Безопасность сети: советы от бывалых из «Айдеко»Alexander AntipovПриглашаем на стрим с разработчиками компании «Айдеко», посвященный безопасности сети и возможностям Ideco UTM.

Коллеги, приглашаем вас на стрим с разработчиками компании «Айдеко», посвященный безопасности сети и возможностям Ideco UTM.

Дата: 26.05.2022Начало: 11:15 мскПродолжительность: 1,5 часаНа каждом вебинаре мы получаем множество вопросов о возможностях и настройках Ideco UTM, сравнении с другими продуктами, вопросы по организации и обеспечению безопасности компаний в целом.

Не на все из них наши спикеры успевают ответить в эфире.

В программе:Ideco UTM: настройки, возможности и планы появления новых сервисовПочему беспла…

Вредоносный PyPI-пакет заражал бэкдором Windows-, Linux- и Darwin-системыAlexander AntipovНазвание пакета напоминает PyKafka – популярный клиент Apache Kafka.

В PyPI обнаружен очередной вредоносный пакет, использующийся в атаках на цепочку поставок с конечной целью установить маячок Cobalt Strike или бэкдор на системы под управлением Windows, Linux и Darwin.

Скрипт определяет операционную систему хоста и в зависимости от ее типа (Windows, Linux или Darwin) извлекает совместимую полезную нагрузку, которая затем выполняется на системе.

Для Windows и Darwin полезная нагрузка представляла собой маячок Cobalt Strike, обеспечивавший удаленный доступ к зараженному устройству.

Они предоставляют уда…

Sandworm продолжает атаковать УкраинуAlexander AntipovАтаки были обнаружены и нейтрализованы государственными экспертами с помощью компаний ESET и Microsoft.

Эксперты по безопасности из ESET сообщили, что Sandworm продолжает проводить кибератаки против организаций в Украине.

В апреле Sandworm атаковал энергетические объекты Украины с помощью нового штамма вредоносного ПО Industroyer ICS (INDUSTROYER2) и новой версии вайпера CaddyWiper .

По данным CERT-UA, субъекты национального государства нацелились на высоковольтные электрические подстанции с помощью INDUSTROYER2, вариант, проанализированный исследователями, был адаптирован для целевых подстанций.

Однако атаки были обнаружены и нейтрализо…

Cisco исправила уязвимость нулевого дня в маршрутизаторах с ОС IOS XRAlexander AntipovЗлоумышленник может проэксплуатировать уязвимость, подключившись к установке Redis на открытом порту.

Компания Cisco исправила уязвимость нулевого дня в своих маршрутизаторах с ОС IOS XR, позволяющую неавторизованным злоумышленникам удаленно получать доступ к установкам Redis, запущенным в контейнерах NOSi Docker.

Под управлением операционной системы IOS XR работает множество маршрутизаторов Cisco, включая устройства серий NCS 540 и 560, NCS 5500, 8000 и ASR 9000.

Ранее в этом месяце Cisco стало известно об эксплуатации данной уязвимости в реальных хакерских атаках.

Администраторы также могут воспользовать…

Российская DAG/DCAP-система «Спектр»: практические кейсы и сравнение с зарубежными аналогамиAlexander AntipovНева-Автоматизация в партнёрстве с ITD Group и CyberPeak приглашают на вебинар, который состоится 24 мая в 11:00 (МСК).

Нева-Автоматизация в партнёрстве с ITD Group и CyberPeak приглашают вас и ваших коллег на обзорный вебинар "Российская DAG/DCAP-система «Спектр»: практические кейсы и сравнение с зарубежными аналогами", который состоится 24 мая в 11:00 (МСК).

На вебинаре мы продемонстрируем работу системы и покажем кейсы, интересные для сотрудников департаментов ИТ и ИБ.

Обзор и демонстрация возможностей системы “Спектр”, сравнение с продуктами зарубежных производителей (Varonis, Ne…

Премьер министра Нидерландов обвинили в использовании старого телефона NokiaAlexander AntipovВ парламенте считают что использование старого телефона ставит под угрозу национальную безопасность страны.

Марк Рютте столкнулся с необычным политическим и общественным давлением после того, как выяснилось, что он годами удалял текстовые сообщения по официальным вопросам.

Критики обвиняют его в сокрытии государственной деятельности, но он говорит, что сообщения просто занимали слишком много места в его старомодном телефоне Nokia.

Рютте пережил вотум недоверия в парламенте в четверг из-за удаленных текстовых сообщений, но оппозиционные партии призывают к дальнейшему расследованию.

Что они и сделали …

В Перми осужден сисадмин за неправомерное воздействие на критическую инфраструктуруAlexander AntipovСисадмин постоянно просыпал работу и менял данные в системе пропусков.

Это первый обвинительный приговор в Пермском крае по уголовной статье о воздействии на критическую инфраструктуру государства.

Системного администратора АО «Протон-ПМ» признали виновным в неправомерном воздействии на критическую информационную инфраструктуру Российской Федерации (ч.

Сотрудниками службы безопасности предприятия было выявлено, что весной 2021 года он изменил время прибытия на работу в системе контроля управления и доступа на предприятии.

В случае, когда сисадмин был «пойман за руку», если бы случай его опозд…

Искусственный интеллект уничтожил вредоносное ПО менее чем за секундуAlexander AntipovБританские ученые выведут кибербезопасность на новый уровеньБританские ученые из Кардиффского университета создали новый метод автоматического обнаружения и уничтожения вредоносного ПО на устройстве менее чем за секунду.

Метод обнаружения на основе искусственного интеллекта протестирован на тысячах образцах вредоносных программ и позволил предотвратить повреждение 92% файлов на компьютере, уничтожив вредонос за 0,3 секунды.

По заявлению специалистов, новый метод может обнаружить и уничтожить зловред в режиме реального времени и может изменить подход к современной кибербезопасности.

Новый метод разработан в…

Поддерживаемая США анонимность интернета способствует распространению компьютерных вирусов и деятельность киберпреступниковAlexander AntipovОб этом заявил секретарь Совета безопасности (СБ) РФ Николай Патрушев по итогам заседания Совбеза с президентом России Владимиром Путиным.

Об этом в пятницу, 20 мая, заявил секретарь Совета безопасности (СБ) РФ Николая Патрушева по итогам заседания Совбеза с президентом России Владимиром Путиным.

«Анонимность глобального информационного пространства, всячески поддерживаемая Вашингтоном, способствует неконтролируемому распространению вредоносного программного обеспечения и преступной деятельности международных кибергруппировок», – отметил он.

По его слов…

Активность Linux-вредоноса XorDDos выросла на 254%Alexander AntipovИсследователи Microsoft заметили всплеск активности XorDdos за последние шесть месяцев.

XorDDos умеет обфусцировать свои активности, что помогает обойти механизмы обнаружения на основе правил и поиск вредоносных файлов по хэшу.

За последние шесть месяцев эксперты Microsoft отметили 254%-ный рост активности, связанной с XorDDos.

График роста активности, связанной с XorDDos.

В заключении отчета говорится, что XorDDos – универсальный троян, способный заражать различные архитектуры Linux-систем.

Большинство APT атак используют известные уязвимостиAlexander AntipovAPT атаки оказались не такими сложными, как думают многие пользователинедавнем отчете исследователи безопасности из Университета University of Trento в Италии провели оценку защиты организаций от APT угроз (Advanced Persistent Threat, APT).

Исследователи изучили векторы атак, эксплуатируемые уязвимости и затронутое программное обеспечение.

По словам исследователей, из 86 APT атак, только 8 (Stealth Falcon, APT17, Equation, Dragonfly, Elderwood, FIN8, DarkHydrus и Rancor) использовали уязвимости, которые не эксплуатировали другие кампании.

«Тем не менее, не все APT сложны, поскольку часто используют одинаковые инструменты, …

Microsoft экстренно исправляет проблему авторизации в Windows ADAlexander AntipovКомпания активно работала над исправлениями с 12 мая.

Microsoft выпустила внеплановые исправления (OOB) для решения проблемы с авторизацией в Windows Active Directory (AD), над которыми работала с 12 мая.

Проблема появилась после установки на контроллеры домена обновлений Windows, выпущенных в майский вторник исправлений 2022 года.

Выпущенные сегодня обновления OOB Windows доступны только через Microsoft Update Catalog и не будут распространяться через Windows Update.

Инструкции по WSUS можно найти на странице WSUS , а по Configuration Manager – на странице импорта обновлений из Microsoft Update Catalog.

В России в условиях санкций растёт спрос на отечественные программные разработки, для создания которых нередко используется софт с открытым исходным кодом (Open Source).

Уязвимости в коде приложенияКод приложений пишут люди, пусть и обладающие техническими знаниями, но допускающие ошибки по неосторожности или по незнанию.

При этом в третьи руки попадают и персональные данные (47 % утечек), и в целом учётные данные (31 %).

Уязвимости в библиотеках с открытым исходным кодомОднако уязвимости могут быть не только в коде, который пишут разработчики компании, но и в библиотеках с открытым исходным кодом, применяемых для упрощения и ускорения разработки.

Согласно статистике, использование библиоте…

Они связаны с очень разными особенностями ПО и инфраструктуры, при этом в реальности в компаниях могут появляться только часть уязвимостей, известных вендору.

Если назначать приоритеты автоматически, например следуя рекомендациям вендора, то насколько велика уверенность, что в его базе патчей прописаны все новые эксплойты?

Илья Егоркин добавил, что «в реальной практической работе ключевым становится дефицит ресурсов, дефицит аналитиков, которые могут провести грамотный аудит наиболее важных ресурсов.

В БДУ ФСТЭК России присутствует информация о 39 тысячах уязвимостей, в том числе самых последних.

В то же время он отметил, что в настоящее время уже сделано очень многое в этом направлении.

Выбор платформы Bug BountyОценка эффективности программ Bug Bounty«Главное достоинство программ Bug Bounty состоит в следующем.

Официально многие из них уже работают в ИБ, а в свободное время они участвуют в программах Bug Bounty.

Риски в программах Bug BountyГлавный риск исследователя, принимающего участие в программе Bug Bounty, — это отказ от выплаты ему вознаграждения.

Участие в программе Bug Bounty — это оценка в условиях реального рынка.

После этого надо умножить это число на четыре и заложить полученный результат как годовой бюджет на Bug Bounty» (Алексей Гришин).

Блокчейн-сеть, которую Банк России собирается построить в России, лишена перечисленных недостатков.

Понятие «цифровой рубль» описывает Федеральный закон № 259 «О цифровых финансовых активах», введённый в действие с 1 января 2021 года.

Технологически цифровой рубль должен стать более надёжным, чем обработка пластиковых карт с их магнитными носителями, чипами, ограничениями PCI DSS.

Русский HyperledgerВ конце 2020 года Банк России опубликовал интервью зампреда Алексея Заботкина, в котором тот изложил, как ЦБ видит будущий цифровой рубль.

После того как SEC отказалась от скорого внедрения в США цифрового доллара, финансовый регулятор в России поставил внедрение цифрового рубля на паузу.

Сегодня они являются частью национальных и международных систем экстренного спасения и развиваются по пути оснащения ИИ, наращивания функций кибербезопасности, повышения надёжности и комплаенса.

По иронии и с примесью «народного» юмора это же название получили и аварийные радиостанции нового поколения, появившиеся во время Второй мировой войны.

Военные организации выпускают для пилотов индивидуальные радиостанции для выживания.

Есть такие системы и в России.

Однако современные российские радиомаяки и системы аварийного радиооповещения отстали от лучших образцов, которые доступны в мире для спасения гражданских и военных судов и самолётов.

Системы анализа трафика, обнаружения и предотвращения атак (NTA / NDR) — третий «кит» в работе современного центра мониторинга и реагирования (SOC).

Вместе с SIEM и EDR этот сегмент образует триаду, способную обнаружить сложную угрозу и быстро на неё ответить.

NTA / NDR справляются с обработкой сложных инцидентов, обогащают данными базу SOC и сокращают время и ресурсы на анализ, проверку и реакцию.

Варианты импортозамещения систем анализа трафика (NTA), обнаружения и предотвращения атак (NDR)ВыводыСегмент NTA-решений продолжает развиваться.

Уже опубликованы обзоры по отечественным WAF, средствам защиты от DDoS-атак, NGFW и UTM, системам обнаружения и предотвращения вторжений (IPS / IDS).

Эта тенденция распространяется и на корпоративные системы, и на технические обновления, а также на обеспечение более высокого уровня информационной безопасности.

При этом в каждой организации есть большая часть офисных сотрудников, которая привыкла работать «по старинке», согласовывая документы в распечатанном виде или по электронной почте.

В случае утечки документов из такого VDR можно провести экспертизу по скомпрометированному фрагменту, просто загрузив его в систему, и по маркировке определить источник.

Одним из преимуществ подхода «VDR с опцией невидимой маркировки» может быть его относительная компактность в части реализации проекта.

ВыводыИспользование виртуальной комнаты данных явля…

Установить определённую структуру ответственности за обеспечение ИБ: На должностное лицо уровня заместителя руководителя организации нужно возложить полномочия по обеспечению ИБ; на самого руководителя — персональную ответственность за обеспечение ИБ.

Таким образом, просто одной штатной единицы, ответственной за ИБ в организации, теперь будет недостаточно.

Также организациям стоит быть готовыми к предоставлению доступа (в том числе удалённого) ФСБ России к информационным ресурсам в целях осуществления мониторинга защищённости.

Резюмируя, можно сказать, что организациям сейчас нужно провести работы по распределению ответственности за обеспечение ИБ на должностных лиц.

Также необходимо провес…

Благодаря обучению сотрудников и тренировке их навыков компании могут повысить свой уровень защищённости.

Как эти проблемы можно решить с помощью обучения сотрудников: людей можно научить выявлять признаки подозрительных ситуаций и возможных целевых атак.

Атаки, в которых не участвуют вредоносные программы, не поступают на вход SOAR-системы и не могут быть обработаны.

