытная техника обхода сетевых средств мониторинга, которая эксплуатирует особенности современной архитектуры крупных интернет узлов (Google, Amazon...). Домеин фронтинг использовал Тор, использовал Телеграмм чтобы мимикрировать свой трафик под гуглозапросы, но лавочку прикрыли. Точнее не прикрыли, а сузили до родных сервисов.В кратце суть такова:Как работает HTTPS:curl -H "Host: " "https://www.host.com/path"Весь пакет HTTP целиком со всеми хэдэрами шифруется. При этом "www.host.com" копируется в открытом виде в SNI header (это, кстати, опционально). Именно SNI хэдэр - это то, что вы видите на файрволе/прокси/DNS если не заглядываете в HTTPS.Если вам нужен любой из…

Типичное применение питона для меня: POST/GET запросы к какому-нибудь серверу или СЗИ.

"Пробить по базе" хэш или айпи, сложить результат в csv файл или отобразить на экране.

Это гораздо удобней сделать из командной строки одной строчкой, чем ждать пока загрузится вебконсоль СЗИ и 10 раз повторять одни и те же действия снова снова.

Второе любимое дело для питона - собирать дневную статистику с СЗИ и хранить историю.

Тоже для бэкапа, на всякий случай..Оч люблю моменты, когда можно "покодить по хозяйству": использовать питон для решения повседневных задач.

Например, таким:Запрос должен отработать за пару минут и выдать инфу по всем текущим и уволенным сотрудникам Сбербанка, и это штатная операция.

Именно так AD и работает, и ничего с этим не сделаешь.

Активная Директория - публичное место.Можно запретить доступ на чтение к пользовательским контейнерам - и вы что-нибудь сломаете.

Можно выключить PowerShell на рабочих местах, но это не так просто сделать, ничего не сломав.

Если ты не отсыпешь мне биткоинов, я сообщу твоему начальнику что ты посещал порносайты в рабочее время".

Да, они могут смотреть в HTTPS и искать угрозы в скачиваемых файлах, но только для 0.7% трафика.

#Хотя Umbrella - это просто DNS сервер, вам нужен толстый клиент на мобильных станциях, так как Umbrella использует протокол eDNS / DNSCRYPT для идентификации клиентов.

Кстати eDNS поля в каждом пакете уверенно идентифицируют вас в общем потоке DNS траффика ;)Сам протокол DNS не сохраняет адрес источника запроса.

Неизвестные DGA домены Umbrella детектит только как "Newly seen domains", куда попадает масса всего легитимного, поэтому Cisco сама рекомендует не блокировать эту категорию.

Трафик на любой другой порт будет просто дропаться.Если вы ждёте, что Umbrella расскажет вам почему тот или иной …

Прилетело на него 20 атак - ИДСка создала 20 ивентов, несмотря на то, что сервер выдал 404 на каждую попытку.

К сожалению, ни одно правило Cisco не сконфигурировано таким образом, чтобы сохранять ответы сервера.

В самом низу добавляем опцию и сохраняем новое правилоБлагодаря ей 3 следующих пакета в течении одной сессии будут сохранены в pcap.

Теперь нужно сходить в настройки Intrusion Policy ( Policies > Access Control > Intrusion, затем выбрать нужную политику и кликнуть "карандашик" ), найти старое правило и выключить, найти новое правило и включить5.

Закомиттить изменения и задеплоить политику на устройствоРаботает :)Теперь о недостатках - редактировать правила в Cisco IDS нельзя, каждый…

Рекомендации, в целом, стандартны - выделенная система для привилегированного доступа.

Необычно тут то, что система с максимальным уровнем доступа (например enterprise admin) - это физический ПК, а менее привилегированные системы - это ВМ.

Обычно всё наоборот: компьютеры используются для повседневных задач, а для админского доступа подгружают защищённую ВМ, но это не спасает от атак уровня гипервизора и кейлоггеров.

Откройте powershell на вашем корпоративном ПК и запустите такой командлет ( RSAT должны быть установлены ):Get-LocalGroupMember -name Administrators |?

Полезно так же составить лист таких учёток, добавить туда VIP и почтовые ящики , подгрузить список устройств из CMDB и скормить…

AV stands for "another vulnerability"Конечно, все об этом знают (а кто не знает - тот догадывается), но ваш антивирус работает не на вас.

Можно было сидеть и смотреть как прилетают события в консоли управления по мере начала рабочего дня в разных часовых поясах, а поделать ничего было нельзя.

SLA у поддержки вендора в таких случаях обычно "best effort".Началось все с того, что у разработчиков возникли проблемы с использованием доверенного сертификата в MS VisualStudio, поэтому они решили использовать самоподписанный сертификат для подписи кода.

МакАфии нельзя забирать файлы из корпоративной сети, можно только проверят хэши в облаке (кстати делает он это через DNS.

Одумались.Конечно, когда р…

внутри DDE ссылкаЕсли кликнет "yes" ссылка запустится и мелькнет окно браузераПо ссылке завёрнутый в base64 обфуцированный powershell скрипт,который отключает логирование и загружает закодированный руткит.

Агент находится целиком в памяти, на диск ничего не записывается, поэтому традиционные антивирусы его не заметят.Полностью пропатченный Windows 10 x64 со свежим топ5 антивирусом ничего не заметит.

Сетевые средства безопасности будут молчать (все хосты, юзер-агенты и сетевые пакеты белые и пушистые).

Сетевые фаил-сканнеры (типа Cisco AMP) даже если и умеют смотреть в HTTPS траффик, то ничего там не увидят т.к.

Промежуточные сервера и с2 могут подниматься скриптами и меняться несколько раз …

Идёт на ЛинкедИн, покупает премиумакк и собирает ящики сотрудников организации, фильтрует сотрудников ИБ, отмечает HR.HR - лучшая маскировка.

Лучше всего мимикрировать под стиль служебных писем: уведомлений от ITSM системы, почтового сервера, мессенджера, корпоративного портала и т.д.

Стэк корпоративных технологий легко вычислить по анкетам ИТ сотрудников на LinkedIn.Ну или можно использовать шаблоны от MS Office365.

Там не густо, но и, конечно, не пусто).К счастью, чтобы не быть съеденным медведем не нужно бежать быстрее всех, нужно бежать не последним.

Многофакторная аутентификация сделает вас чуть более сложной целью (тут есть свои подводные камни ), и фишеры переключатся на 80% других к…

И запишите в них все имеющиеся у вас контроли / инструменты ИБ.Если превентивных контролей у вас >80% - поздравляю, ваш уровень 0.

В далеком 2003 Гартнер предрёк гибель IDS в пользу IPS.Спустя 14 лет роль IDS почти невозможно преуменьшить.

Скажи мне, как у тебя настроена IDS, и я скажу кто твоя служба ИБ.Конечно, IDS должна стоять в разрыв и блокировать 100% вредоносную активность, но количество правил Prevention и Detection обычно отличается на порядок.

А куда нам нужно смотреть чтобы в следующий раз поймать нарушителя на ступеньку раньше?Переход к детектированию угроз повлечет за собой увеличение штата ИБ.

Наш мозг вообще очень любит охоту и благодарит за нее солидной порцией эндорфинов.О…

Я согласен, но вот не представляю себе сколько сил надо потратить на разворачивание и поддержку этого хозяйства.

Хорошее делоИскать неизвестные девайсы можно с помощью скрипта, который дампит CAM таблицы маршрутизаторов и парсит MAC адреса по вендорам.

SANS - самый уважаемый институт повышения квалификации в мире ИБ с соответствующими понтами и ценником.

В Америке он уже давно съел весь рынок, поэтому в последнее время вектор развития направлен на Европу и Азию.

Можно пройти в слепую, можно использовать подсказки (Daily NetWars это не соревнование.

pwncat — netcat на стероидах с возможностью обхода фаерволов/IDS/IPS, сканированием портов, гибкими возможностями для бэкконнектов и другими фишками. https://github.com/cytopia/pwncat https://hakin9.org/pwncat-netcat-on-steroids-with-firewall-ids-ips-evasion-bind-and-reverse-shell-self-injecting-shell-and-port-forwarding-magic-and-its-fully-scriptable-with-python-pse/

Slack Watchman — поиск чувствительной информации в вашем рабочем пространстве Slack с помощью API: расшаренные скрытые каналы, секреты, ключи, банковские карты, сертификаты и пр. https://github.com/PaperMtn/slack-watchman

GitHub на своей онлайн-конференции Satellite анонсировали несколько интересных нововведений. 1. Функция сканирования кода на базе CodeQL теперь может быть включена по-умолчанию, но только для открытых репозиториев.

2. Сканирование секретов (чувствительной информации) стало доступно для частных репозиториев.

3. Анонсировали GitHub Private Instances, сервис для корпоративных клиентов, позволяющий запускать инстансы GitHub у себя в частном облаке, включающие расширенные требования безопасности и комплайнса. Цен еще нет.

4. Показали бета-версию своей IDE для совместной разработки, основанную на Visual Studio Code Online - GitHub Codespaces. Пока бесплатно.

5. Анонсировали новый раздел GitHub Di…

На экзамены Palo Alto PCCSA, PCNSA и PCNSE сейчас действует скидка в 50% по промокодам PANWOP50 (для нескольких экзаменов) и PANW50WEB (для одного). Экзамен нужно запланировать до 30 июня, а сдавать можно онлайн дома при наличии камеры и микрофона, правда придется поставить еще спец. ПО, которое позволит экзаменаторам убедиться, что вы честны. Особые умельцы сообщают, что коды можно суммировать и тем самым получить один полностью бесплатный экзамен. Стоимость PCNSE, например, составляет 160$. https://www.paloaltonetworks.com/services/education/certification

PowerShell всегда был отличным инструментом для получения информации о системе, а с недавних пор стал мощнейшим инструментом для пост-эксплуатации и даже был включен в дистрибутив Kali. На сайте Offensive Security вышел материал про получение PSSession из под WIndows и Linux, а также возможность получения reverse shell. https://www.offensive-security.com/offsec/kali-linux-powershell-pentesting/

Релиз YARA 4.0.0 https://github.com/VirusTotal/yara/releases/tag/v4.0.0

https://yara.readthedocs.io/en/stable/

0day в механизме аутентификации "Sign in with Apple" на 100 000$. https://bhavukjain.com/blog/2020/05/30/zeroday-signin-with-apple/

Все мы любим свеженькие Proof of Concepts, но часто ли мы проверяем их код перед эксплуатацией, хотя бы бегло? Очень увлекательный материал, где исследователь выложил на GitHub несколько "фейковых" PoC под разные CVE, которые при эксплуатации во время полезной нагрузки отбивали на его C&C-Honeypot, и возвращали ответ, создавая иллюзию, что эксплуатируемый находится на уязвимом хосте. Какого было удивление, когда интерес к PoC на GitHub начал распространяться по всему интернету, а на Honeypot посыпались первые данные. Понятно, что сработало это не для всех, но ситуация очень забавная и лишний раз демонстрирует неосторожность и некомпетентность многих представителей разноцветных шляп. https:/…

Ubiquiti ТОП за свои деньги?

Ребята из Positive Technologies прямо сейчас рассказывают про внутрянку PHDays, и в частности про то, как изнутри устроен Standoff. https://www.youtube.com/watch?v=0T6WI1Jbm9A

Помните материал про , где автор рассказывал об унификации процесса обмена и реагирования на угрозы ИБ, с привязкой к MITRE ATT&CK? Сегодня я хочу вам рассказать об одном проекте под названием Atomic Threat Coverage. Ребята подружили Atomic Red Team, предназначенный для проведения автоматизированных тестов, имитирующих действия RedTeam, с проектом Sigma и их правилами обнаружения угроз, обвязали все это вокруг MITRE ATT&CK, прикрутив туда аналитику и визуализацию. Т.е по факту вы получаете собственную структурированную базу знаний, с возможностью загрузки/выгрузки как публичной, так и собственной аналитики, и все это с наложением на самый популярный рабочий фреймворк от MITRE. Недавно они з…

OWASP спустя 6 лет (только вдумайтесь где был вебчик 6 лет назад и сейчас!) наконец обновило свое руководство по тестированию безопасности веб-приложений — OWASP Web Security Testing Guide v4.1. Из основного — обновили внешний вид, добавили несколько новых разделов и уже набросали план для будущей 5 версии документа. Правда несмотря на то, что сейчас документ неплохо обновили, фундаментальных изменений все таки стоит ждать только в следующей версии руководства. https://owasp.org/www-project-web-security-testing-guide/

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School and a board member of EFF.

This personal website expresses the opinions of neither of those organizations.

Half a Million IoT Passwords LeakedIt is amazing that this sort of thing can still happen:...the list was compiled by scanning the entire internet for devices that were exposing their Telnet port.

The hacker then tried using (1) factory-set default usernames and passwords, or (2) custom, but easy-to-guess password combinations.

Default passwords?

We have a long way to go to secure the IoT.

Posted on July 8, 2020 at 6:41 AM • 0 Comments

IoT Security PrinciplesThe BSA -- also known as the Software Alliance, formerly the Business Software Alliance -- is an industry lobbying group.

They just published "Policy Principles for Building a Secure and Trustworthy Internet of Things."

Offering incentives for integrating security.

Establishing regularly updated baseline security requirementsAs with pretty much everything else, you can assume that if an industry lobbying group is in favor of it, then it doesn't go far enough.

And if you need more security and privacy principles for the IoT, here's a list of over twenty.

ThiefQuest Ransomware for the MacThere's a new ransomware for the Mac called ThiefQuest or EvilQuest.

It's hard to get infected:For your Mac to become infected, you would need to torrent a compromised installer and then dismiss a series of warnings from Apple in order to run it.

It's a good reminder to get your software from trustworthy sources, like developers whose code is "signed" by Apple to prove its legitimacy, or from Apple's App Store itself.

But if you're someone who already torrents programs and is used to ignoring Apple's flags, ThiefQuest illustrates the risks of that approach.

Given that ransomware is so rare on Macs to begin with, this one-two punch is especially noteworthy.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School and a board member of EFF.

This personal website expresses the opinions of neither of those organizations.

If they wanted to return to their sensitive chats, they switched over to the Encrochat system.

The company sold the phones on a subscription based model, costing thousands of dollars a year per device.

This allowed them and others to investigate and arrest many:Unbeknownst to Mark, or the tens of thousands of other alleged Encrochat users, their messages weren't really secure.

The company also informed its SIM provider, Dutch telecommunications firm KPN, which then blocked connections to the malicious servers, the associate claimed.

Shortly after Encrochat restored SIM service, KPN removed the firewall, allowing the hackers' servers to communicate with the phones once again.

The Security Value of InefficiencyFor decades, we have prized efficiency in our economy.

But inefficiency is essential security, as the COVID-19 pandemic is teaching us.

It's also true for the internet itself, originally designed with extensive redundancy as a Cold War security measure.

Smart regulation addresses the long-term need for security, and ensures it's not continuously sacrificed to short-term considerations.

We need inefficiency -- the right kind in the right way -- to ensure our security.

Securing the International IoT Supply ChainTogether with Nate Kim (former student) and Trey Herr (Atlantic Council Cyber Statecraft Initiative), I have written a paper on IoT supply chain security.

The basic problem we try to solve is: how to you enforce IoT security regulations when most of the stuff is made in other countries?

Selling to U.S. consumers generally requires that IoT manufacturers sell through a U.S. subsidiary or, more commonly, a domestic distributor like Best Buy or Amazon.

The Federal Trade Commission can apply regulatory pressure to this distributor to sell only products that meet the requirements of a security framework developed by U.S. cybersecurity agencies.