ВыводыПредложенные примеры показывают, как обучение сотрудников и формирование у них необходимых навыков могут стать альтернативой техническим средствам или усилить СЗИ.

Прежде всего нужно выбрать приоритетные классы решений — с точки зрения критической значимости и рисков — и в рамках этих приоритетов оценить, как обучение со…

Среди наиболее известных происшествий последнего времени можно вспомнить пример утечки данных из «Сбера» в 2019 году.

Это были сведения о транзакциях, количество атрибутов для идентификации клиентов было ограничено, точное число пострадавших так и не было выявлено.

Реальный объём украденных данных так и не был назван официально.

Клиенты «Яндекс.Еды» пострадали25 февраля 2022 года на форуме raidforums.com появилась информация, что в Сеть попали данные оператора экспресс-доставки документов и грузов СДЭК.

Было также обещано, что в адрес всех, кого коснулась утечка, будет направлено письмо с подробными инструкциями относительно смягчения угроз.

Несмотря на бытующее в СМИ мнение, что компании заявили о своём уходе из России, фактически крупные вендоры не делали подобных заявлений.

В социальных сетях стала нарастать волна сообщений о якобы стихийно возникшем массовом отъезде ИТ-разработчиков из России.

РАЭК также дала прогноз, что в течение второго месяца проведения войсковой операции на Украине (апрель) из страны уедет ещё 70 тыс.

Источник: опрос АРППОтъезд ИТ-специалистовВ АРПП хотели получить ответ на вопрос о том, является ли информация об отъезде ИТ-специалистов из России реальностью или искажённым мнением.

Так, велика вероятность того, что в будущем в России будет наблюдаться постепенная деградация парка аппаратной инфраструкт…

Вышла новая версия универсального шлюза безопасности Ideco UTM (Unified Threat Management).

В марте 2022 г. российская компания «Айдеко» представила новую (двенадцатую) версию универсального шлюза безопасности Ideco UTM.

Функциональные возможности Ideco UTMПрограммно-аппаратный комплекс Ideco UTM обладает следующими особенностями и функциональными возможностями:Межсетевой экран — базовая функциональность сетевой фильтрации.

Веб-аутентификация в Ideco UTMТакже в Ideco UTM есть авторизация через Ideco Agent — доступ будет обеспечен только в то время, когда пользователь авторизован с помощью этой программы.

Раздел «Журнал» в Ideco UTMВ разделе «Монитор трафика» можно ознакомиться с информацией…

Системы обнаружения и предотвращения вторжений (IPS / IDS) анализируют данные и сетевую активность, блокируют вредоносные программы, не позволяют хакерам перехватить контроль над корпоративными сетями и дата-центрами.

Разберёмся, какие отечественные IPS / IDS можно выбрать в рамках импортозамещения.

ВведениеСистемы обнаружения и предотвращения вторжений (IPS / IDS) — это комплексы программных или аппаратных средств, которые выявляют факты несанкционированного доступа в корпоративную систему и предотвращают попытки его получить.

Системы IPS / IDS могут быть нескольких видов, они различаются расположением, типами сенсоров и механизмами работы подсистемы анализа.

Варианты импортозамещения сист…

Функциональные возможности аппаратных токенов SafeNet eToken FIDO и SafeNet IDPrime 3940 FIDOКомплекс для корпоративной беспарольной аутентификации SafeNet Trusted Access компании Thales предлагает пользователям в качестве средств строгой аутентификации как классические аппаратные USB-токены SafeNet eToken FIDO, так и смарт-карты SafeNet IDPrime 3940 FIDO.

Раздел «Policies» системы SafeNet Trusted AccessПри первом обращении к порталу самообслуживания, после включения соответствующих политик, SafeNet Trusted Access предложит пользователю зарегистрировать FIDO-токен.

Привязка FIDO-токена делается один раз и может быть использована для всех приложений, интегрированных в SafeNet Trusted Access …

ВведениеSecurity Vision — лидер рынка SOAR и SGRC в России — недавно переехала в новый офис и пригласила нас на него посмотреть.

В конце экскурсии мы вернулись в коммерческий отдел и поговорили об особенностях продаж ИБ-решений в условиях санкций и импортозамещения.

Через несколько минут, расположившись в удобных креслах в кабинете генерального директора, мы обсуждаем с ним перспективы Security Vision и рынка в целом.

В первую очередь хочется сказать, что спрос растёт, в том числе в связи с тем, что необходима автоматизация реагирования на киберинциденты, роботизация рутинных операций.

Мы узнали много нового и интересного и с удовольствием делимся нашими впечатлениями в этом кратком обзоре …

Есть подозрение, что такое могло бы сработать и в этих ваших Европах и Америках с высокотехнологичными криптографическими кодами.

Я в этих странах бывал мало, но где бывал, с проверкой второго фактора дела обстояли ровно так же, как и в России.

Долго это все продолжаться не могло, и в конечном итоге огромная база кодов была слита в Интернет.

При этом никакой конкретной информации не дается, сайт не сообщает о попытке взлома, но и как валидный запрос трактовать обращение не спешит.

В конечном счете, это все теперь неактуально: как известно, мы в очередной раз окончательно победили коронавирус, и все ограничения были сняты.

Мои выводы могут быть ошибочными или не точными, а возможно для кого-то это и вовсе секрет Полишинеля.

В выделенном абзаце сказали, что распространение ПД не происходит, т.к.

Все, можно продавать доступ к ПД без их раскрытия.

Конечно, кто-то может сказать, что это не продажа персональных данных, т.к.

Остается только суд, но пока на это банально нет времени.

Победителями киберучений со стороны атакующих стала команда Codeby (27 715 баллов), на втором месте True0xA3 (23 381 балл) и на третьем — Invuls (12 352 балла).

Как атаковали RutubeБлиже к вечеру второго дня PHDays 11 гости эфирной студии поделились деталями недавней атаки на видеохостинг Rutube.

Эксперты рассказали о применении искусственного интеллекта в разных областях жизни, в том числе в ИБ, о количественном росте использования нейросетей в будущем и о трансформации многих популярных профессий.

«Искусственный интеллект очень скоро серьезно поможет ИБ снять когнитивную нагрузку со специалистов, чтобы те смогли сконцентрироваться на действительно важных проблемах, а не на рутине», — счит…

Microsoft сообщила о росте атак с использованием ботнета XorDDoSVMware устранила ряд уязвимостей в своих продуктахСпециалисты из Cyble опубликовали информацию о новом сервисе-конструкторе ВПОСегодня в ТОП-3 — рост атак с использованием ботнета XorDDoS, устранение уязвимостей в продуктах VMware, новый сервис-конструктор ВПО.

Новости собирал Дмитрий Лифанов, ведущий аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».Подробнее читайте под катом.

По информации от специалистов, за последние шесть месяцев количество активностей выросло на 254%.

Проблемам подвержены следующие продукты: Workspace ONE Access (Access), Identity Manager (vIDM), vRealize Au…

Как устроена работа PsiphonРазработчики сервиса пошли чуть дальше создания привычного VPN и скомбинировали его с технологиями обфускации (запутывания).

При использовании этого приложения данные отправляются и принимаются через защищенную сеть, и при этом скрыт не только тип передаваемого трафика, и но и даже то, откуда он поступает.

Результат наших тестовМы установили Psiphon на рабочие устройства команды iFreedomLab.

Короткое резюме:проведя мини-серию тестов, существенную разницу мы в работе интернет-подключений через Psiphon и без него мы увидели только на высокоскоростных подключениях.

Для большинства же обычных пользователей скорость будет вполне сносной и для ПК, и для мобильных устрой…

После этого сервер RootCA нам больше не нужен и в целях безопасности его лучше выключить.

Все сертификаты теперь будут выпускаться на подписывающем сервере SubCA:cd ~/easyrsa-rootca/ ./easyrsa import-req /tmp/ca.req SubCA ./easyrsa sign-req ca SubCA scp pki/issued/SubCA.crt [email protected]_SubCA:/tmp scp pki/ca.crt [email protected]_SubCA:/tmp/RootCA.crtПереходим на SubCA и перемещаем подписанный сертификат в СЦ.

{crt,key,pem} [email protected]_web_server:/tmpИдем на web-сервер создадим директорию для хранения сертификатов и перенесем их туда:mkdir ~/ssl_cert/ mkdir ~/ssl_cert/{key,cert} sudo chmod 600 ~/ssl_cert/key/ mv /tmp/*.

Для этого мы должны дать системе корневой сертификат и сказать, что всем сертификатам, кот…

Наша команда лаборатории информационной и сетевой безопасности провела реверс-инжиниринг ПЗУ промышленного устройства и получила доступ к данным, которые считаются защищёнными.

Для этого придумана масса вариантов: отказоустойчивые файловые системы, криптоконтейнеры и специализированные драйверы — менеджеры управления «сырым» массивом флеш-памяти, позволяющие обращаться к нему как к жёсткому диску и ограничивать доступ к определённым зонам.

Забегая вперёд, скажем, что в ходе исследования был найден способ получения доступа к защищённым данным, а также сформулированы базовые рекомендации по противодействию подобным атакам.

В итоге последовательно были сняты все слои защиты, и мы получили полн…

На PHDays 19 мая была представлена платформа The Standoff 365 Bug Bounty, которая объединит компании и исследователей безопасности для поиска уязвимостей и оценки защищенности организаций.

Впервые исследователи безопасности смогут получать награду не только за найденные недопустимые для бизнеса события, но и за их реализацию.

На платформе The Standoff 365 компании смогут устанавливать свои правила bug bounty: сроки, границы исследований, форматы отчетов, суммы вознаграждений и права доступа.

От The Standoff 365 Bug Bounty мы ожидаем активного участия багхантеров и качественных отчетов.

Компания Positive Technologies, которая уже проводила открытые киберучения на своей инфраструктуре, также …

«перечень аккредитованных УЦ, аккредитация которых прекращена» ) и, насколько можно судить по сайту НИИ, так и не была возобновлена Лишь спустя месяц Правительство впервые упомянуло НУЦ в нормативном правовом акте , а еще через 2 недели одобрило проект (!)

Только после этого и ни секундой раньше на свет появляются сертификаты от НУЦ.Согласно действующей редакции Положения о Минцифры , оно(5.4.8) и(5.4.11).

Ни о каком создании собственного УЦ или самостоятельном выпуске «конечных» сертификатов в Положении речи не идет.

Все соответствующие полномочия Минцифры в данной сфере перечислены на Портале УФО .

ФИО, должность, перечень полномочий, нормативные правовые и организационно-распорядительные…

Уход зарубежных производителей АСУ ТП и решений по ИБ существенно ухудшил положение промышленных компаний в сфере защиты от киберугроз.

Бюджеты на ИБ, на самом деле, исторически довольно низкие.

Проблема не в том, что оно подорожало, а в том, что этого физически не хватает.

Как добавил Краснов, в следующем году будет рост бюджетов и цен на ИБ как от нехватки железа, так и специалистов.

Спикер также готов поручиться, что в на отечественном рынке появятся новые продукты и новые игроки, поскольку на текущий момент на это есть запрос.

Раздел «Общие положение» пропустим и рассмотрим раздел «Описание систем и сетей и их характеристика, как объектов защиты».

В соответствии с Методикой рассматриваемый раздел содержит:1) Наименование систем и сетей, для которых разработана модель угроз безопасности информацииУказывается наименование ОЗ.

После определения процессов, реализация которых обеспечивается различными компонентами инфраструктуры, можно выполнить разделение инфраструктуры на объекты защиты (с привязкой к процессам), для которых в дальнейшем будет выполняться моделирование угроз и последующее построение систем защиты информации.

Здесь приводим описание ОЗ в части используемых сред виртуализации, указываем, где и для чег…

Изображение: Cac.milНадежная системаТот самый пареньАмериканское правительство последние 15 лет активно внедряет использование смарт-карт как способ доступа и аутентификации пользователя в госучреждениях.

Карты были предпочтимы, потому что как и банковские продукты, они выполнимы и в бесконтактном радио-варианте и вообще, решение со всех сторон отличное.Внедрение тоже прошло по-армейски стремительно.

Картами обзавелся старший и младший офицерский состав, а после успешный опыт армии, по доброй американской традиции, переняли и другие государственные службы страны.

Он производится тайваньской компанией Saicoo.Но главная проблема ни в происхождении устройства, а в том, что Plug-and-Play оно ра…

Сейчас же есть попытки именно интернет создать вновь и с нуля, только приватный и безопасный.

Делает их команда Utopia с помощью децентрализованной p2p экосистемы.

Данные пользователей она таким образом не продаёт, как это делает Google, одна синяя запрещённая в России как экстремистская соцсеть и ещё одна соцсеть с фотографиями, настолько же запрещённая.

В отличие от Фидонета, коммерческие операции в Utopia имеются.

Как и аналоги Википедии и другие информационные ресурсы.

Мне нравится сам факт, что мы даем клиентам значительную фору — время на проактивные действия по предотвращению потенциальных инцидентов.

Cyclops Blink заражает преимущественно устройства WatchGuard, и в разделе сетевых индикаторов исследователи выложили список из 25 IP-адресов.

Его любит и киберкриминал, и даже проправительственные APT, потому что думают, что это позволит им смешаться с другими атакующими и не выделяться.

Скачайте демо — поймете о чем я. В общем, благодаря ему мы способны найти очень многое из того, чего не видят другие.

Они говорят, что злоумышленники используют вот это и это для реализации этих и тех целей.

Роскомсвобода сообщает, что суд апелляционной инстанции отменил решение №2-1-1373/2017 от 18.12.2017 Саратовского районного суда Саратовской области, на основании которого в декабре прошлого года был заблокирован сайт The Tor Project.

В блоге Tor Project тогда появилось официальное послание, согласно которому сайт torproject.org официально заблокирован по решению Саратовского районного суда от 2017 года в соответствии со ст.

Подтверждение этому можно было найти и в реестре Роскомнадзора.