That wou…

Google has removed 25 Android apps from its store because they steal Facebook credentials:Before being taken down, the 25 apps were collectively downloaded more than 2.34 million times.

The malicious apps were developed by the same threat group and despite offering different features, under the hood, all the apps worked the same.

According to a report from French cyber-security firm Evina shared with ZDNet today, the apps posed as step counters, image editors, video editors, wallpaper apps, flashlight applications, file managers, and mobile games.

The apps offered a legitimate functionality, but they also contained malicious code.

Evina researchers say the apps contained code that detected …

iOS apps are repeatedly reading clipboard data, which can include all sorts of sensitive information.

While Haj Bakry and Mysk published their research in March, the invasive apps made headlines again this week with the developer beta release of iOS 14.

A novel feature Apple added provides a banner warning every time an app reads clipboard contents.

As large numbers of people began testing the beta release, they quickly came to appreciate just how many apps engage in the practice and just how often they do it.

This YouTube video, which has racked up more than 87,000 views since it was posted on Tuesday, shows a small sample of the apps triggering the new warning.

Friday Squid Blogging: Fishing for Jumbo SquidInteresting article on the rise of the jumbo squid industry as a result of climate change.

As usual, you can also use this squid post to talk about the security stories in the news that I haven't covered.

Read my blog posting guidelines here.

Posted on June 26, 2020 at 3:57 PM • 0 Comments

Interesting research: "Identifying Unintended Harms of Cybersecurity Countermeasures":Abstract: Well-meaning cybersecurity risk owners will deploy countermeasures (technologies or procedures) to manage risks to their services or systems.

In some cases, those countermeasures will produce unintended consequences, which must then be addressed.

Unintended consequences can potentially induce harm, adversely affecting user behaviour, user inclusion, or the infrastructure itself (including other services or countermeasures).

Our framework aims to illuminate harmful consequences, not to paralyze decision-making, but so that potential unintended harms can be more thoroughly considered in risk manage…

We’ve seen an ugly trend recently of tech news stories and cybersecurity firms trumpeting claims of ransomware attacks on companies large and small, apparently based on little more than the say-so of the ransomware gangs themselves.

Such coverage is potentially quite harmful and plays deftly into the hands of organized crime.

Currently, more than a dozen ransomware crime gangs have erected their own blogs to publish sensitive data from victims.

The goal behind the publication of these teasers is clear, and the ransomware gangs make no bones about it: To publicly pressure the victim company into paying up.

Those that refuse to be extorted are told to expect that huge amounts of sensitive com…

The COVID-19 pandemic has made it harder for banks to trace the source of payment card data stolen from smaller, hacked online merchants.

That’s according to Gemini Advisory, a New York-based cyber intelligence firm that closely tracks the inventories of dark web stores trafficking in stolen payment card data.

“Card present data supply hasn’t wavered much during the COVID-19 period,” Alforov said.

That means demand for stolen “card-not-present” data — customer payment information extracted from hacked online merchants and typically used to defraud other e-commerce vendors — remains high.

If not, I know they’re coming.”Tags: Andrew Barratt, Chicken Express breach, Coalfire, COVID-19, Gemini …

Russian President Vladimir Putin pardoned Issachar in January 2020, just hours after Burkov pleaded guilty.

Bukh said he suspects Burkov did not cooperate with the Justice Department investigators apart from agreeing not to take the case to trial.

The Justice Department says Yakubets/aqua ran a transnational cybercrime organization called “Evil Corp.” that stole roughly $100 million from victims.

Also on Friday, the Justice Department said it obtained a guilty plea from another top cybercrime forum boss — Sergey “Stells” Medvedev — who admitted to administering the Infraud forum.

Tags: Alexsei Burkov, Arkady Bukh, CardPlanet, DirectConnection, Infraud, k0ra, Naama Issachar, Sergey Medvedev,…

The government says the defendants built and maintained their IoT botnets by constantly scanning the Web for insecure devices.

Some of the IoT botnets enslaved hundreds of thousands of hacked devices.

The indictments against Sterritt and Shwydiuk (PDF) do not mention specific DDoS attacks thought to have been carried out with the IoT botnets.

On October 21, 2016, an attack by a Mirai-based IoT botnet variant overwhelmed Dyn’s infrastructure, causing outages at a number of top Internet destinations, including Twitter, Spotify, Reddit and others.

Both Mirai co-authors were sentenced to community service and home confinement thanks to their considerable cooperation with the government’s ongoin…

Hundreds of thousands of potentially sensitive files from police departments across the United States were leaked online last week.

KrebsOnSecurity obtained an internal June 20 analysis by the National Fusion Center Association (NFCA), which confirmed the validity of the leaked data.

The BlueLeaks data set was released June 19, also known as “Juneteenth,” the oldest nationally celebrated commemoration of the ending of slavery in the United States.

“Every organized crime operation in the country will likely have searched for their own names before law enforcement knows what’s in the files, so the damage could be done quickly.

That’s not the kind of work the fusion centers do.”Tags: BlueLeaks…

Your email account may be worth far more than you imagine.

The fraudulent tax refund claims made in the names of UPMC identity theft victims caused the IRS to issue $1.7 million in phony refunds in 2014.

However, archived copies of the now-defunct dark web forums indicate those aliases are merely abbreviations that stand for “DearthStar” and “TheDearthStar,” respectively.

In some cases, it appears these DearthStar identities were actively involved in not just selling PII and tax refund fraud, but also stealing directly from corporate payrolls.

In April 2014, KrebsOnSecurity wrote about a spike in tax refund fraud perpetrated against medical professionals that caused many to speculate that one or more major healthcare providers had been hacked.

Tags…

The analysis highlights a shocking series of security failures at one of the world’s most secretive organizations, but the underlying weaknesses that gave rise to the breach also unfortunately are all too common in many organizations today.

What kind of security failures created an environment that allegedly allowed a former CIA employee to exfiltrate so much sensitive data?

Moving too slowly to enact key security safeguards.

“The Agency for years has developed and operated IT mission systems outside the purview and governance of enterprise IT, citing the need for mission functionality and speed,” the CIA observed.

Also, because employees tend to be the most abundant security weakness in an…

Privnote.com (the legit service) employs technology that encrypts all messages so that even Privnote itself cannot read the contents of the message.

But according to the owners of Privnote.com, the phishing site Privnotes.com does not fully implement encryption, and can read and/or modify all messages sent by users.

KrebsOnSecurity has learned that the phishing site Privnotes.com uses some kind of automated script that scours messages for bitcoin addresses, and replaces any bitcoin addresses found with its own bitcoin address.

As you can see, it lists a different bitcoin address, albeit one with the same first four characters the same.

Tags: Allison Nixon, privnote.com, privnotes.com, Unit …

Business Email Compromise is no longer solely the province of chancers and opportunistic Nigerian actors such as the Yahoo Boys.

Organised criminal gangs with a high level of professionalism have seen the opportunity and seized it.

Security researchers at Agari have published a report detailing their investigations into a Russian cybercrime gang they say have stolen millions of dollars from companies in 46 countries since mid-2019.

What makes the report particularly interesting is that the Cosmic Lynx gang is believed to have moved on from their tried-and-trusted techniques of using banking trojans and click fraud malware to generate income into highly professional Business Email Compromise…

All this and much much more is discussed in the latest edition of the “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault, joined this week by investigative journalist Michelle Madsen (or is it Michelle Damsen?

Hosts:Graham Cluley – @gcluleyCarole Theriault – @caroletheriaultGuest:Michelle Madsen – @mishmadsenShow notes:Sponsor: LastPass LastPass Enterprise makes password security effortless for your organization.

LastPass Enterprise simplifies password management for companies of every size, with the right tools to secure your business with centralized control of employee passwords and apps.

Go to lastpass.com/smashing to see why LastPass is the tru…

Graham Cluley Security News is sponsored this week by the folks at LastPass.