Думаю, дело вернется в суд первой инстанции в течение месяца, и мы продолжим там рассмотрение нашего второго довода об отсутствии каких-либо законодательных запретов на распространение информации и технолог…

Европол, а также правоохранители из Нидерландов и Германии отчитались о проведении операции Pfeil/Pentagon и задержании трех подозреваемых, ответственных за серию ограблений банкоматов в Германии.

Сообщается, что эти аресты последовали за арестами трех других членов той же преступной группы 30 марта 2022 года в Гессене, и на данный момент правоохранительные органы пытаются установить личность седьмого участника этой группировки.

Считается, что в период с октября по ноябрь 2021 года подозреваемые ограбили восемь банкоматов в Гессене, Баден-Вюртемберге, Нижней Саксонии и Рейнланд-Пфальце, суммарно похитив более 958 000 евро наличными.

Интересно, что количество физических атак на банкоматы, на…

Специалисты Microsoft предупредили, что активность модульной малвари XorDdos, применяющейся для взлома Linux-устройств и создания DDoS-ботнета, за последние полгода увеличилась на 254%.

Этот вредонос, также известный как XOR.DDoS и XOR DDoS, активен с 2014 года и ориентирован на Linux-системы.

— Во время изучения недавних кампаний мы заметили, что XorDdos скрывает вредоносные действия от анализа, перезаписывая конфиденциальные файлы нулевым байтом».

Также в отчете специалистов отмечается, что помимо запуска DDoS-атак, операторы используют XorDDoS для установки руткитов, сохранения доступа к взломанным устройствам и, вероятно, для доставки дополнительных полезных нагрузок.

Аналитики вообще п…

Эксперты сообщают, что вымогательская группа Conti прекратила свою деятельность, ее инфраструктура отключена, а руководители группы заявили, что бренда больше нет.

Одним из первых перемены заметил Елисей Богуславский из компании Advanced Intel, который сообщил в Twitter, что внутренняя инфраструктура группировки отключена.

В рамках такого «партнерства» небольшие хак-группы получают приток опытных пентестеров, переговорщиков и операторов из числа участников Conti.

А синдикат Conti, разделяясь на более мелкие «ячейки», управляемые единым руководством, получает мобильность и возможность уклоняться от внимания правоохранительных органов.

Также в Advanced Intel считают, что члены Conti создали р…

Вице-президент, директор департамента кибербезопасности Сбербанка Сергей Лебедь принял участие в пленарном заседании «Тектонический сдвиг российского кибербеза» на форуме по практической кибербезопасности Positive Hack Days 11.

Также, по словам Лебедя, 6 мая 2022 года Сбербанк отразил самую мощную DDoS-атаку в своей истории.

«Если до 24 февраля фиксировалась одна DDoS-атака в неделю, то уже в марте мы фиксировали до 46 одновременных DDoS-атак, нацеленных на разные сервисы Сбербанка.

Центр киберзащиты Сбербанка в режиме 24/7 ведет анализ киберугроз и оперативно реагирует на них.

Эксперты Сбербанка полагают, что в ближайшем будущем количество DDoS-атак будет снижаться, однако их мощность прод…

Вчера эксперты Data Leakage & Breach Intelligence (DLBI) сообщили, что в продаже в даркнете появилась база данных службы доставки Delivery Club.

Сегодня представители компании подтвердили утечку данных о заказах пользователей, но подчеркнули, что дамп не содержит банковские данные заказчиков.

Так, в пресс-службе Delivery Club заявили:«Данные включают в себя информацию о заказах и не затрагивают банковские реквизиты.

Кроме того, сообщается, что Роскомнадзор уже обратился с запросом в Delivery Club и изучает детали случившегося.

13.11 КоАП РФ, которая предполагает наказание в виде штрафа в размере от 60 000 рублей до 100 000 рублей.

Обыч­но, кро­ме цифер­бла­та и нес­коль­ких цифр, на него ничего не выводят, и это таки не слу­чай­но!

На выходе вып­рямите­ля получа­ем око­ло +330 В. На выходе умно­жите­ля име­ем, соот­ветс­твен­но, око­ло –660 В, что в сум­ме дает нам 1000 В — впол­не дос­таточ­ное нап­ряжение для работы труб­ки.

И это в пер­вую оче­редь быс­тро­дей­ствие.

И что с того, спро­сишь ты?

А кро­ме того, ЦАП на 74HC595 выда­ет сиг­нал до 5 В, что, учи­тывая низ­кую чувс­тви­тель­ность труб­ки, нам толь­ко на руку.

Еще в апреле текущего года эксперты VMware обнаружили и исправили RCE-уязвимость CVE-2022-22954, а также уязвимость повышения привилегий CVE-2022-22960.

«Согласно отчетам надежных третьих сторон, злоумышленники могут объединять эти уязвимости в цепочку.

Также на этой неделе VMware предупредила клиентов о необходимости немедленного исправления другой критической уязвимости, допускающей обход аутентификации и «влияющей на пользователей локального домена», что можно использовать для получения прав администратора.

Другой баг, исправленный на этой неделе, получил идентификатор CVE-2022-22973 и может использоваться для локального повышения привилегий.

Полный список продуктов VMware, на которые вл…

Аналитики NordPass опубликовали статистику, согласно которой руководители предприятий и владельцы компаний обычно используют слабые и легко взламываемые пароли, а это значительно увеличивает вероятность масштабных утечек данных.

Отчет компании гласит, что «рейтинг» паролей был составлен в партнерстве с независимыми исследователями, специализирующимися на изучении инцидентов в области кибербезопасности.

Исследование было сосредоточено на плохих паролях, которые используют высокопоставленные руководители бизнеса, а также владельцев компаний самых разных отраслей.

К сожалению, эксперты пришли к выводу, что пароли 123456, 123456789, qwerty и password по-прежнему остаются популярными и возглавля…

Сообщается, что пострадавший банк не только отказался платить злоумышленникам выкуп, но и высмеял их, а также прислал фото мужских гениталий.

«Хотим сообщить, что с тех пор работа этих систем была полностью восстановлена», — подчеркивается в официальном заявлении.

Хакеры утверждали, что зашифровали NAS в сети банка и требовали выкуп за восстановление данных.

Когда журналисты Bleeping Computer впервые увидели эту переписку, появилась предположение, что в чат для переговоров проникли посторонние, ведь такое не раз случалось в прошлом.

При этом Нсофу заявил, что представители банка уже «послали злоумышленников» по известному адресу, тем самым подтвердив, что они все же участвовали в переговора…

В 2021 году самыми агрессивными операторами шифровальщиков, совершившими наибольшее число кибератак в мире, были признаны группы LockBit, Conti и Pysa.

Запрашиваемые злоумышленниками суммы выкупа в прошлом году достигли астрономических величин — средний размер требуемого выкупа вырос до 247 000 долларов США.

Среднее время простоя атакованной компании в 2021 году увеличилось с 18 дней до 22 дней.

Таким образом, в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200%.

Векторы и тактикиКак и в позапрошлом году, самым частым способом получения первоначального доступа в сети компаний стала компрометация публичных RDP-серверов.

СМИ сообщают, что представители медицинской лаборатории «Гемотест» подтвердили в письме «факт хакерской атаки и несанкционированного доступа к информационному ресурсу», выявленные 22 апреля текущего года.

Напомню, что в начале мая специалисты Data Leakage & Breach Intelligence (DLBI) заметили, что в даркнете выставили на продажу базу данных клиентов медицинской лаборатории «Гемотест».

Исследователи писали, что в закрытом доступе и для узкого круга лиц эта база появилась еще начале весны 2022 года.

При этом в «Гемотесте» подчеркивают, что есть основания сомневаться в достоверности «распространяемой в сети интернет информации об объеме имеющихся в распоряжении злоумышленников данных».

Также с…

Иссле­дова­тели из SEC Consult Vulnerability Lab недав­но наш­ли любопыт­ную уяз­вимость в мно­гофун­кци­ональ­ных устрой­ствах Konica Minolta и рас­ска­зали о том, как на ее исправ­ление пов­лияла эпи­демия COVID-19.

Проб­лема акту­аль­на для нес­коль­ких моделей МФУ Konica Minolta bizhub и поз­воля­ет получить пол­ный дос­туп к опе­раци­онной сис­теме на чте­ние и запись от име­ни поль­зовате­ля root.

Прав­да, есть нюанс: для это­го нуж­но иметь непос­редс­твен­ный физичес­кий кон­такт с сен­сорным дис­пле­ем МФУ и воз­можность под­клю­чить к нему внеш­нюю кла­виату­ру.

В сво­ем ис­сле­дова­нии спе­циалис­ты SEC Consult рас­ска­зали о том, что при работе с МФУ Konica Minolta bizhub C3300i…

Продукты, которые полагаются на BLE для аутентификации на основе близости, защищены от известных методов relay-атак благодаря проверкам точного количества задержек (latency), а также шифрованию на уровне канала.

Так как Tesla Model 3 и Model Y используют систему входа на основе BLE, предложенный экспертами метод может использоваться для разблокировки и запуска этих автомобилей.

Хотя технические детали атаки пока не опубликованы, исследователи рассказывают, что они протестировали свой метод на Tesla Model 3 2020 года с использованием iPhone 13 mini и приложением Tesla версии 4.6.1-891.

Тест был успешно воспроизведен на Tesla Model Y 2021 года, поскольку в этом авто используются аналогичные т…

Multiple versions of a WordPress plugin by the name of "School Management Pro" harbored a backdoor that could grant an adversary complete control over vulnerable websites.

The issue, spotted in premium versions before 9.9.7, has been assigned the CVE identifier CVE-2022-1609 and is rated 10 out of 10 for severity.

School Management, developed by an India-based company called Weblizar, is billed as a Wordpress add-on to "manage complete school operation."

It also claims more than 340,000 customers of its premium and free WordPress themes and plugins.

The free version of School Management, which doesn't pack the licensing code, is not impacted.

Cisco on Friday rolled out fixes for a medium-severity vulnerability affecting IOS XR Software that it said has been exploited in real-world attacks.

Tracked as CVE-2022-20821 (CVSS score: 6.5), the issue relates to an open port vulnerability that could be abused by an unauthenticated, remote attacker to connect to a Redis instance and achieve code execution.

"Given the configuration of the sandboxed container that the Redis instance runs in, a remote attacker would be unable to execute remote code or abuse the integrity of the Cisco IOS XR Software host system."

The flaw, which it said was identified during the resolution of a technical assistance center (TAC) case, impacts Cisco 8000 Seri…

A Linux botnet malware known as XorDdos has witnessed a 254% surge in activity over the last six months, according to latest research from Microsoft.

The trojan, so named for carrying out denial-of-service attacks on Linux systems and its use of XOR-based encryption for communications with its command-and-control (C2) server, is known to have been active since at least 2014.

"Its SSH brute force attacks are a relatively simple yet effective technique for gaining root access over a number of potential targets."

XorDdos has since emerged as the top Linux-targeted threat in 2021, according to a report from CrowdStrike published earlier this January.

"XorDdos uses evasion and persistence mechan…

Google's Threat Analysis Group (TAG) on Thursday pointed fingers at a North Macedonian spyware developer named Cytrox for developing exploits against five zero-day (aka 0-day) flaws, four in Chrome and one in Android, to target Android users.

"The campaigns were limited — in each case, we assess the number of targets was in the tens of users," Lecigne and Resell noted.

The ultimate goal of the operation, the researchers assessed, was to distribute a malware dubbed Alien, which acts as a precursor for loading Predator onto infected Android devices.

The third campaign — a full Android 0-day exploit — was detected in October 2021 on an up-to-date Samsung phone running the then latest version o…

A case of software supply chain attack has been observed in the Rust programming language's crate registry that leveraged typosquatting techniques to publish a rogue library containing malware.

In this case, the crate in question is "rustdecimal," a typosquat of the real "rust_decimal" package that's been downloaded over 3.5 million times to date.

Specifically, the new function checks if the "GITLAB_CI" environment variable is set, suggesting a "singular interest in GitLab continuous integration (CI) pipelines," SentinelOne noted.

"Software supply-chain attacks have gone from a rare occurrence to a highly desirable approach for attackers to 'fish with dynamite' in an attempt to infect entir…

The North Korea-backed Lazarus Group has been observed leveraging the Log4Shell vulnerability in VMware Horizon servers to deploy the NukeSped (aka Manuscrypt) implant against targets located in its southern counterpart.

"The attacker used the Log4j vulnerability on VMware Horizon products that were not applied with the security patch," AhnLab Security Emergency Response Center (ASEC) said in a new report.

NukeSped is a backdoor that can perform various malicious activities based on commands received from a remote attacker-controlled domain.

Last year, Kaspersky disclosed a spear-phishing campaign aimed at stealing critical data from defense companies using a NukeSped variant called ThreatN…

Fraudulent domains masquerading as Microsoft's Windows 11 download portal are attempting to trick users into deploying trojanized installation files to infect systems with the Vidar information stealer malware.

"These variants of Vidar malware fetch the C2 configuration from attacker-controlled social media channels hosted on Telegram and Mastodon network."

But embedded within the 330MB binary is a 3.3MB-sized executable that's the Vidar malware, with the rest of the file content padded with 0x10 bytes to artificially inflate the size.

The findings add to a list of different methods that have been uncovered in the past month to distribute the Vidar malware, including Microsoft Compiled HTML…

Taiwanese network-attached storage (NAS) devices maker QNAP on Thursday warned its customers of a fresh wave of DeadBolt ransomware attacks.

"QNAP urges all NAS users to check and update QTS to the latest version as soon as possible, and avoid exposing their NAS to the internet," QNAP said in an advisory.

This development marks the third time QNAP devices have come under assault from DeadBolt ransomware since the start of the year.

In late January, as many as 4,988 DeadBolt-infected QNAP devices were identified, prompting the company to release a forced firmware update.

DeadBolt attacks are also notable for the fact that they allegedly leverage zero-day flaws in the software to gain remote …

A novel Bluetooth relay attack can let cybercriminals more easily than ever remotely unlock and operate cars, break open residential smart locks, and breach secure areas.