LastPass has analyzed over 47,000 businesses to bring you insights into security behavior worldwide.

The takeaway is clear: Many businesses are making significant strides in some areas of password and access security – but there is still a lot of work to be done.

Use of important security measures like multifactor authentication is up, but the continued reality of poor password hygiene still hampers many business’ ability to achieve high standards of security.

Download the free report now to see the current state of password security, access, and authentication around the world – and learn what you can do today to …

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Early last month Ron Eddings and Chris Cochran were kind enough to invite me back on their podcast, “Hacker Valley Studio” – and now the episode has been published!

Find it in your favourite podcast app, or listen below.

Your browser does not support this audio element.

Hacker Valley Studio #75: Losing Graciously with Graham CluleyThanks again to Ron and Chris for inviting me onto their show.

Follow Graham Cluley on Twitter to read more of the exclusive content we post.

Normally the official Twitter account of Russia’s Foreign Ministry’s Crisis Management Centre does not make for the most fascinating read.

Normally @MID_travel simply retweets messages from other Russian government departments or embassies, as it offers advice on how Russian citizens can remain safe abroad.

Anyone interested in purchasing the database is invited to pay the tidy sum of 66 bitcoins (approximately US $499,000).

Russia’s Foreign Ministry’s Crisis Management Centre has since deleted the tweet and posted a follow-up (thankfully translated courtesy of Google), debunking the claims of a data breach.

A database may or may not have been stolen, but there’s no doubt that an official v…

Bleeping Computer reports that over 2000 accounts on the Roblox gaming platform have been hacked……not to make money or steal information, but to support Donald Trump’s re-election as US President.

Hacked Roblox profiles are being modified to read:“Ask your parents to vote for Trump this year!

Affected Roblox users would be wise to change their passwords, and ensure that they are not using the same password anywhere else on the internet.

I don’t particularly love the way that Roblox has implemented 2SV but it’s better than nothing.

Just be sure not to add someone else’s email address to your Roblox account, otherwise they’ll be sent your 2SV security code as well.

So, how can you better protect your Roblox account?

How to enable two-step verification (2SV) for your Roblox accountHaving logged into your Roblox account from a desktop or laptop computer, click on the cog in the upper-right hand corner of the screen and choose “Settings”.

Note that if you haven’t already done so, you will need to give Roblox an email address (and verified it) before enabling two-step verification.

Upon attempting to login, you should have received in your email a message from Roblox containing the temporary verification code.

Instead when you attempt to log into an account protected by 2SV, Roblox will send a code to your email address.

Security experts at Trend Micro report that they have identified eight cities in the USA where online payment portals have been compromised to host Magecart-style credit card skimming code.

Magecart is a family of Javascript malware used to steal credit card details and personal information from unsuspecting internet users as they interact with websites – often as sensitive details are entered to make a purchase.

What makes this type of attack often more serious than a conventional data breach, is that most companies do not store your full credit card details, such as your CVV security code.

Details exfiltrated by the script to a remote server under the hackers’ control included credit card…

Hackers are once again finding unsecured MongoDB databases carelessly left exposed on the internet, wiping their contents, and leaving a ransom note demanding a cryptocurrency payment for the data’s safe return.

As ZDNet reports, ransom notes have been left on almost 23,000 MongoDB databases that were let unprotected on the public internet without a password.

Unsecured MongoDB databases being attacked by hackers is nothing new, of course.

Part of the ransom note, which is in broken English, reads as follows:All of your data is a backed up.

Personally I find it hard to imagine that a criminal hacker would make a GDPR complaint against his victims.

Oh, and we need to talk about squirrels…All this and much more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault, joined this week by John HawesHosts:Graham Cluley – @gcluleyCarole Theriault – @caroletheriaultGuest:John HawesShow notes:Sponsor: LastPass LastPass Enterprise makes password security effortless for your organization.

LastPass Enterprise simplifies password management for companies of every size, with the right tools to secure your business with centralized control of employee passwords and apps.

Go to lastpass.com/smashing to see why LastPass is the trusted enterprise password man…

An anonymous tip-off to BBC News enabled them to watch in real-time as an American medical university attempted to negotiate with the hackers who had infected its systems with ransomware.

As reporter Joe Tidy describes, the University of California San Francisco (UCSF) was attacked by the notorious NetWalker ransomware on the first day of June.

Everytime one organisation decides to pay its extortionists it incentivises malicious hackers to launch yet more ransomware attacks against unsuspecting targets.

The University is now said to be assisting in the FBI’s investigation into the attack, and restoring its affected systems.

One final thought for you all: whose interest is it in to tip-off B…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Иными словами, речь идет о сказке «Али-Баба и сорок разбойников».

Даже не имея изначально злого умысла, он из чистого любопытства вводит пароль, заходит в пещеру и экспроприирует часть обнаруженного внутри имущества.

Так что мораль тут — следует использовать инструменты только из проверенных источников и проверять их на наличие уязвимостей и вредоносных имплантов.

Тот идет в пещеру, внутри забывает пароль, не может выбраться наружу, и в результате вернувшийся атаман отрубает ему голову.

HoneynetАгент помечает крестиком ворота дома Касыма, в котором теперь живет Али-Баба, и идет за своими соратниками, чтобы организовать массированную атаку.

Инструменты для продвинутых атак если и продавались в даркнете, то далеко не всем и за значительные суммы.

Инструменты, разработанные для сложных атак, периодически оказываются если не в свободном доступе, то в свободной продаже; авторы вредоносов все чаще сдают свои разработки «в аренду» по модели Malware-as-a-service; киберпреступные группировки объединяются в своеобразные картели.

Пока вы защищаете компанию от рассылок вредоносов в спамерских письмах и невнимательности сотрудников, для защиты хватает традиционных решений.

Таким образом, мы создали единое автоматизированное решение, обеспечивающее защиту как от массовых, так и от более сложных угроз.

Главное в нем то, что он прост в обращ…

К примеру, уязвимость в смарт-контракте DAO в какой-то момент привела к хардфорку в блокчейне Ethereum — появлению Ethereum Classic.

Так что, если вы обдумываете продажу токенов как способ усилить свой бизнес, мы рекомендуем относиться к этой затее как к выпуску ценных бумаг.

Фишинговые атакиСлава никогда не приходит одна — и как только ваш ICO наберет обороты, ждите нашествия фишеров, мечтающих увести деньги ваших клиентов.

Однако укрепление киберзащиты должно происходить по принципу «когда», а не «если».

При этом важно иметь в виду, что, даже если вы не информированы об инциденте, он мог уже произойти.

Поэтому настало время рассказать и о самых распространенных уловках, при помощи которых они перехватывают контроль над корпоративными учетными записями Office 365.

Как правило, в тексте злоумышленники пытаются надавить на необходимость срочной реакции в надежде, что человек в спешке не заметит нестыковок.

В попытке понять, что случилось, жертва кликнет на кнопку «Ответить в Teams» и попадет на поддельный сайт с формой аутентификации.

По крайней мере, злоумышленники надеются, что человек подумает именно так, и присылают письма, в которых утверждают, что сообщения нельзя доставить из-за ошибки аутентификации.

Поэтому все сотрудники должны с особым вниманием относиться к любой странице, на кот…

Именно поэтому так делать не надо — придумывайте для каждого приложения или сайта индивидуальный пароль.

Как установить надежный пароль на игровой аккаунтИнтерфейсы сервисов отличаются, поэтому универсальной инструкции нет — просто ищите пункт «Изменить пароль» в настройках Steam, Origin, Battle.net или любого другого сервиса.

Каким должен быть сложный пароль, от которого перегреется компьютер злоумышленников?

Придумать сильный пароль не очень сложно, а вот вспомнить его, когда захочется поиграть с друзьями, может быть тяжеловато.

Он и надежный пароль сгенерирует, и сохранит его в безопасном, зашифрованном виде, и подставит в нужное приложение, когда потребуется.

То же самое может случиться, и если замазать этот штрихкод не тем инструментом.

Вот несколько историй о том, как люди сливают в Сеть конфиденциальные данные, даже не задумываясь об этом.

Снимая людей, операторы не обращают внимания на фон — в результате выходит неловкая, а то и опасная ситуация.

Утечка в метаданныхИногда секреты могут скрываться в информации о файле — в метаданных, о которых очень легко забыть.

Как не слить данные по неосторожностиСотрудники, сами того не желая, могут многое рассказать Интернету про вашу компанию и ее тайны.

Кроме того, в Apple предлагают сочетать App Clips с функциями «Вход с Apple» (Sign in with Apple) и, разумеется, Apple Pay.

Стандартный порядок вещей предполагает, что вам надо сначала найти и установить приложение, потом зарегистрироваться в нем и привязать карту оплаты.

В обоих крупнейших магазинах приложений — что в App Store, что в Google Play — уже накопилось по несколько миллионов уникальных программ.

По сути это очень похоже на микродегустации, которые проводят в продуктовых магазинах, или на пробники — в парфюмерных.

И это не удивительно.

И не только потому, что при управлении автомобилем приходится учитывать больше факторов, таких как поведение других водителей.

Обычно в СМИ такие новости подаются с общим настроем «Какой ужас, автомобили уязвимы!» Но на самом деле эти новости следует воспринимать как хорошие — в кои-то веки исследователи заинтересовались проблемой раньше, чем злоумышленники.

Защита для автопилотаОсновную потенциальную проблему для системы ADAS могут представлять уязвимости в различных электронных системах автомобиля.

Она не только исключает вмешательство в работу автопилота, но и обеспечивает надежное разделение процессов электронных систем.

На момент публикации в AVL SFR представили модуль ADAS ECU, которы…

Правильное отношение разработчиков Zoom к безопасности быстро принесло плоды.

Начиная с Zoom 5 все настройки, касающиеся управления участниками конференции, собраны в одном месте.

Владельцы платных учетных записей также могут потребовать, чтобы участники указывали информацию о себе — имя, адрес электронной почты и так далее.

Сквозное шифрованиеНаконец, в скором времени в Zoom появится возможность общаться так, что совсем никто не подслушает — ни посторонние, ни сотрудники сервиса.

Изначально в Zoom планировали предоставить максимальный уровень конфиденциальности только платным подписчикам.

Однако недавно наши эксперты обнаружили довольно опасную инновацию — для эксфильтрации похищенных данных злоумышленники использовали протоколы сервиса Google Analytics.

Как работает веб-скиммингСуть атаки сводится к тому, что злоумышленники внедряют в страницы чужого сайта вредоносный код.

Вероятность, что передача данных Google Analytics будет разрешена в CSP-заголовке интернет-магазина, крайне высока.

С точки зрения сервиса, если вы можете вставить этот код на сайт — значит, являетесь легитимным представителем владельца этого ресурса.

Наши решения и для домашних пользователей, и для малого бизнеса выявляют вредоносные скрипты на платежных сайтах благодаря технологии «безопасных платежей».

Все уязвимости нашлись в библиотеке TCP/IP, которую уже более 20 лет разрабатывает компания Treck Inc. Исследователи назвали эту коллекцию Ripple20.

Тем не менее, с учетом количества затронутых устройств и вендоров, вполне вероятно, что последняя используется в вашей корпоративной сети.

Библиотеку часто применяют в различных IoT-решениях, и в результате среди затронутых IoT-устройств можно найти что угодно — от бытовых и офисных принтеров до промышленных и медицинских устройств.

Эта достаточно сложная цепочка поставок также является и причиной того, что в некоторых устройствах уязвимости не будут закрыты никогда.

Настроить в сети с IoT-устройствами DNS-прокси.

Мошенники в Интернете постоянно пытаются обмануть не только неподготовленных пользователей, но и сотрудников компаний.

Да, бизнес обмануть обычно сложнее, чем бабушку, но и денег за одну успешно провернутую на нем схему злоумышленники зарабатывают больше.

Виды наживкиЗлоумышленникам важно, чтобы вы не просто прочитали его письмо, но и как-то отреагировали на него.

ШифровальщикШифровальщики, как можно догадаться по их названию, шифруют файлы — так, что с последними нельзя работать.

Впрочем, такое может случиться и с большими компаниями — например, у Центрального банка Бангладеш так украли 81 миллион долларов.

Нажав кнопку Скачать антивирус Kaspersky Free, вы можете обнаружить, что загрузили другое защитное решение — Kaspersky Security Cloud — Free.

Давайте поближе познакомимся с новыми возможностями Kaspersky Security Cloud Free.

Чем Kaspersky Security Cloud Free отличается от антивируса Kaspersky Free?

По сравнению с ним Kaspersky Security Cloud Free ушел далеко вперед — это мультиплатформенное решение со множеством функций, способное адаптироваться к вашему стилю жизни.

Также в состав Kaspersky Security Cloud Free входит Kaspersky Password Manager, который поможет сделать все ваши пароли надежными.

Мы часто рассказываем, какое количество угроз в онлайне существует для геймеров: и в пиратках трояны прячутся, и в модах, и в читах.

Это такие специальные трояны, которые заточены под воровство аккаунтов — или в виде логинов с паролями, или в виде токенов сессии.

Например, логины и пароли, записанные в браузере, файлы cookies и просто какие-то файлы с жесткого диска зараженного устройства.

Такие предметы — и возможность их перепродать — есть, например, в World of Warcraft и в Diablo III.

Как защититься от троянов, ворующих аккаунты в игровых сервисахВ принципе защищать аккаунты в игровых сервисах нужно так же, как и все остальное.

Why so serious?

Через некоторое время отдел кадров удаляет фото (снимки экрана здесь и далее частично заретушированы, чтобы не раскрывать реальные имена), но оно упорно возвращается, его опять удаляют, и так происходит еще несколько раз.

В отделе кадров понимают, что намерения у кота самые серьезные, уходить он не хочет, и призывают на помощь веб-программиста — человека, который делал сайт и разбирается в нем, а сейчас его администрирует.

Программист заходит на сайт, еще раз удаляет надоевшего кота, выявляет, что его разместили от имени самого отдела кадров, затем делает предположение, что пароль отдела кадров утек к каким-то сетевым хулиганам, и меняет его.

Кот больше не появляется.

Sniffer URL;Payment gatewayhttp://reactjsapi.com/react.js;Authorize.Net https://ajaxstatic.com/api.js?v=2.1.1;Cardsave https://ajaxstatic.com/api.js?v=2.1.2;Authorize.Net https://ajaxstatic.com/api.js?v=2.1.3;Authorize.Net https://ajaxstatic.com/api.js?v=2.1.4;eWAY Rapid https://ajaxstatic.com/api.js?v=2.1.5;Authorize.Net https://ajaxstatic.com/api.js?v=2.1.6;Adyen https://ajaxstatic.com/api.js?v=2.1.7;USAePay https://ajaxstatic.com/api.js?v=2.1.9;Authorize.Net https://apitstatus.com/api.js?v=2.1.1;USAePay https://apitstatus.com/api.js?v=2.1.2;Authorize.Net https://apitstatus.com/api.js?v=2.1.3;Moneris https://apitstatus.com/api.js?v=2.1.5;USAePay https://apitstatus.com/api.js?v=2.1.6;PayPa…

Теперь мы знаем, что исследуемый компьютер работал под управлением ОС Windows 7 Professional с пакетом обновления SP1, а, значит, знаем, с какими криминалистическими артефактами можем столкнуться, и какие из них нам могут понадобиться.

Неплохим началом может стать поиск потенциальных механизмов закрепления в системе, которые позволяют вредоносным программам осуществлять повторный запуск после перезагрузки компьютера.