The vulnerability has to do with weaknesses in the current implementation of Bluetooth Low Energy (BLE), a wireless technology used for authenticating Bluetooth devices that are physically located within a close range.

"An attacker can falsely indicate the proximity of Bluetooth LE (BLE) devices to one another through the use of a relay attack," U.K.-based cybersecurity company NCC Group said.

"This approach can circumvent the existing relay attack mitigations of latency bounding or link layer encryption, and bypass locali…

The 2022 SaaS Security Survey Report, in collaboration with CSA, examines the state of SaaS security as seen in the eyes of CISOs and security professionals in today's enterprises.

1: SaaS Misconfigurations are Leading to Security IncidentsSince 2019, SaaS misconfigurations have become a top concern for organizations, with at least 43% of organizations reporting they've dealt with one or more security incidents caused by a SaaS misconfiguration.

On the other hand, investment in security tools (73%) and staff (55%) for SaaS security is lower.

This dissonance represents an increasing burden on the existing security teams to monitor SaaS security.

Companies currently using or planning to use S…

Google last month addressed a high-severity flaw in its OAuth client library for Java that could be abused by a malicious actor with a compromised token to deploy arbitrary payloads.

"The vulnerability is that the IDToken verifier does not verify if the token is properly signed," an advisory for the flaw reads.

"Signature verification makes sure that the token's payload comes from a valid provider, not from someone else.

The open-source Java library, built on the Google HTTP Client Library for Java, makes it possible to obtain access tokens to any service on the web that supports the OAuth authorization standard.

Users of the google-oauth-java-client library are recommended to update to ver…

A new research published by academics from KU Leuven, Radboud University, and the University of Lausanne has revealed that users' email addresses are exfiltrated to tracking, marketing, and analytics domains before such is submitted and without prior consent.

Furthermore, 52 websites were determined to be collecting passwords in the same manner, an issue that has since been addressed following responsible disclosure.

LiveRamp, Taboola, Adobe, Verizon, Yandex, Meta, TikTok, Salesforce, Listrak, and Oracle are some of the top third-party trackers that have been spotted logging email addresses, while Yandex, Mixpanel, and LogRocket lead the list in the password-grabbing category.

Email address…

VMware has issued patches to contain two security flaws impacting Workspace ONE Access, Identity Manager, and vRealize Automation that could be exploited to backdoor enterprise networks.

"It is extremely important that you quickly take steps to patch or mitigate these issues in on-premises deployments," VMware said.

With root access, the actor could wipe logs, escalate permissions, and move laterally to other systems."

"CISA expects threat actors to quickly develop a capability to exploit these newly released vulnerabilities in the same impacted VMware products," the agency said.

The agency has also released a follow-up advisory with regards to the active exploitation of CVE-2022-1388 (CVSS…

Lookout, a leader in endpoint-to-cloud security, has published an interactive infographic to help you visualize how a ransomware attack happens and understand how to protect your data.

3 — Render data useless for ransom with proactive encryptionThe final step of a ransomware attack is to hold your data hostage.

Encryption is a critical part of any data loss prevention (DLP) strategy, and triggering it off of contextual data protection policies can help you protect your most sensitive data from compromise.

Securing against ransomware: point products versus a unified platformA ransomware attack isn't just a single event; it's a persistent threat.

To learn more about key lessons you can learn …

The inner workings of a cybercriminal group known as the Wizard Spider have been exposed, shedding light on its organizational structure and motivations.

"Some of the money they get is put back into the project to develop new tools and talent."

The TrickBot operators have also extensively cooperated with Conti, another Russia-linked cybercrime group notorious for offering ransomware-as-a-service packages to its affiliates.

In addition to leveraging a wealth of utilities for credential theft and reconnaissance, Wizard Spider is known to use an exploitation toolkit that makes use of recently disclosed vulnerabilities such as Log4Shell to gain an initial foothold into victim networks.

Last yea…

Daniel Kaar, global director application security engineering at Dynatrace, highlights the newfound respect for AppSec-enabled observability in the wake of Log4Shell.

When it’s all said and done, application security pros may come to look upon the Log4Shell vulnerability as a gift.

But in the still burgeoning age of cloud computing, Log4Shell also exposed the significant gap that exists between application security and observability.

Avisi’s observability and application security tool enabled the security team to accelerate the response to Log4Shell.

Also, an application security remediation tracking screen for each vulnerability helps security teams spot and highlight whether each affected…

More than 380,000 Kubernetes API servers allow some kind of access to the public internet, making the popular open-source container-orchestration engine for managing cloud deployments an easy target and broad attack surface for threat actors, researchers have found.

The Shadowserver Foundation discovered the access when it scanned the internet for Kubernetes API servers, of which there are more than 450,000, according to a blog post published this week.

Of the more than 450,000 Kubernetes API instances identified by Shadowserver, 381,645 responded with “200 OK,” researchers said.

In all, Shadowserver found 454,729 Kubernetes API servers.

Cloud Under AttackThe findings are troubling given th…

The plugin is required to run the JupiterX theme.

Affected versions of the themes are: Jupiter Theme 6.10.1 or earlier, and JupiterX Core Plugin 2.0.7 or earlier.

By May 10, the developed had released updated versions of both the Jupiter and JupiterX themes that had patched all the flaws.

Critical VulnerabilityThe critical flaw found resides in a function, uninstallTemplate, which is intended to reset a site after a template is uninstalled.

In the Jupiter theme, the function is found in the theme itself; in JupiterX, it’s present in the JupiterX Core plugin.

The U.S. Department of Justice indites middle-aged doctor, accusing him of being a malware mastermind.

On Monday, the U.S. Attorney’s Office for the Eastern District of New York revealed criminal charges against 55 year-old cardiologist Moises Luis Zagala Gonzalez of Cuidad Bolivar, Venezuela accusing him of being the mastermind behind the prolific Thanos malware.

According to a DOJ press release, beginning in late 2019, Gonzalez took to online cybercrime forums to market a new product he’d built.

It was a ransomware builder – software that helps other cybercriminals more easily design their own, custom ransomware programs.

Cybercriminals could purchase a subscription to this malware or par…

“Contrary to common belief, most APT campaigns employed publicly known vulnerabilities,” they wrote in the report.

Indeed, of the 86 APTs that researchers investigated, only eight–Stealth Falcon, APT17, Equation, Dragonfly, Elderwood, FIN8, DarkHydrus and Rancor—exploited vulnerabilities that others didn’t, researchers found.

Faster Updates Reduce RiskThis finding promotes faster updates to fix known flaws in organizations’ systems rather than taking their time to apply updates that are released for known vulnerabilities, which seems to be the trend right now.

However, to combat APTs, “slow updates do not seem appropriate,” researchers wrote.

Organizations could perform “12 percent of all p…

Researchers say a GitHub proof-of-concept exploitation of recently announced VMware bugs is being abused by hackers in the wild.

Recently reported VMware bugs are being used by hackers who are focused on using them to deliver Mirai denial-of-service malware and exploit the Log4Shell vulnerability.

Security researchers at Barracuda discovered that attempts were made to exploit the recent vulnerabilities CVE-2022-22954 and CVE-2022-22960, both reported last month.

The VMware Workspace One is an intelligent-drive workspace platform that helps to manage any app on any device in a secure and simpler manner.

Exploitation Occurred After PoC ReleaseThe Barracuda researchers noted that the previous …

Unpatched vulnerabilities in the Spring Framework and WordPress plugins are being exploited by cybercriminals behind the Sysrv botnet to target Linux and Windows systems.

The botnet variant is being called Sysrv-K by Microsoft Security Intelligence researchers that posted a thread on Twitter revealing details of the botnet variant.

Once running on a device, Sysrv-K deploys a cryptocurrency miner,” said Microsoft Security Intelligence in a tweet.

This could put the rest of the network at risk of becoming part of the Sysrv-K botnet” the Microsoft security intelligence team reported.

Microsoft advised the organizations to secure internet-facing Linux or Windows systems, timely apply security u…

Wireless features Bluetooth, NFC and UWB stay on even when the device is powered down, which could allow attackers to execute pre-loaded malware.

Attackers can target iPhones even when they are turned off due to how Apple implements standalone wireless features Bluetooth, Near Field Communication (NFC ) and Ultra-wideband ( UWB) technologies in the device, researchers have found.

Root of the IssueThe root cause of the issue is the current implementation of low power mode (LPM) for wireless chips on iPhones, researchers detailed in the paper.

As a result, on modern iPhones, wireless chips can no longer be trusted to be turned off after shutdown.

In this attack, a threat actor with system-lev…

Microsoft is alerting customers that its May Patch Tuesday update is causing authentications errors and failures tied to Windows Active Directory Domain Services.

In a Friday update, Microsoft said it was investigating the issue.

The warning comes amid shared reports of multiple services and policies failing after installing the security update.

“Installation of updates released May 10, 2022, on client Windows devices and non-domain controller Windows Servers will not cause this issue.

WorkaroundsThe Domain administrators are advised by Microsoft to manually map the certificates to a user in Active Directory until the official updates are available.

The modules include a stealer, clipper, worm, miner and ransomware, depending on what type of attack a threat actors wants to mount, according to the post.

This is likely because threat actors can sell their products without any regulation, they said.

The Eternity Miner, a malicious program that uses the infected device to mine cryptocurrency, sells for $90 for an annual subscription.

The Eternity Clipper–malware that monitors the clipboard of an infected machine for cryptocurrency wallets and replaces them with the threat actor’s crypto-wallet addresses–is being sold for $110.

Threat actors are selling the Eternity Worm, a virus that spreads through infected machines via files and networks…

On April 23rd, 2022, a Discord user with the handle “Portu” began advertising a new password-stealing malware builder.

Malware builders are programs which so-called script kiddie hackers can craft their own executables on top of.

Four days later, threat analysts from Uptycs discovered the first sample of a Portu-inspired malware sample in the wild researchers dubbed “KurayStealer.” According to researchers, the malware has been used to target Discord users.

They’re like APIs, the key difference being that webhooks send information automatically, without the need for a request from the receiver.

Then it begins credential hunting: probing for passwords, tokens, IP addresses and more from Disc…

Tony Lauro, director of security technology and strategy at Akamai, discusses reducing your company’s attack surface and the “blast radius” of a potential attack.

The core of this strategy is the concept of “reducing the blast radius” of an attack.

Zero Trust Remote AccessWith the advent of ubiquitous remote access, every laptop, phone and tablet has become a potential threat vector for malware seeking to access the corporate network.

Instead of using infrastructure for segmentation, software creates a segmentation overlay that works across data center and cloud environments to manage all segmentation policies.

But by reducing the blast radius of an attack by containing the bad actors, you …

Dubbed Nerbian RAT, the novel malware variant is written in the OS-agnostic Go programming language and “utilizes significant anti-analysis and anti-reversing capabilities”, according to a Proofpoint blog post published Wednesday.

The messages include safety measures related to COVID-19 as well as attachments that also include “covid19” in their names but are actually Word documents containing malicious macros.

Complexity and EvasionThe Nerbian RAT “leverages multiple anti-analysis components spread across several stages, including multiple open-source libraries,” researchers wrote.

The dropper performs various environment scans, such as anti-reversing and anti-VM checks, before executing t…

“Potential security vulnerabilities in some Intel Optane SSD and Intel Optane SSD Data Center products may allow escalation of privilege, denial of service or information disclosure,” reported Intel.

Vulnerability DetailsCVE-2021-33078According to Intel, it has the CVSS base score of 7.9 and is described as a Race condition within a thread in Intel Optane SSD and Intel Optane SSD DC products.

CVE-2021-33077This vulnerability is described as insufficient control flow management in firmware for Intel SSD and Intel SSD DC products.

It has a CVSS base score of 7.3CVE-2021-33080An attacker can perform information disclosure or privilege escalation via physical access on Intel SSD DC, Intel Optan…

A novel form of phishing takes advantage of a disparity between how browsers and email inboxes read web domains.

The clever trick takes advantage of a key difference in how email inboxes and browsers read URLs, according a Monday report by Perception Point.

Ordinary email security filters interpreted it as a comment, but browsers interpreted it as a legitimate web domain.

A Lame Phishing AttemptOn May 2, Perception Point’s incident response (IR) team flagged a hasily-designed phishing email trying to pass itself off as a Microsoft notice.

So here’s the mystery: how did such a low-effort phishing attempt make it past email security filters, which are trained to spot much more sophisticated f…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Mobile attacks have been going on for many years, but the threat is rapidly evolving as more sophisticated malware families with novel features enter the scene.

For the first time in a year, security incidents involving email compromises surpassed ransomware incidents, a new analysis shows.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

When you hear the term ‘cryptocurrency’, does ‘secure’ also spring to mind?

Here are some implications of the lack of sound security practices in the world of crypto.

When you hear the term ‘cryptocurrency’, does ‘secure’ also immediately spring to mind?

In this edition of Week in security, Tony examines several implications of the lack of sound security practices in the world of crypto.

Sign up to receive an email update whenever a new article is published in our Ukraine Crisis – Digital Security Resource Center Submit

The ESET research team has now spotted an updated version of the ArguePatch malware loader that was used in the Industroyer2 attack against a Ukrainian energy provider and in multiple attacks involving data wiping malware called CaddyWiper.

The Industroyer2 attack, meanwhile, leveraged a patched version of HexRays IDA Pro’s remote debug server.

The latest find builds on a string of discoveries that ESET researchers have made since just before Russia’s invasion of Ukraine.

The next day, a second destructive attack against a Ukrainian governmental network started, this time deploying IsaacWiper.

Importantly, ESET’s collaboration with CERT-UA led to the discovery of a planned attack involving …

Naturally, the fascination with all things crypto and the (almost) gravity-defying increase in the value of many cryptocurrencies haven’t escaped the notice of criminals.

Let’s look at how criminals hijack computing power to mine new coins and how they make off with other people’s ‘crypto cash’.

ConsAs crypto prices fluctuate wildly, “investing” in these assets is not for the faint of heart.