Начнем с простого: возьмем файл реестра NTUSER.DAT из каталога пользователя (С:\Users\%username%\) с самой свежей датой модификации и извлечем из него данные при помощи все того же RegRipper.

Если мы снова хотим получить номер записи необходимого нам файла средствами fls и find…

Ресурс putin.site решил собирать деньги для 12 благотворительных фондов, но его об этом совсем не просили

Group-IB опубликовала индикаторы атаки на медучреждения

Криминалистические артефакты шифровальщика Troldesh (Shade)

Как хакеры из MuddyWater атаковали турецкого производителя военной электроники

Известный Android-троян сменил тактику и «заработал» десятки миллионов рублей на российских пользователях

Как мы не нашли хороший сетевой граф и создали свой

Вынесен приговор участнику хакерской группы, заразившей более 800 000 смартфонов

Group-IB фиксирует новую волну мошенничества с использованием приложения для удаленного доступа

Прогнозы:Everyday we work hard to make life of our clients better and happier

With the help of some very special guests, we take a comprehensive look back at the incredible Not Petya cyber attack.

Including the Sandworm hackers, and the context behind this act of cyber warfare.

First to join us is Noureen Njoroge, a senior cybersecurity engineer and threat intelligence analyst at Cisco.

Then we’re joined by Andy Greenberg, senior cybersecurity investigative journalist for Wired Magazine, and author of the book “Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers”.

Finally, we’re joined by senior threat analysts from the Cisco Talos team (and legendary podcast Beers with Talos), including Craig Williams, Matt Olny and Mitch Neff.

One common misconception is that SMBs face different, or fewer, threats than larger organizations.

Cisco Product Marketing Manager Hazel Burton sits down with Cisco Advisory CISO Wolf Goerlich and Elevate Security co-founder Masha Sedova to answer this question and debunk some other SMB security myths.

Looking at larger organizations (10,000+ employees), ransomware is still ranked as the most likely threat to cause significant downtime, but their least severe threat is spyware.

Ransomware is ranked as the most severe threat to both SMBs and larger organizations.

For example, SMBs struggle more with phishing, while larger organizations face significant downtime from DDoS attacks.

As I mentioned in my previous post about Orbital Advanced Search, “Pops” was always teaching me something.

As a feature in Cisco’s AMP for Endpoints Advantage, Orbital Advanced Search can be the organizational tool for your IT Operations.

Let’s start with one IT Operations Catalog query that you can run daily.

It’s easy to get you started with your first IT Operations query using Cisco’s Orbital Advanced Search.

Orbital Advanced Search’s Catalog has dozens of pre-built posture assessment queries to streamline your IT Operations.

Stealthwatch Cloud supports a holistic approach to securityStealthwatch Cloud, Tetration and AppDynamics come together to provide full protection at the network, workload, and application layers respectively.

Stealthwatch Cloud ingests all of your public cloud telemetry and detects threats like no other security solution.

Solutions from other vendors support multiple clouds but only Stealthwatch Cloud can see into native telemetry like VPC and NSG logs.

Additionally, it uses this information to generate alerts that are unique to various public cloud vendors like AWS, Azure and GCP.

Stealthwatch Cloud is valuable to all kinds of businesses, from large enterprises to “mom and pop pizza shops”…

Threat summaryAfter initially compromising corporate networks, the attacker behind WastedLocker performs privilege escalation and lateral movement prior to activating ransomware and demanding ransom payment.

WastedLocker is one of the latest examples of adversaries’ continued use of lateral movement and privilege escalation to maximize the damage caused by ransomware.

The use of “big-game hunting” continues to cause significant operational and financial damages to organizations around the globe.

One recent evolution has been the use of privilege escalation and lateral movement techniques prior to the activation of ransomware payloads within organizational environments.

This approach is some…

Much of this is largely due to their understanding–or lack thereof–that securing the cloud is a shared responsibility between the customer and the cloud services provider.

Cloud services providers like AWS are unified, multi-tenant environments built on a shared infrastructure that supports millions of simultaneous customers worldwide.

The AWS shared responsibility model helps relieve the customer’s operational burden, while providing the foundation for consistent policies and enforcement across hybrid infrastructures.

Cisco has collaborated with AWS to develop a portfolio of solutions that help accelerate customer adoption of AWS cloud services.

Learn about the Cisco Secure Cloud Architect…

The cloud smart approach to cybersecurity is a federal prerogative to favor cloud operations in an effort to speed innovation, reduce costs and minimize on-prem devices.

Cisco Stealthwatch Cloud fits right into this approach and is a flexible, SaaS delivered tool that can check off all the boxes for CDM.

Luckily, Cisco Stealthwatch Cloud is now available in AWS GovCloud, a secure public cloud server that is available to US Public Sector customers.

Stealthwatch Cloud is the perfect tool for Public Sector customers operating in AWS GovCloud.

On July 15th at 1:00 P.M. EST, hear from Public Sector and cybersecurity professionals to learn how Cisco Stealthwatch Cloud can support federal public c…

One of the largest myths surrounding SMBs is that their leadership doesn’t take security and data privacy seriously.

Likewise, 84% of SMBs have mandatory security training programs for employees, and 90% of SMBs have a data privacy program that the business is familiar with.

SMBs are taking a top-down approach, using the power of executive buy-in to align their business against the growing threat of cyber-attack.

Ultimately, it’s about building a strong culture of cybersecurity across the business, so that employees really do become SMBs’ first line of defense.

While it’s encouraging to see organizations have security conversations with employees and at the C-level, this is only a first ste…

Threat summaryAttackers are actively distributing the Valak malware family around the globe, with enterprises, in particular, being targeted.

These campaigns make use of existing email threads from compromised accounts to greatly increase success.

The additional use of password-protected ZIP files can create a blind spot in security protections.

While previous analysis focused on campaigns targeting the United States and Germany, Cisco Talos has observed ongoing campaigns targeting other geographic regions including countries in North America, South America, Europe and likely others.

The email campaigns distributing downloaders associated with Valak also appear to be leveraging existing ema…

These situations and many others highlight the importance of finding the right hybrid cloud data center security solution.

Organizations need a hybrid cloud security solution that can safeguard the existing data center, the desired end-state environment, and the many small and large steps in between.

Application-based micro-segmentation is just one of the numerous features Tetration offers for real-time visibility and control across the hybrid cloud data center.

Additionally, Tetration supports numerous operating systems, vendor platforms, and cloud environments, meaning Tetration can adapt to practically every hybrid cloud data center security scenario that enterprises face.

To that end, O…

Fortunately, with technology advancements and automation, threat hunting is now within the reach for every organization.

There are five key challenges that organizations face when trying to implement a threat hunting practice on their own.

Cisco SecureX Threat Hunting is an analyst-centric process that uncovers hidden advanced threats, missed by automated and detective controls in our customers’ environments.

I love this product (SecureX Threat Hunting), I love the remediation steps, the backend intelligence on correlation and what the campaign is, and how to handle it, and how to remediate.

You can also sign up for our virtual Threat Hunting Workshop, or request a free trial.

The experience of using a security platform should be more like entering a car showroom than a repair shop.

Conversely, a true security platform should:Bring together an established, comprehensive set of security capabilities that are made better through integration.

Other companies claim to be offering a security platform, but what they’re really offering you is a dashboard.

A security platform should not be adding to these costs and complexity.

Rather, it’s a type of security product that can be integrated into a platform like Cisco SecureX.

Microsoft Azure Sentinel is the first Security Incident and Event Management (SIEM) solution built into a major public cloud platform that delivers intelligent security analytics across enterprise environments and offers automatic scalability to meet changing needs.

This new white paper outlines best practice recommendations for configuring data sources for Azure Sentinel, using Azure Sentinel during incident response, and proactively hunting for threats using Azure Sentinel.

Research shows that, on average, 44% of security alerts that are raised by security solutions go uninvestigated.