The semiconductor chip shortage along with the rush by crypto “prospectors” to build specialized rigs in order to capitalize on the soaring crypto prices have conspired to a burst in demand for GPUs, ultimately sending their prices through the roof.

TheftCryptocurrencies are stored in so-called wallets …

From this point on, each will be more open to consume news that confirms their perspective – even if the news is fake.

On social media, we are inside of our own bubble, the place where we are always right.

These battalions of trolls and bots use social media to shape people’s minds and amplify “marginal voices and ideas by inflating the number of likes, shares, and retweets”.

Harder than knowing the people behind fake news is understanding what we can do to manage the content published on online platforms.

Since then, fake news has not only impacted election results, but also brought harm to people in real life.

But if we crack open the keys to ransomware, don’t we just help the bad guys make it better next time?

But the bad guys are usually good at hiding – they can afford all the good tools by paying the big bucks they just stole.

And it cuts the lifespan of effective ransomware tools and techniques down so they don’t make much money.

It costs money for the bad guys to develop good ransomware, and they want a payback.

Dealing with ransomware, both its operators and the ransomware code itself, is a tricky process, and it is often a game of chess that can take weeks or months or even years to play out as the good guys battle the bad guys.

Can you spot the tell-tale signs of a phishing attempt and check if an email that has landed in your inbox is legit?

Did you know that some 90 percent of successful cyberattacks start with a phishing email?

This helps show why learning to recognize and avoid phishing attacks is such an important skill to master these days.

In this edition of Week in security, Tony shares a few tell-tale warning signs of phishing messages.

Sign up to receive an email update whenever a new article is published in our Ukraine Crisis – Digital Security Resource Center Submit

What’s more, scams are growing in sophistication and none of us is immune to any of the various flavors of online schemes that have proven their staying power.

Let’s look at some of the most common reasons why the various tricks and social engineering methods aimed at parting us from our money are so effective.

Scammers are good storytellersMany con artists can create plausible stories and personas that may not always trigger your spam filters.

Likewise, they’re quick to exploit current events for their own gain, including by taking advantage of fears surrounding public emergencies.

In closing, never assume you can’t fall victim to a scam.

What can organizations do to capitalize on the current fluidity in the job market and bring fresh cybersecurity talent into the fold?

We all know there’s a cybersecurity skills shortage.

We’ve also all heard about the Great Resignation: a once-in-a-generation period of upheaval in the job market as workers reappraise their career paths following the pandemic.

According to (ISC)², the global cybersecurity skills shortfall now stands at 2.7 million workers globally, including nearly 200,000 in Europe.

Time for changeSo what can employers do to tap the Great Resignation and capitalize on the current fluidity in the job market?

Let’s go through a few examples of common scams exploiting LinkedIn.

Once we click a link in such a fake email, we’re sent to a fake LinkedIn landing page that asks for our login credentials.

** LinkedIn Phishing Scams ** Scammers target jobseekers with fake emails like this to make them think that recruiters may be interested in hiring them.#ScamAdviserAlerts #ScamAlert #OnlineScam #Phishing #LinkedIn pic.twitter.com/6p3yrZhBZZ — ScamAdviser (@scamadviser) March 25, 2022Bogus job offersOther ways of stealing logins involve offers for well-paying “job offers” that are within reach upon replying to a direct message.

I just confirmed from Afex on LinkedIn that this job advert, interview and e…

The conflict in Ukraine has highlighted the risks of cyberespionage attacks that typically involve Advanced Persistent Threat groups and often target organizations’ most valuable dataThe conflict in Ukraine has highlighted the risks of cyberespionage and sabotage, which typically involve Advanced Persistent Threat (APT) groups.

In this special edition of Week in security, Tony looks at:what the term “Advanced Persistent Threat” actually describes and what the objectives of groups behind these attacks arewhat some of the most dangerous APT groups are and their activities have also been analyzed by ESET researchers recentlywhat kinds of mitigation measures organizations can implement so they …

But have you heard of sugar daddy, or sugar momma, scams?

This was sent to my dog’s Instagram account pic.twitter.com/ZayKUaJL4Y — Jessica Huseman (@JessicaHuseman) January 25, 2022What are sugar daddy or sugar momma scams, anyway?

Fortunately, there are several ways to spot the tell-tale signs of a sugar daddy scammer.

Before replying to a possible sugar daddy on social media, check their profile for some of the above tell-tale signs of a scammer.

And if you think a family member of friend may be on the lookout for a sugar daddy, share this article.

Your smartphone stores almost every aspect of your life, from memories captured as photos to personal notes and schedules, login details and various other kinds of sensitive data.

Add to that the open nature of the Android ecosystem and it’s clearer why these devices bear the brunt of malicious attacks on mobile devices and remain a lucrative target for attackers.

Google has, of course, introduced a number of privacy- and security-enhancing features for Android devices.

Malware comes in various forms and works in various vicious ways.

Sign up to receive an email update whenever a new article is published in our Ukraine Crisis – Digital Security Resource Center Submit

These software bugs are exploited for attacks before the flaw is known to the software vendor and so before a patch is available.

Google’s Project Zero team was created over eight years ago with the specific goal of finding and responsibly disclosing zero-day bugs to vendors.

It identified 80 zero-day vulnerabilities exploited in the wild last year, more than double the previous record of 32 back in 2019.

As Google’s Stone argued, the industry needs to get better at making zero-day exploits harder for threat actors to develop.

That will force attackers to start from scratch when looking to find new zero-day bugs.

Here’s what you should know about FlowingFrog, LookingFrog and JollyFrog – the three teams making up the TA410 espionage umbrella groupIn this edition of Week in security, Tony looks at the latest ESET research that:provided a detailed overview of TA410, a cyberespionage umbrella group that targets entities in the government and education sectors all around the worldrevealed that TA 410 is made up of three teams – FlowingFrog, LookingFrog, and JollyFrog, each with its own toolset and targets anddiscovered a new version of FlowCloud, a complex and modular remote access tool that has several interesting capabilities and is used by FlowingFrogFor example, FlowCloud can:collect mouse movements,…

The C&C server is hardcoded, in cleartext, in the sample; in this specific case, it is set to 114.118.83[.]141.

T1559.001 Inter-Process Communication: Component Object Model FlowCloud uses COM interfaces to schedule tasks and perform WMI queries.

T1014 Rootkit FlowCloud uses a rootkit to hide its network traffic and processes from system utilities.

T1574.002 Hijack Execution Flow: DLL Side-Loading FlowCloud uses DLL Side-Loading to launch its second-stage dropper.

T1115 Clipboard Data FlowCloud registers a listener to steal clipboard data when it is changed.

Have you listened to our podcast?

Have you listened to our podcast?

US Government says: Patch VMware right now, or get off our network

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Tolpintsev was also accused of using that botnet to crack passwords that he then sold on the dark web.

But password cracking in its simplest form can trivially be sliced up into as many sub-tasks as you have processor cores available.

He’s now been sentenced to four years in prison, and ordered to pay up $82,648 that the DOJ could show he’d “earned” by selling on the passwords he’d cracked.

A good password manager will not only generated wacky, random passwords for you, it will prevent you from using the same password twice.

A good password manager will not only generated wacky, random passwords for you, it will prevent you from using the same password twice.

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

You didn’t leave enough space between ROSE and AND, and AND and CROWN

Have you listened to our podcast?

Have you listened to our podcast?

Offensive Security has released Kali Linux 2022.2, the latest version of its popular penetration testing and digital forensics platform.

Remote work hazards: Attackers exploit weak WiFi, endpoints, and the cloudInfoblox unveils a global report examining the state of security concerns, costs, and remedies.

As the pandemic and uneven shutdowns stretch into a third year, organizations are accelerating digital transformation projects to support remote work.

Two business-grade Netgear VPN routers have security vulnerabilities that can’t be fixedNetgear has admitted that multiple security vulnerabilities in its business-grade BR200 and BR500 VPN routers can’t be fixed due to technical limitations…

BigBear.ai announced the company has appointed Tony Barrett as President of the Cyber and Engineering Sector.

Previously, Barrett was Senior Vice President of the Integrated Defense Solutions Business Unit in the Cyber and Engineering Sector for BigBear.ai, servicing the United States Air Force and Department of Homeland Security.

Earlier in his career, Barrett served over two decades in the Marine Corps in the Intelligence field as an analyst and Intelligence Officer.

We’re excited to see the new heights Tony will achieve in this role.”“BigBear.ai’s Cyber and Engineering Sector is a critical resource to the federal government as it increases adoption of emerging technologies to solve compl…

Workato announced the appointments of Carle Quinn as Chief People Officer; Kerry Moore as its first Vice President of Talent & Diversity; and Keith Tyndall as Vice President of Corporate and Brand Marketing.

He has previously held marketing leadership roles at ServiceTitan, BlackLine, and Cornerstone OnDemand.

Tyndall will drive Workato’s global brand marketing and corporate communications strategy across key areas, utilizing his extensive expertise in high-growth SaaS technology companies across strategic communications, investor relations, product marketing, and brand strategy.

“I’ve dedicated my career to marketing leadership roles in global enterprise organizations, and am excited to le…

Security, compliance, and IT roadblocks slow down federal contractors working to achieve compliance with Cybersecurity Maturity Model Certification (CMMC).

CyberSheath has launched a partner program designed to empower vendors to expand their core capabilities and achieve CMMC compliance faster.

The CyberSheath Partner Program allows managed security service providers (MSSPs) and managed service providers (MSPs) to easily identify opportunities to speed their end customers’ cybersecurity compliance journeys.

Every customer has gaps when it comes to CMMC compliance, and they want to fill them efficiently.

Our one-of-a-kind partner program allows IT providers to step into cybersecurity and vi…

With pervasive cybersecurity threats to Global Navigation Satellite Systems (GNSS), utilizing an alternative time system is a matter of national security.

The Precise Time Scale System (PTSS) is a fully integrated system capable of providing timing accuracies comparable to the world’s best national laboratories.

The Precise Time Scale System integrates the new portfolio of time scale products into a turnkey solution, available in a single rack and guaranteed by a complete Factory Acceptance Test (FAT) that exceeds the most stringent requirements.

This system modularity allows timekeepers the ability to procure the system over time as budgets permit and technology evolves.

AvailabilityThe Pr…

The Amsterdam-based PwC firm operates as the “IAM Center Of Excellence” within EMEA for digital identity services.

Adding PlainID to its fold will allow PwC to extend the IAM portfolio into the policy-based digital identity domain, recognizing that PlainID is a core component of zero trust architecture.

“We are excited to build this partnership with PlainID,” said Gerald Horst, PwC Lead Partner – Digital Identity EMEA, and member of the PwC global Network Information Security Review Board.

By making authorization decisions simple, smart, granular, and dynamic, PlainID helps enterprises control who can access what, when, and how on whose authority.

“Working together with PwC enables us to de…

Castellan Solutions announces new integrations with leading emergency notification platforms, enabling organizations to drive crisis and disruption communications natively from within the Castellan resilience management platform.

“While Castellan offers its own emergency notification option, customers already using one of these third-party platforms may prefer to continue using that platform as their primary notification system,” stated Annie Asrari, Chief Product Officer of Castellan.

“Integrating these respected providers with the Castellan platform allows resilience leaders to manage their critical communications more seamlessly and effectively.

Leverage message templates created in your…

Red River announced that Brian Roach has been appointed Chief Executive Officer, effective May 31.

Roach joins Red River from SAP North America, where he led the Regulated Industries practice in the United States.

“Brian is ideally suited to lead Red River into the future,” said Red River Chairman Nana Banerjee.

“This is an exciting time to join Red River,” said Roach.

“Red River continues to meet the evolving needs of government agencies and businesses with its market-leading capabilities,” said Michael Sanford, Cerberus Senior Managing Director.

Sternum welcomes Amit Serper, an international cybersecurity expert, as its new Director of Security Research.

Amit Serper, who found a “vaccine” for NotPetya, now joins Sternum’s leadership team to lend the company his vast expertise in cybersecurity.

Before joining Sternum, Amit worked as the Director of Security Research for Akamai Technologies, a U.S. cloud and cybersecurity giant, where he focused on enterprise network protection.

“Sternum’s product is a real breakthrough for the entire IoT security industry,” says Amit Serper, Sternum’s Director of Security Research.

“He is a world-class expert whose knowledge will be crucial for us as we work to transform the core tenets of IoT secur…

To aid enterprises in creating their own tailored risk management program, ISACA has released a Risk Starter Kit, which contains a wealth of tools and templates to facilitate risk assessment, risk appetite, risk maturity assessment, risk policy creation and other related tasks.

Created by a group of global risk experts, the Risk Starter Kit includes guidance and templates that provide enterprises with a strong foundation for creating their own customized risk management tasks suited to their needs.

“It takes time and reflection for enterprises to perform risk management functions and having a trusted foundation from which to design these risk activities adds significant value.

These tools w…

To meet the demands of Singapore’s cybersecurity evaluation needs, Nanyang Technological University, Singapore (NTU Singapore) and the Cyber Security Agency of Singapore (CSA) officially launched the National Integrated Centre for Evaluation (NiCE).

The first of its kind in South-East Asia, the joint centre serves as a one-stop facility for cyber security evaluation and certification.

End users have little means to assess if these components are secure and need to rely on independent experts to perform such security evaluation.

Seeding a community of practiceThe barriers to entry for the security evaluation industry is high due to high equipment cost and deep expertise needed to perform sec…

Netgear has admitted that multiple security vulnerabilities in its business-grade BR200 and BR500 VPN routers can’t be fixed due to technical limitations outside of their control, and is offering users a free or discounted replacement router.

The routers and the vulnerabilitiesNetgear’s BR200 and BR500 VPN routers are marketed as remote networking solutions for small to medium-size businesses and home offices, and provide features such as a site-2-site VPN connection, a firewall, remote configuration and monitoring, and more.

Close all other browser tabs other than the router’s management GUI.

Make sure that you log out when you are not actively managing your router,” the company advises.

S…

Here’s a look at the most interesting products from the past week, featuring releases from Deepfence, Kasten by Veeam, Qualys, Skybox Security, and Trusona.

Deepfence Cloud protects cloud native applications and infrastructure against cybersecurity threatsDeepfence Cloud, built on the ThreatStryker offering from Deepfence, observes runtime indicators of attack (IoA) and indicators of compromise (IoC) and correlates events to tell the story of each attack as it evolves.

With Deepfence Cloud, enterprises can easily tap into ThreatStryker to provide targeted security for their applications against known and unknown threats in real time.

This new financial calculation enables customers to ident…

This status has been almost entirely driven by the rise of the smart speaker – the first truly mass-market smart home device.

However, as more and more people buy into the smart home and devices proliferate, there is an ever-bigger price to pay when it comes to data security and privacy.

There is a much lower ceiling to the smart home market if consumer concerns around data privacy cannot be solved – not just for today’s smart speakers, but also for whatever devices come next.

Security and privacy are non-negotiable for the smart homeMaking devices capable of processing data locally, and reacting to the results based on local AI, would represent a huge stride forward in data privacy.

The sh…

Email was revealed as the riskiest channel for data loss in organizations, as stated by 65% of IT security practitioners.

User-created data (sensitive email content, text files, M&A documents), regulated data (credit card data, Social Security numbers, national ID numbers, employee data), and intellectual property were identified as the three types of data that are most difficult to protect from data loss.

The top two consequences for data loss incidents were revealed as non-compliance with data protection regulations (57%) and damage to an organization’s reputation (52%).

Further, 52% of respondents report being unable to identify legitimate data loss incidents and standard employee data h…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Месячник молчания закончен - спешу сообщить, что блог переехал на новый домен - lukatsky.ru, где мы с вами и встретимся :-)Тут всем пока, а там всем привет!

И с международным днем защиты информации!!

РКН со своим 1046-м Постановление Правительства по надзору в области персональных данных тоже накосячил - и в расширительном толковании отдельных терминов, и синтаксических ошибках.

И это только три примера, которые достаточно свежие и от разных регуляторов, но их ведь гораздо больше.

Надо сказать, что это не совсем проблема регулятора, что у нас исторически все боятся сказать что-то против политики партии, но и его тоже - он же поощряет ее.

Поэтому только публичная активность, но на это рассчитывать не приходится - не приучен у нас регулятор к публичной критике, а еще и отомстить может.

Пятый вариант заключается в том, чтобы попробовать сферического коня в вакууме в своем загоне, то есть в…

Решил я тут раскрыть чуть больше краткую заметку в своем Telegram, посвященную моделированию угроз в процессе разработки ПО.

Я написал следующее: "Методика оценки угроз ФСТЭК не применяется при моделировании угроз в рамках безопасной разработки.

А, в конце концов, нарушение правил контроля доступа, которое отвечает за 10 из 30 основных проблем безопасности ПО?

Ее, кстати, нет и в текущей методике оценки угроз, что ставить нас перед непростой задачей - какую из актуальных угроз нейтрализовывать первой, какую второй, какую третьей и т.д.

А пока я остаюсь при своем мнении относительно того, что пока у нас нет методики оценки угроз в рамках процесса безопасной разработки.

Одни высказывались в пользу того, что не дело ИБ следить за тем, как тратится рабочее время компании.

Да, возможно слежение за рабочим времени - это не функция ИБ (что не мешает ИБ-вендорам активно допиливать свои решения именно для этой задачи).

Но не стоит забывать, что ИБ - это не только функция, но и инструмент, который может быть использован и другими подразделениями для их задач.

Да, ИБ может не приносить дохода, но при этом влиять на снижение расходов, тем самым увеличивая прибыль предприятия.

И дело не только и не столько в том, чтобы снижать стоимость инцидентов или предотвращать мошенничество, о чем мы тоже говорили.

Вторым круглым столом на конференции "Кибербезопасность нового времени", проведенной Innostage в рамках казанской DigitalWeek, был "Формальная безопасность vs практическая безопасность: как достичь синергии", который получился не таким, как я его задумывал изначально, готовя вопросы.

Почему об этом нигде не говорится и зачем вообще тогда надо было принимать документ, который нормально и не применить и меньше через год надо повторять процедуру (а деньги где брать)?

А все потому, что этот стандарт имеет пометку "для служебного пользования".

И как тут быть?

ФСТЭК говорила на мероприятиях, что у них есть ОКИИ (научной деятельностью они же занимаются в том же Воронеже).

Она сообщила, что заявленный план перехода объектов КИИ на российское ПО и оборудование к 2023-2024 г. выглядит красиво, но нереалистично.

Возможно в Газпромнефти и Энергоатоме разные ПО и железо, но я из практики тоже больше склоняюсь к позиции Лилии Загородных.

Если государство думает, что иностранные игроки всеми конечностями будут жержаться за российский рынок и довольствооваться подачками, то это не так.

И в тучные времена доля России в объеме бизнеса иностранных ИТ и ИБ-компаний составляла около 1%.

И это правда.

К этому выступлению я планировал завершить перевод последней версии матрицы MITRE ATT&CK v9 на русский язык и маппинг техник ФСТЭК в техники MITRE ATT&CK, что и было сделано (ссылки будут ниже).

Поэтому я и задался целью связать то, что принято во всем мире как стандарт де-факто (пусть и неидеальный) и что требует делать ФСТЭК.

Второй и, наверное, более серьезной задачей было найти соответствие между 145 техниками ФСТЭК и 400+ техник MITRE ATT&CK.

В октябре должна быть анонсирована новая, 10-я версия, MITRE ATT&CK и я планирую обновить свои переводы и маппинг.

Кроме того, у меня в планах перевести матрицу ATT&CK for ICS, провести маппинг техник ФСТЭК с ней, а также провести обратный маппинг…

И ты выходишь весь оплеванный и не знаешь, как обосновать выделение ресурсов.

Идея заключается в том, что мы должны выписать все функции, которые нам нужны для обеспечения ИБ в табличку и против каждой функции проставить число часов, которые эта функция требует.

Очевидно, что чем крупнее организация, тем больше функций ИБ в ней реализуется и тем больше времени на них нужно.

Но в данном примере нам нужно 140 часов в неделю, что при 40 рабочих часах по Трудовому Кодексу составит 3,5 FTE (Full-Time Equivalent).

Допустим, вы банк и вам "навесили" обеспечение непрерывной надежности и уведомление ФинЦЕРТ об инцидентах ИБ, а ИТ сбагрила вам проект по идентификации и аутентификации.

Почему мало кто из ИБшников или ИБшных сейлов пишет о своих измеримых достижениях в резюме?

По ним оценивается специалист, а не по тому какому КОИБАСу его учили старперы по учебникам времен Петра Первого.

Как правильно отметила в заметке Екатерина Калугина, большинство соискателей в резюме пишут, что делали (а это у многих схожих по роли специалистов очень похоже), а не что сделали.

Писать резюме - несложная штука, научиться сильно проще, чем обращаться с PowerPoint" и я с ним согласен.

О том, как писать резюме можно писать еще много, но я не ставил перед собой такую задачу.

Вчера я наткнулся на модель угроз и нарушителя безопасности информации, обрабатываемой в программно-техническом комплексе дистанционного электронного голосования (ДЭГ).

Меня немного удивило заявление, что в ДЭГ не обрабатываются специальная категория персональных данных о политических взглядах.

В приложении А в выписке отображена архитектура ДЭГ.

В этом нормативном документе описана и структура модели угроз, которая должна быть, и ряд обязательных элементов, среди которых сценарии реализации угроз.

Но ФСТЭК молчит и не публикует никаких информационных писем на этот счет, разъясняющих свою позицию.

Если следовать набившей оскомину идее, что ИБ должна говорить с бизнесом на его языке и быть вообще бизнес-ориентированной, то и проблему выплаты выкупа надо рассматривать как проблему бизнеса и приравнивать ее к "платить за переход к облакам или нет", "платить за кофе или нет", "поднять зарплату или нет", "открыть новый офис или нет".

Я не призываю всегда платить вымогателям, но прекрасно осознаю, что это вполне реальная опция.

Уверены ли мы, что ключи шифрования помогут и в реализации шифрования нет ошибок?

Не будет ли данная оплата рассматриваться как финансирование терроризма или экстремизма, а для госорганов - как нецелевое расходование средства?

Есть ли у вас криптовалютный кошелек (е…

И вот на днях подумал я, что неплохо бы реализовать такую идею самостоятельно, что я и сделал.

Поэтому классический вариант с оценкой зрелости по CMMI сюда не подходил.

Затем она переходит к многофакторной аутентификации, потом задумывается о Zero Trust или 802.1x начинает аутентифицировать не только пользователей, но и устройства.

Но такова уж карма термина "активный аудит", который в России известен уже давно и в него засовывают и обнаружение вторжений, и анализ защищенности.

Но и с этим я тоже справился.

На днях вышло официальное обновление стандарта ISO 27001, ISO/IEC 27001:2013/DAmd 1(en) Information technology — Security techniques — Information security management systems — Requirements — AMENDMENT 1. Теперь у нас новый список контролей (мер ИБ) в приложении А, теперь он выровнен с обновленным стандартом ISO 27002:2022, который мы также ожидаем со дня на день.Общее количество контролей сокращено до 93 (в основном путем объединения), добавлено 11 новых:5.7 Threat intelligence5.23 Information security for use of cloud services5.30 ICT readiness for business continuity7.4 Physical security monitoring8.9 Configuration management8.10 Information deletion8.11 Data masking8.12 Data leakage pre…

ISO опубликовала свежие данные по сертификации систем менеджмента (ISO Survey), из которых меня особенно интересует статистика по СУИБ (ISO 27001). The ISO Survey results contain three sets of data:the number of valid certificates for each country for the 12 ISO management system standards,the number of sites covered by the certificates for each country for 12 ISO management system standards,the number of sectors per country covered by the certificates for 10 ISO management system standards (ISO 22000 and ISO 13485 do not contain data on sectors).Общее количество сертификатов на конец 2020 года:По ISO 27001 рост на 22%.Топ 10 стран, по количеству выданных сертификатов:В РФ 90/252 (рост за г…

Застрахуй братуху, застрахуй или зачем вам ИБ, если можно просто купить полис?https://cloud.yandex.ru/insurance-offerhttps://sber.insure/products/cyber/Судя по количеству материалов по запросу "cybersecurity insurance" за рубежом это уже частая практика, посмотрим приживется ли у нас. Любопытно глянуть на реальные кейсы.p.s ого первый пост с лета :0

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Locks that use Bluetooth Low Energy to authenticate keys are vulnerable to remote unlocking.

The research focused on Teslas, but the exploit is generalizable.

In a video shared with Reuters, NCC Group researcher Sultan Qasim Khan was able to open and then drive a Tesla using a small relay device attached to a laptop which bridged a large gap between the Tesla and the Tesla owner’s phone.

“This proves that any product relying on a trusted BLE connection is vulnerable to attacks even from the other side of the world,” the UK-based firm said in a statement, referring to the Bluetooth Low Energy (BLE) protocol—technology used in millions of cars and smart locks which automatically open when in …

A surprising number of websites include JavaScript keyloggers that collect everything you type as you type it, not just when you submit a form.

They found that 1,844 websites gathered an EU user’s email address without their consent, and a staggering 2,950 logged a US user’s email in some form.

Many of the sites seemingly do not intend to conduct the data-logging but incorporate third-party marketing and analytics services that cause the behavior.

The group disclosed their findings to these sites, and all 52 instances have since been resolved.

We thought maybe we were going to find a few hundred websites where your email is collected before you submit, but this exceeded our expectations by …

Researchers have demonstrated iPhone malware that works even when the phone is fully shut down.

t turns out that the iPhone’s Bluetooth chip­ — which is key to making features like Find My work­ — has no mechanism for digitally signing or even encrypting the firmware it runs.

Academics at Germany’s Technical University of Darmstadt figured out how to exploit this lack of hardening to run malicious firmware that allows the attacker to track the phone’s location or run new features when the device is turned off.

[…]The research is the first — or at least among the first — to study the risk posed by chips running in low-power mode.

Not to be confused with iOS’s low-power mode for conserving ba…

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

The agency’s mathematicians, however, worked with NIST to support the process, trying to crack the algorithms in order to test their merit.

“Those candidate algorithms that NIST is running the competitions on all appear strong, secure, and what we need for quantum resistance,” Joyce said.

This is what the NSA did with NIST’s candidate algorithms for AES and then for SHA-3.

I still worry about the long-term security of the submissions, though.

It’s possible that quantum computers will someday break all of them, even those that today are quantum resistant.

Upcoming Speaking EngagementsThis is a current list of where and when I am scheduled to speak:The list is maintained on this page.

Posted on May 14, 2022 at 12:05 PM • 0 Comments

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Georgetown has a new report on the highly secretive bulk surveillance activities of ICE in the US:When you think about government surveillance in the United States, you likely think of the National Security Agency or the FBI.

You might even think of a powerful police agency, such as the New York Police Department.

But unless you or someone you love has been targeted for deportation, you probably don’t immediately think of Immigration and Customs Enforcement (ICE).

Our two-year investigation, including hundreds of Freedom of Information Act requests and a comprehensive review of ICE’s contracting and procurement records, reveals that ICE now operates as a domestic surveillance agency.

Federa…

Apple Mail now blocks email trackers by default.

The server keeps track of every time this “image” is opened and by which IP address.

So, how does Apple Mail stop this?

Apple Mail downloads all images for all emails before you open them.

Practically speaking, that means every message downloaded to Apple Mail is marked “read,” regardless of whether you open it.

Friday Squid Blogging: Squid Filmed Changing Color for Camouflage PurposesVideo of oval squid (Sepioteuthis lessoniana) changing color in reaction to their background.

The research paper claims this is the first time this has been documented.

As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Read my blog posting guidelines here.

Posted on May 6, 2022 at 4:15 PM • 2 Comments

It’s a major milestone for global Internet security and safety.