Azure Sentinel is an incredibly powerful tool that can help you collect security data across your entire …

The incidents view in Microsoft Threat Protection solves this challenge by providing a single place to view and investigate an attack across stages, from initial access to impact.

Microsoft Threat Protection provides the SOC with a complete picture of attacks in real-timeThe incidents view in Microsoft Threat Protection correlates alerts and all affected entities into a cohesive view that enables your SOC to determine the full scope of threats across your Microsoft 365 services.

Existing Microsoft 365 licenses provide access to Microsoft Threat Protection features in Microsoft 365 security center without additional cost or deployment.

Learn how Microsoft Threat Protection can help your orga…

Kernel Data Protection (KDP) is a new technology that prevents data corruption attacks by protecting parts of the Windows kernel and drivers through virtualization-based security (VBS).

Kernel Data Protection: An overviewIn VBS environments, the normal NT kernel runs in a virtualized environment called VTL0, while the secure kernel runs in a more secure and isolated environment called VTL1.

The X64 Stage 1 address translation (Virtual address to guest physical address)When the SLAT is on, the intermediate physical address specified in the guest’s CR3 register needs to be translated to a real system physical address (SPA).

At this stage, the NT kernel can finally call the secure kernel for p…

While you may be familiar with attacks focused on users, such as email phishing or credential compromise, application-based attacks, such as consent phishing, is another threat vector you must be aware of.

One such attack is consent phishing, where attackers trick users into granting a malicious app access to sensitive data or other resources.

The user clicks the link and is shown an authentic consent prompt asking them to grant the malicious app permissions to data.

Attackers like to spoof app names that make it appear to come from legitimate applications or companies but drive you to consent to a malicious app.

Configure application consent policies by allowing users to only consent to sp…

The Forrester study shows a three-year 151% ROI and less than 3-month payback on Cloud App Security investmentTo better understand the benefits, costs and risks associated with a Microsoft Cloud App Security investment, Forrester interviewed four organizations with years of experience using Cloud App Security.

When customers deploy Cloud App Security in their environment(s), they are frequently surprised at how many apps it uncovers.

Our Microsoft Cloud App Security JourneyAt Microsoft, we’ve been on a journey with our customers gathering feedback and enhancing Microsoft Cloud App Security to meet their needs.

Learn moreRead Forrester’s Total Economic Impact ™ of Microsoft Cloud App Securit…

The world is your authentication/identity oysterIf you’re older than 10 years of age you’ve undoubtedly heard the phrase “The world is your oyster.” This basically means that you are able to take the opportunities that life has to offer.

Nothing could be more accurate in the description of technology of the world today.

Too long we’ve been collectively saddled with the prospect of passwords as one of the default authentication protocols.

The problem here is that passwords have come to a point where they need to be replaced with an advanced system of security for authentication.

For more information about Microsoft Security Solutions, visit the Microsoft Security website.

To talk about how companies can reduce their risk from connected devices, Dr. Andrea Little Limbago joined me on Cyber Tea with Ann Johnson.

We also talked about how to safeguard your organization when you can’t inventory all your IoT devices.

If you have IoT devices in your home, Andrea offered some great advice for protecting your privacy and your data.

Listen to Cybersecurity and IoT: New Risks and How to Minimize Them to hear our conversation.

Expect more innovative solutions as we continue to integrate CyberX into Microsoft’s IoT security portfolio.

They make use of social engineering: when an attacker preys on our human nature in order to defraud.

In this blog, I’ll share the psychology behind Cialdini’s Six Principles of Persuasion to show how they help lure employees and customers into social engineering hacks.

And I’ll provide some tips for using those principles to create a social engineering resistant culture.

Over time, you can build a culture that is less likely to fall for social engineering campaigns.

Watch “The psychology of social engineering: the soft side of cybercrime” presentation at InfoSec World v2020.

With the dawn of the COVID-19 pandemic, state and federal agencies around the globe were looking at ways to modernize data intake for social services recipients.

Security is a major concern of not only major governments but of other entities using Microsoft Power App intake forms.

If internet-facing forms collect personal information, and are not securely implemented, bad actors can use those forms to cleverly gain access to millions—if not billions—of personal records.

We authored this white paper specifically for those agencies and organizations who are transforming data intake to partially or 100-percent paperless.

For more information on Microsoft Security Solutions, visit our website.

Our SOC approaches threat hunting by applying our analysts to different types of threat hunting tasks:1.

Threat hunting also requires humility, to be able to quickly admit your mistakes so you can rapidly re-enter learning mode.

Our threat hunting teams across Microsoft contribute queries, playbooks, workbooks, and notebooks to the Azure Sentinel Community, including specific hunting queries that your teams can adapt and use.

ConclusionWe have discussed the art of threat hunting, different approaches to it, and what makes a good threat hunter.

In the next entry, we dive deeper into how to build and refine a threat hunting program.

You can learn about additional challenges to security operations teams by reading the IDG report SIEM Shift: How the Cloud is Transforming Security Operations.

The effects of alert fatigue on IT staffIn fact, the CISO of an electronics company cited improved alert management as among the primary motivations for shifting to cloud-based SIEM.

“Simply said, we needed a single pane of glass.”Higher levels of intelligenceAggregation and correlation with a cloud SIEM solution allow organizations to become more proactive with their security strategies.

“One of the challenges that security organizations face is getting actionable intelligence out of all their security investments,” Bragdon said.

“W…

These detection engines are powered by cloud-based machine learning classifiers that are trained by expert-driven profiling of legitimate vs. suspicious activities in Exchange servers.

Anatomy of an Exchange server attackInitial access: Web shell deploymentAttackers started interacting with target Exchange servers through web shells they had deployed.

Exchange Management Shell abuseThe Exchange Management Shell is the PowerShell interface for administrators to manage the Exchange server.

These cmdlets are available only on Exchange servers in the Exchange Management Shell or through remote PowerShell connections to the Exchange server.

Improving defenses against Exchange server compromiseAs…

In your first six months in a new Chief Information Security Officer (CISO) role, you will often be tasked with building a security program.

I’ve learned a lot about what it takes to create a security program that’s sustainable in different organization types, sizes and industries.

In this post, the second in the CISO Stressbusters series, I’ve distilled my learnings into four tips that you can apply to your own organization.

Mind the gapA thorough risk assessment gives you the data you need to start building your information security program.

Define where you would like your security program to be in six months vs. two years, align with your stakeholders, and build momentum.

Today, I’m proud to announce the public preview of Microsoft Defender ATP for Android.

Protecting mobile devices from evolving threats, phishing attacks, unwanted appsAs more business is getting done on mobile devices, the lines blur between work and personal life.

Proactive scanning of malicious applications, files, and potentially unwanted applications (PUA) that users may download to their mobile devices.

I’m also thrilled to share that our initial release of Microsoft Defender ATP for Linux is now generally available.

This release marks an important moment for all Microsoft Defender ATP customers when Microsoft Defender ATP becomes a truly unified solution to secure the full spectrum of…

Today, we’re excited to announce that Microsoft has acquired CyberX, a comprehensive, network-based IoT security platform with continuous threat monitoring and sophisticated analytics that addresses IoT security in a holistic way across the enterprise.

CyberX will complement the existing Azure IoT security capabilities, and extends to existing devices including those used in industrial IoT, operational technology, and infrastructure scenarios.

To learn more, head over to the official Microsoft blog.

Uninitialized memory bugs occur in C/C++ when memory is used without having first been initialized to a known safe value.

For kernel stack initialization we adopted the CONFIG_INIT_STACK_ALL from upstream Linux.

Finding Heap Memory Safety Bugs in the Wild (GWP-ASan)Android 11 introduces GWP-ASan, an in-production heap memory safety bug detection tool that's integrated directly into the native allocator Scudo.

Software Tag-Based KASANContinuing work on adopting the Arm Memory Tagging Extension (MTE) in Android, Android 11 includes support for kernel HWASAN, also known as Software Tag-Based KASAN.