The notions of trust and stability in cyberspace are about much more than international safety and security.

The Internet Engineering Task Force, the group that agrees on the technical protocols that make the Internet work, is largely run by volunteer individuals.

First and foremost, “cyber” still isn’t taken seriously by much of the government, specifically the State Department.

Trying to create another cyber center of power within the State Department threatens those existing powers.

Cloudflare is reporting a large DDoS attack against an unnamed company “operating a crypto launchpad.”While this isn’t the largest application-layer attack we’ve seen, it is the largest we’ve seen over HTTPS.

HTTPS DDoS attacks are more expensive in terms of required computational resources because of the higher cost of establishing a secure TLS encrypted connection.

Therefore it costs the attacker more to launch the attack, and for the victim to mitigate it.

We’ve seen very large attacks in the past over (unencrypted) HTTP, but this attack stands out because of the resources it required at its scale.

The lawmakers say that in public statements and blog posts, ID.me has frequently emphasized the difference between two types of facial recognition: One-to-one, and one-to-many.

One-to-many facial recognition involves comparing a face against a database of other faces to find any potential matches.

Americans have particular reason to be concerned about the difference between these two types of facial recognition, says the letter to the FTC, signed by Sens.

The agency also pledged that any biometric data shared with ID.me would be permanently deleted.

Asked to respond to concerns raised in the letter from Senate lawmakers, ID.me instead touted its successes in stopping fraud.

But many government employees aren’t issued an approved card reader device that lets them use these cards at home or remotely, and so turn to low-cost readers they find online.

Not having a smart card reader at home and lacking any obvious guidance from his co-workers on how to get one, Mark opted to purchase a $15 reader from Amazon that said it was made to handle U.S. government smart cards.

The USB-based device Mark settled on is the first result that currently comes up one when searches on Amazon.com for “PIV card reader.” The card reader Mark bought was sold by a company called Saicoo, whose sponsored Amazon listing advertises a “DOD Military USB Common Access Card (CAC) Reader” and ha…

The U.S. Drug Enforcement Administration (DEA) says it is investigating reports that hackers gained unauthorized access to an agency portal that taps into 16 different federal law enforcement databases.

According to this page at the Justice Department website, LEIA “provides federated search capabilities for both EPIC and external database repositories,” including data classified as “law enforcement sensitive” and “mission sensitive” to the DEA.

The DEA portal esp.usdoj.gov is listed on Page 87 of a Justice Department “data inventory,” which catalogs all of the data repositories that correspond to DOJ agencies.

It’s not going to be as simple as just turning on multi-factor authentication fo…

Microsoft today released updates to fix at least 74 separate security problems in its Windows operating systems and related software.

This month’s patch batch includes fixes for seven “critical” flaws, as well as a zero-day vulnerability that affects all supported versions of Windows.

By all accounts, the most urgent bug Microsoft addressed this month is CVE-2022-26925, a weakness in a central component of Windows security (the “Local Security Authority” process within Windows).

CVE-2022-26925 was publicly disclosed prior to today, and Microsoft says it is now actively being exploited in the wild.

The flaw affects Windows 7 through 10 and Windows Server 2008 through 2022.

“To sign into a website on your computer, you’ll just need your phone nearby and you’ll simply be prompted to unlock it for access.

“Sign in with Google”), but users need to sign in at every website to use the passwordless functionality.

“I worry about people who can’t afford an extra device, or can’t easily replace a broken or stolen device,” Bellovin said.

“If you forget the password and lose your phone and CAN’T, well, now you’ve lost your authorization token that is used for logging in.

“Taking advantage of the phone’s strong authentication of the phone owner (if you have a decent passcode) is quite nice.

“The study also notes that the number of IT people who want to leave Russia is growing.

According to the BCC, about half of the world’s prison population is held in the United States, Russia or China.

The BCC says Russia currently houses nearly 875,000 inmates, or about 615 inmates for every 100,000 citizens.

Boyarsky is head of the St. Petersburg branch of United Russia, a strongly pro-Putin political party that holds more than 70 percent of the seats in the Russian State Duma.

Russian news outlet RBC reports that businesses started using prison labor after the possibility of creating correctional centers in organizations appeared in 2020.

Google said this week it is expanding the types of data people can ask to have removed from search results, to include personal contact information like your phone number, email address or physical address.

The move comes just months after Google rolled out a new policy enabling people under the age of 18 (or a parent/guardian) to request removal of their images from Google search results.

Google has for years accepted requests to remove certain sensitive data such as bank account or credit card numbers from search results.

TechCrunch writes that the policy expansion comes six months after Google started allowing people under 18 or their parents request to delete their photos from search re…

Twilio confirmed it uses Kodex’s technology for law enforcement requests destined for any of its business units, but likewise declined to comment further.

The company doesn’t disclose how many EDRs came from foreign law enforcement entities during that same time period.

Meta/Facebook says roughly 11 percent of all law enforcement data requests — 21,700 of them — were EDRs in the first half of 2021.

Google also runs its own portal for accepting law enforcement data requests.

The company accepts law enforcement requests via snail mail or fax.

The logs show LAPSUS$ breached T-Mobile multiple times in March, stealing source code for a range of company projects.

Or maybe it was all one big Capture the Flag competition, with source code being the flag.

The chats reveal that LAPSUS$ stole a great deal more source code than they bragged about online.

“FFS, THAT AWS HAD TMO SRC [T-Mobile source] code!” White yelled back.

The two then make a mad scramble to hack back into T-Mobile and re-download the stolen source code.

Microsoft’s civil lawsuit against Zloader names seven “John Does,” essentially seeking information to identify cybercriminals who used Zloader to conduct ransomware attacks.

Conti ravaged the healthcare sector throughout 2020, and leaked internal chats from the Conti ransomware group show the gang had access to more than 400 healthcare facilities in the U.S. alone by October 2020.

Security software firm Emsisoft found that at least 68 healthcare providers suffered ransomware attacks last year.

While Conti is just one of many ransomware groups threatening the healthcare industry, it seems likely that ransomware attacks on the healthcare sector are underreported.

The FBI said Conti has been o…

Microsoft on Tuesday released updates to fix roughly 120 security vulnerabilities in its Windows operating systems and other software.

Of particular concern this month is CVE-2022-24521, which is a “privilege escalation” vulnerability in the Windows common log file system driver.

In its advisory, Microsoft said it received a report from the NSA that the flaw is under active attack.

“Microsoft advises blocking TCP port 445 at the perimeter firewall, which is strong advice regardless of this specific vulnerability.

As always, please consider backing up your system or at least your important documents and data before applying system updates.

The DOJ also charged the alleged administrator of RaidForums — 21-year-old Diogo Santos Coelho, of Portugal — with six criminal counts, including conspiracy, access device fraud and aggravated identity theft.

Perhaps the most bustling marketplace within RaidForums was its “Leaks Market,” which described itself as a place to buy, sell, and trade hacked databases and leaks.

23, after a federal investigator confirmed rumors that the FBI had been secretly operating the RaidForums website for weeks.

Coelho landed on the radar of U.S. authorities in June 2018, when he tried to enter the United States at the Hartsfield-Jackson International Airport in Atlanta.

The DOJ said Coelho was arrested in t…

Here’s a closer look at hundreds of phony crypto investment schemes that are all connected through a hosting provider which caters to people running crypto scams.

Typical of crypto scam sites, Coinbase-x2 promises a chance to win 50,000 ETH (Ethereum virtual currency), plus a “welcome bonus” wherein they promise to double any crypto investment made with the platform.

Unfortunately, each of these clues lead to a dead end, meaning they were likely picked and used solely for these scam sites.

Cryptohost also controls several other address ranges, including 194.31.98.X, which is currently home to even more crypto scam websites, many targeting lesser-known cryptocurrencies like Polkadot.

That’s …

FBI officials said Wednesday they disrupted “Cyclops Blink,” a collection of compromised networking devices managed by hackers working with the Russian Federation’s Main Intelligence Directorate (GRU).

The DOJ said it did not seek to disinfect compromised devices; instead, it obtained court orders to remove the Cyclops Blink malware from its “command and control” servers — the hidden machines that allowed the attackers to orchestrate the activities of the botnet.

The FBI and other agencies warned in March that the Cyclops Blink malware was built to replace a threat called “VPNFilter,” an earlier malware platform that targeted vulnerabilities in a number of consumer-grade wireless and wired …

If these tactics sound like something you might sooner expect from spooky, state-sponsored “Advanced Persistent Threat” or APT groups, consider that the core LAPSUS$ members are thought to range in age from 15 to 21.

ADVANCED PERSISTENT TEENAGERSThis unusual combination makes LAPSUS$ something of an aberration that is probably more aptly referred to as “Advanced Persistent Teenagers,” said one CXO at a large organization that recently had a run-in with LAPSUS$.

The group of teenagers who hacked Twitter hailed from a community that traded in hacked social media accounts.

Most targeted employees are working from home or can be reached on a mobile device.

“Nation states have typically wanted l…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

I’m not sure if it would be enough for me to switch bank accounts, but I have something of a sneaking respect for the Bank of Zambia.

As Bleeping Computer reports, Zambia’s central bank fell foul of a ransomware attack orchestrated by the Hive ransomware gang earlier this month.

We wish to advise that these systems have since been fully restored.”Well, that’s good to know – but it’s not that that impresses me.

“So we pretty much told them where to get off.”Yup, they sure did that.

Follow Graham Cluley on Twitter to read more of the exclusive content we post.

Spanish police say that they have dismantled a phishing gang operating across the country, following the arrest of 13 people and the announcement that they are investigating a further seven suspects.

According to police, the phishing ring defrauded some 146 victims, stealing at least 443,600 Euros from online bank accounts.

Unsuspecting recipients who clicked on the link were not taken to the real banking website, but instead lookalike webpages under the control of the criminal gang.

The police investigation began following complaints in 2018 both from victims and a bank, after unauthorised purchases were made in electronics stores in France and elsewhere.

According to police, the gang used…

It should be hard for malicious hackers to break into systems, but all too often it isn’t.

In addition, malicious hackers exploit weak controls and other poor practices “to gain initial access or as part of other tactics to compromise a victims’ system.”According to the report, just a small number of techniques are commonly used by attackers to compromise systems:Exploitation of a public-facing application.

“As long as these security holes exist, malicious cyber actors will continue to exploit them,” said NSA Cybersecurity Director Rob Joyce.

Fortunately, the advisory details what it says are the best practices to defend systems from these common attacks:Control access.

Is it any wonder mal…

All this and much more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault, joined this week by Dr Jessica Barker.

Try Kolide Free for 14 Days; no credit card required.

Sponsor: GoodAccess GoodAccess – Free Business Cloud VPN for up to 100 Users.

Get a cloud VPN with strong network encryption and unprecedented online threat protection.

Remember: Subscribe on Apple Podcasts, or your favourite podcast app, to catch all of the episodes as they go live.

The good news: Central Bedfordshire Council in the UK responded to a Freedom of Information (FOI) request from parents campaigning for their children with special educational needs (SEND).

The bad news: Central Bedfordshire Council failed to properly redact the details of ‘dozens and dozens’ of pupils with special educational needs, publishing them on a public website.

It is the latest in a long history of incompetence and disregard for the law in relation to SEND families.

It also said it would be making changes to its procedures to avoid a repeat of the incident in the future.

Hopefully some appropriate staff training about the importance of protecting the private personal information of …

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

All this and more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault.

Try Kolide Free for 14 Days; no credit card required.

Sponsor: GoodAccess GoodAccess – Free Business Cloud VPN for up to 100 Users.

Get a cloud VPN with strong network encryption and unprecedented online threat protection.

Remember: Subscribe on Apple Podcasts, or your favourite podcast app, to catch all of the episodes as they go live.

Graham Cluley Security News is sponsored this week by the folks at Keeper Security.

The mass migration to distributed work has given IT and DevOps teams the new challenge of performing infrastructure monitoring and management remotely.

Keeper Connection Manager (KCM) provides DevOps and IT teams with effortless access to RDP, SSH, databases and Kubernetes endpoints through a web browser.

KCM is an agentless remote desktop gateway that can be installed in any on-premise or cloud environment.

KCM significantly enhances security by enabling organizations to adopt zero-trust remote access to IT infrastructure, which the majority of VPNs do not support, with features such as least-privilege acce…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

A ransomware attack which hit agricultural equipment manufacturer AGCO has caused it to shut down some of its manufacturing facilities and send staff home.

The firm acknowledged last week that its systems had been hit by ransomware, and that some of its production facilities had been impacted.

Employees at its plant in Marktoberforf, Germany, were sent home, as we assembly line workers at production lines in Beauvais, France.

Just last month the FBI issued a warning to agricultural cooperatives, about the danger ransomware gangs might target the food and agriculture sector during critical planting and harvest seasons.

Follow Graham Cluley on Twitter to read more of the exclusive content we …

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Over US $43 billion has been lost through Business Email Compromise attacks since 2016, according to data released this week by the FBI.

The FBI’s Internet Crime Complaint Center (IC3) issued a public service announcement on May 4 2022, sharing updated statistics on Business Email Compromise (BEC) attacks which use a variety of social engineering and phishing techniques to break into accounts and trick companies into transferring large amounts of money into the hands of criminals.

The FBI offers a number of tips to companies wishing to better protect themselves from Business Email Compromise attacks:Use secondary channels or two-factor authentication to verify requests for changes in accoun…

Join me, and an array of experts, at the Cyber Security Nordic event being held at Messukeskus in Helsinki from 12-13 May 2022.

In my keynote on 13 May, I’ll be discussing whether cybercriminals really are evil geniuses (as the media and some security vendors would like us to believe), or not…Now, obviously, you might not be able to be in Helsinki next week.

Well, do not fear as you can also attend virtually – via the power of the internet.

And if you can’t make it, be sure to check out other events on my speaking schedule over the coming months.

Follow Graham Cluley on Twitter to read more of the exclusive content we post.

All this and more is discussed in the latest edition of the award-winning “Smashing Security” podcast, with computer security veterans Graham Cluley and Carole Theriault.