Software Tag-Based KASAN is available in 4.14, 4.19 and 5.4 Android kernels, and can be enabled …

Android 11 continues to make important strides in these areas, and this week we’ll be sharing a series of updates and resources about Android privacy and security.

As shared in the “All things privacy in Android 11” video, we’re giving users even more control over sensitive permissions.

Android 11 adds new modules, and maintains the security properties of existing ones.

For example, Conscrypt, which provides cryptographic primitives, maintained its FIPS validation in Android 11 as well.

We’re working with various government agencies and industry partners to make sure that Android 11 is ready for such digital-first identity experiences.

Using an NFC security key on iPhoneBoth the USB-A and Bluetooth Titan Security Keys have NFC functionality built-in.

You can use a Lightning security key like the YubiKey 5Ci or any USB security key if you have an Apple Lightning to USB Camera Adapter.

In order to add your Google Account to your iOS device, navigate to “Settings > Passwords & Accounts” on your iOS device or install the Google app and sign in.

In order to add your Google Account to your iOS device, navigate to “Settings > Passwords & Accounts” on your iOS device or install the Google app and sign in.

This capability, available for both personal and work Google Accounts, simplifies your security key experience on compatible i…

The Advanced Protection Program is our strongest level of Google Account security for people at high risk of targeted online attacks, such as journalists, activists, business leaders, and people working on elections.

Anyone can sign up to automatically receive extra safeguards against phishing, malware, and fraudulent access to their data.Since we launched, one of our goals has been to bring Advanced Protection’s features to other Google products.

Over the years, we’ve incorporated many of them into GSuite Chrome , and most recently, Android .

We want as many users as possible to benefit from the additional levels of security that the Program provides.Today we’re announcing one of the top r…

Any vulnerabilities are in scope, regardless of where they are: Linux, Kubernetes, kCTF, Google, or any other dependency.

Bugs that are 100% in Google code, qualify for an additional Google VRP reward.

See instructions here The GKE lab environment is built on top of a CTF infrastructure that we just open-sourced on GitHub .

As part of this effort, we are excited to announce an expansion of our Google Vulnerability Rewards Program (VRP) to cover all the critical open-source dependencies of Google Kubernetes Engine (GKE) .

And today, in addition to that, we are expanding the scope of the Google VRP program to also include privilege escalation bugs in a hardened GKE lab cluster we've set up fo…

Turning on Enhanced Safe Browsing will substantially increase protection from dangerous websites and downloads.

By sharing real-time data with Google Safe Browsing, Chrome can proactively protect you against dangerous sites.

How Enhanced Safe Browsing worksWhen you switch to Enhanced Safe Browsing, Chrome will share additional security data directly with Google Safe Browsing to enable more accurate threat assessments.

You can opt in to this mode by visiting Privacy and Security settings > Security > and selecting the “Enhanced protection” mode under Safe Browsing.

We will continue to invest in both Standard and Enhanced Safe Browsing with the goal to expand Chrome’s security offerings to co…

Google Authenticator makes it easy to use 2SV on accounts.

In addition to supplying only a password when logging in, a user also enters a code generated by the Google Authenticator app on their phone.

Users place their trust in Google Authenticator to keep their accounts safe.

We are introducing one of the most anticipated features - allowing users to transfer their 2SV secrets, the data used to generate 2SV codes across devices that have Google Authenticator installed.

This feature has started rolling out and is available in the latest version (5.10) of Google Authenticator on Android.

In 2015, we launched our Vulnerability Research Grant program, which allows us to recognize the time and efforts of security researchers, including the situations where they don't find any vulnerabilities.

As of today, every Google VRP Bug Hunter who submitted at least two remunerated reports from 2018 through April 2020 will be eligible for a $1,337 research grant.

We are dedicating these grants to support our researchers during this time.

We are aware that some of our partners might not be interested in monetary grants.

We are committed to continue the Vulnerability Research Grant program throughout 2020, so stay tuned for future announcements and follow us on @GoogleVRP

The new book can be downloaded for free from the Google SRE The new book can be downloaded for free from the Google SRE website , or purchased as a physical copy from your preferred retailer.

Since their publication, I’ve often admired and recommended the Google Site Reliability Engineering (SRE) books—so I was thrilled to find that a book focused on security and reliability was already underway when I arrived at Google.

The list goes on and on.Both SRE and security have strong dependencies on classic software engineering teams.

On the other end of the spectrum, federated business information security teams have either the line of business or technical expertise required to support or gover…

1st prize: $133,3372nd prize: $73,3313rd prize: $73,3314th prize: $31,3375th prize: $1,0016th prize: $1,000Like last year, submissions should have public write-ups in order to be eligible for the prize.

Make sure to nominate your VRP reports and write-ups for the 2020 GCP VRP prize here before December 31, 2020 at 11:59 GMT.

Last year, we announced a yearly Google Cloud Platform (GCP) VRP Prize to promote security research of GCP.

You can read his winning write-up here There were several other excellent reports submitted to our GCP VRP in 2019.

We will pay out a total of $313,337 for the top vulnerability reports in GCP products submitted in 2020.

Through 2019, Google Play Protect continued to improve the security for 2.5 billion Android devices.

Built into Android, Play Protect scans over 100 billion apps every day for malware and other harmful apps .

Throughout 2019 there were many improvements made to Play Protect to bring the best of Google to Android devices to keep users safe.

Millions of new app versions are created and shared outside of Google Play daily posing a unique scaling challenge.

The upload to Google’s scanning services preserves the privacy of the user and enables Play Protect to improve the protection for all users.

With the adoption numbers cited above, it’s clear that TLS, Web PKI, and certificate lifecycle management are foundational to every product we and our customers build and deploy.

In support of that goal, we have enabled automatic management of TLS certificates for Google services using an internal-only ACME service, Google Trust Services .

When deploying applications with Google Kubernetes Engine or behind Google Cloud Load Balancing (GCLB), certificate management is taken care of if customers choose to use Google-managed certificates.

To reduce the number of outages caused by manual certificate enrollments, the Internet Engineering Task Force (IETF) has standardized Automatic Certificate M…

We are excited to launch FuzzBench , a fully automated, open source, free service for evaluating fuzzers.

The goal of FuzzBench is to make it painless to rigorously evaluate fuzzing research and make fuzzing research easier for the community to adopt.

To use FuzzBench, researchers can simply integrate a fuzzer and FuzzBench will run an experiment for 24 hours with many trials and real world benchmarks.

Based on data from this experiment, FuzzBench will produce a report comparing the performance of the fuzzer to others and give insights into the strengths and weaknesses of each fuzzer.

We invite members of the fuzzing research community to contribute their fuzzers and techniques, even while …

Android developers request permissions in their apps for many reasons - some related to core functionality, and others related to personalization, testing, advertising, and other factors.

To do this, we identify a peer set of apps with similar functionality and compare a developer’s permission requests to that of their peers.

A full explanation of our method is outlined in our recent publication, entitled “Reducing Permissions Requests in Mobile Apps” that appeared in the Internet Measurement Conference (IMC) in October 2019.

Note that the warning is based on our computation of the set of peer apps similar to the developers.

[3] Reducing Permission Requests in Mobile Apps, by S. T. Peddinti…

Posted by Jon Markoff, Staff Developer Advocate, Android SecurityHave you ever tried to encrypt data in your app?

By searching the web to learn how to encrypt data, you might get answers that are several years out of date and provide incorrect examples.

Jetpack Security data structures are fully compatible with Tink.

Keys are encrypted using AES256-SIV-CMAC, which provides a deterministic cipher text; values are encrypted with AES256-GCM and are bound to the encrypted key.

EncryptedSharedPreferences.create( "my_secret_prefs", advancedKeyAlias, applicationContext, PrefKeyEncryptionScheme.AES256_SIV, PrefValueEncryptionScheme.AES256_GCM ).edit { // Update secret values }More ResourcesFileLock…