Try Kolide Free for 14 Days; no credit card required.

Learn more and try it for yourself at netfoundry.io/smashingsecurityFollow the show:Follow the show on Twitter at @SmashinSecurity, on the Smashing Security subreddit, or visit our website for more episodes.

Remember: Subscribe on Apple Podcasts, or your favourite podcast app, to catch all of the episodes as they go live.

Follow Graham Cluley on Twitter to read more of the exclusive content we post.

Когда компания подвергается кибератаке или происходит утечка корпоративных данных, бизнес лихорадочно пытается решить две задачи: минимизировать ущерб и как можно скорее вернуться к нормальному рабочему процессу.

При этом основная нагрузка ложится на команду по реагированию на инциденты.

Наши эксперты определили набор ключевых навыков, необходимых специалисту по реагированию на инциденты:выявление инцидента;сбор улик;анализ логов;анализ сетевой активности;создание индикаторов компрометации;исследование оперативной памяти.

Для обучения этим навыкам или повышения квалификации команд по реагированию на киберинциденты «Лаборатория Касперского» создала онлайн-курс Windows Incident Response.

Узна…

18 мая компания VMware выпустила патчи для двух уязвимостей в своих продуктах: CVE-2022-22972, CVE-2022-22973.

Уязвимости затрагивают пять продуктов компании — VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation и vRealize Suite Lifecycle Manager.

Реальная степень опасности уязвимостей CVE-2022-22973 и CVE-2022-22972Ни специалистам VMware, ни экспертам из CISA пока неизвестно о применении данных уязвимостей в реальных атаках.

Поводом к изданию экстренной директивы CISA послужил тот факт, что в начале апреля этого года VMware уже закрывала несколько уязвимостей в тех же продуктах, после чего на системы, не обновленные в течение 48 часов н…

Когда я получил диплом, то уже мог найти работу в этой сфере — с тех пор я в ней и остаюсь.

Я выбрал «Лабораторию Касперского» в 2018 году, как раз после того, как на компанию обрушилась волна негатива в западных СМИ.

— Я думаю, тут дело не в народе, а в государственных институтах.

В остальном же, как мне кажется, в отношении украинского конфликта Франция придерживается такой же позиции, как и остальная Европа.

В основном мы работаем удаленно, но в каждом регионе проводятся свои еженедельные встречи для координации работы.

Бесплатные деньгиКак это чаще всего бывает, для потенциальной жертвы все начинается с письма.

Вероятно, мошенники рассчитывают, что девятизначная сумма настолько поразит воображение жертвы, что на изучение деталей терпения уже не хватит.

Но не забыты и пользователи более экзотических кошельков — для провайдеров, которых в списке не окажется, есть кнопка «Другие кошельки».

Все для клиента!

Иными словами, возможностей добраться до ваших сбережений с помощью сид-фразы у злоумышленника не меньше, чем с помощью приватного ключа.

Фишинговая атака на клиентов Wells FargoАтака начинается с фишингового письма с тревожным уведомлением.

В нем пользователю сообщают, что его банковский счет в Wells Fargo заблокирован — якобы из-за неподтвержденной электронной почты или ошибки в домашнем адресе.

Ссылка в письме ведет на посторонний сайт, а оттуда через переадресацию — на поддельную страницу входа в аккаунт Wells Fargo.

), и телефон с адресом, и дату рождения, и номер социального страхования (SSN).

Выманив у жертвы всю важную информацию, мошенники сообщают, что аккаунт успешно восстановлен, и перенаправляют ее на настоящий сайт Wells Fargo.

За последние несколько лет злоумышленники выбирали своими целями и небольшие компании, и гигантские заводы, и города и даже целые страны.

Но важно не упускать из внимания и другой вопрос — как не допустить повторения инцидента.

Потому что, во-первых, это будет означать, что ваша инфраструктура уязвима, а во-вторых, что вы ведете переговоры со злоумышленниками.

Вопросом о том, как не допустить повторения инцидента следует задаться еще в процессе расследования и ликвидации последствий.

В остальном же наши советы для тех, кто не хочет допустить повторения атаки шифровальщика-вымогателя достаточно стандартны:

В очередном ежемесячном обновлении компания Microsoft выпустила патчи для 74 уязвимостей, причем как минимум одна из них уже активно эксплуатируется злоумышленниками.

Самая опасная из закрытых уязвимостей — CVE-2022-26925По всей видимости, самая опасная уязвимость из свежеисправленной пачки — CVE-2022-26925, содержащаяся в Windows Local Security Authority.

Microsoft не делилась подробностями о эксплуатации этой уязвимости, однако судя по описанию проблемы, неизвестные злоумышленники уже активно применяют эксплойты для CVE-2022-26925 в атаках.

Хорошая новость состоит в том, что по мнению экспертов эксплуатировать данную уязвимость в реальных атаках достаточно сложно.

Среди них RCE-уязвимость…

Деньги при этом обычно списываются со счета мобильного телефона, хотя в некоторых схемах их могут списывать и с банковской карты.

Злоумышленники модифицируют какие-нибудь действительно полезные приложения, добавляя в них вредоносный код, и загружают в магазин под другим названием.

Это могут быть, например, приложения для обмена SMS, мониторинга артериального давления или сканирования документов.

Также иногда зараженные MobOk-приложения можно встретить и в Google Play.

Помимо этого, они могут в тех же источниках представляться и как бесплатная версия популярных и дорогих приложений, таких как Minecraft.

Результаты оказались разнообразные — и точно намекающие на то, что отношение к приватности во время звонков по работе стоит пересмотреть.

И отправляется ли звук с микрофона на сервер провайдера связи даже в режиме Mute?

Исследователи анализировали, как и когда приложение взаимодействует с микрофоном, сравнивая данные, полученные при захвате аудио от микрофона, с потоком информации, отправляемым на сервер.

В режиме «микрофон выключен» он не захватывает аудиопоток, то есть «не слышит», что происходит в вашем кабинете.

Единственный среди десятка аналогов, он постоянно обрабатывал звук от микрофона в процессе звонка, независимо от состояния кнопки Mute внутри приложения.

Мы за то, что детям тоже обязательно нужно рассказывать и показывать, как безопасно вести себя и распознавать потенциальные угрозы в интернетах.

Сегодня приложение стремительно развивается и уже приносит много пользы своим большим и маленьким пользователям!

Например, совсем недавно в самой последней версии приложения мы расширили функциональность в iOS-версии (для родителей) и добавили еще разных фич для проверки онлайн-активности детей.

Наше приложение не остается незамеченным — вовсю тестируется и признается независимыми международными экспертами.

Так что мы обязательно продолжим и дальше развивать приложение для нашей самой юной аудитории.

Почему в адресах фишинговых сайтов опечаткиДело в том, что доменный адрес — тот, что мы видим в адресной строке — уникален и всегда «приписан» одному владельцу.

Что такое атака «Браузер в браузере» (browser-in-the-browser)Схему такой атаки, получившей название «Браузер в браузере», описал исследователь безопасности и пентестер под ником mr.d0x.

Подвох в том, что на самом деле это не отдельное окно — все это великолепие нарисовано прямо внутри той страницы, которая пытается пользователя обмануть.

И если ввести здесь логин и пароль, то они отправятся не в Microsoft, Google или Apple, а прямиком на сервер злоумышленника.

Если окно с формой авторизации ведет себя странно — сворачивается вместе …

Если еще в феврале 2022 года они регистрировали около 3000 таких сообщений в месяц, то в марте — уже почти 30 000.

Мы нашли вредоносные письма на английском, венгерском, испанском, итальянском, норвежском, польском, русском, словенском и французском языках.

Какое вредоносное ПО используют злоумышленники и насколько оно опасноВ большинстве случаев открытый вредоносный документ загружает троян Qbot, однако наши эксперты выявили случаи загрузки и другого зловреда, Emotet.

Qbot может также получить доступ к электронной почте и воровать письма.

Как защититься от угрозыДля защиты от атак с использованием Qbot и Emotet (и любого другого вредоносного ПО, распространяемого по электронной почте) мы р…

Центры прозрачности «Лаборатории Касперского» работают в Европе, Латинской Америке и Азии.

С ноября 2018 года вредоносные и подозрительные файлы, которые продукты «Лаборатории Касперского» обнаружили на устройствах пользователей из Европы, хранятся и обрабатываются в наших дата-центрах в Швейцарии.

Новые шаги к информационной открытости«Лаборатория Касперского» проделала большую работу на пути к информационной открытости и не планирует останавливаться на достигнутом.

Ресертификация ISO 27001Системы по защите данных «Лаборатории Касперского» были ресертифицированы TÜV AUSTRIA в соответствии со стандартом ISO 27001.

Недавно мы подытожили результаты десятков тестов ведущих независимых лаборато…

Кража денег чаще всего если и интересует такие группировки, то далеко не в первую очередь.

Например, в 2016 году эти злоумышленники украли кругленькую сумму у Центрального банка Бангладеш, в 2018-м заразили зловредом криптовалютную биржу, а в 2020-м попробовали себя в роли вымогателей.

Чем опасен зловредВредоносная программа, которая попадает на компьютер с DeFi-кошельком, — это бэкдор, то есть лазейка для злоумышленников.

Как не стать жертвойЕсли вы работаете с финансами, и особенно — с криптовалютой, то стоит с настороженностью относиться к письмам и сообщениям, в которых вас склоняют к установке незнакомых программ.

Кроме того, стоит позаботиться о безопасности ваших устройств — в первую…

Давая советы жертвам шифровальщиков-вымогателей, мы, как правило, рекомендуем не отчаиваться и не удалять файлы, даже если их с ходу не получается восстановить.

Как расшифровать файлы, зашифрованные вымогателем YanluowangУязвимость в зловреде Yanluowang позволяет расшифровать файлы при помощи атаки на основе открытых текстов (known-plaintext attack).

Правда, есть одна сложность — Yanluowang немного по-разному портит файлы различного размера: маленькие, размером меньше 3 Гбайт, он шифрует полностью, а большие — частично.

Если же вам необходимо вернуть файлы больше 3 Гбайт, то придется поискать и оригинальные файлы соответствующего размера.

Что за шифровальщик Yanluowang и чем он опасенYanluo…

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

а по совместительству одним из самых значимых людей в отечественной форензике — Игорем Михайловым.

С моим опытом написания постов в блог такой формат подходил мне лучше всего.

Весь процесс написания занял у нас около полугода.Как-то мне в LinkedIn написал менеджер Packt и сказал, что они планируют выпустить третье издание «Practical Mobile Forensics».

Книга эта была мне очень знакома, я читал оба издания, и во многом именно они дали отличную базу, которая позволила мне работать с мобильными устройствами.

Третья книга "Learning Android Forensics: Analyze Android devices with the latest forensic tools and techniques" должна помочь глубоко погрузиться в анализ подобных мобильных устройств.

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

// Encrypt file data func (keytab *EncryptionKeyTab) EvaluateFilename(filename string, n1 uint32, n2 uint32) error { f, err := os.OpenFile(filename, os.O_RDWR, 0600) if err != nil { return err } defer f.Close() file_info, err := f.Stat() if err != nil { return err } file_size := file_info.Size() var num_blocks int = int(30 * (file_size / 4096) / 100) if file_size == 0 { return nil } if file_size <= 4096 { num_blocks = 1 } else if (num_blocks < 2) { num_blocks = 2 } else { if (num_blocks > 25) { num_blocks = 25 } } key_data1_pos := n1 % 0xE7000 key_data1 := keytab.Data[key_data1_pos : key_data1_pos + 0x19000] key_data2_pos := n2 % 0xFF400 key_data2 := keytab.Data[key_data2_pos : key_data2_po…

00 75 04 F7 D8 EB 0? }

[1-2] 32 2D 34 42 C7 4?

[1-2] 42 38 2D 39 C7 4?

[1-2] 36 44 41 32 C7 4?

[1-2] 42 46 31 37 } condition: (uint32(0) == 0x464C457F) and ( (1 of ($h*)) or for any i in (0..elf.number_of_sections-2): ( (elf.sections[i].name == ".app.version") and (elf.sections[i+1].name == ".cfgETD") ) ) }

(Feed generated with FetchRSS)

To help our customers and partners, we have centralized all our cloud & automation resources for Secure Firewall into a single page: https://developer.cisco.com/secure-firewall/cloud-resources/What can you find on the page?

Our new page is organized by cloud provider and specific use case to easily deploy Secure Firewall.

Cisco Live 2022 Las Vegas & sessions focused on Secure Firewall and IaCLearn how to secure your OpenStack using Cisco Secure Firewall – BRK-SEC-1775This session will walk participants through the deployment model, its relation to the OpenStack resources, and arrive with a complete FTDv configuration that fully protects our workloads.

Cisco Secure Firewall Cloud Native on A…

Embracing security resilience for the hybrid work eraHybrid work is here to stay.

One such challenge is cybersecurity, and hence, security resilience.

Cisco Secure Firewall enhances visibility and threat detection even in encrypted traffic, and helps strengthen your zero trust security posture.

Powering the future of work with CiscoIn addition to security, Cisco’s broad hybrid work portfolio spans collaboration, networking, and IoT.

Learn how you can boost your organization’s security resilience for the years ahead.

As a leader in cloud enablement, Cisco Secure is excited to announce the availability of our Security SaaS portfolio on AWS Marketplace.

This helps to ensure your organization is secure with the Cisco Secure portfolio.

Two Umbrella versions are available on the AWS Marketplace – Umbrella DNS Security Essentials and Umbrella DNS Security Advantage.

All three Duo editions are available on the AWS Marketplace – Duo MFA, Duo Access and Duo Beyond – enabling customers to select the right solution for their needs.

Ask a Question, Comment Below, and Stay Connected with Cisco Secure on social!

EXPOSURE: The Information We Divulge On A Public Wireless Network – The 3rd Annual* RSAC SOC ReportRegister now for your free tour of the RSA Conference Security Operations Center (SOC), where engineers are monitoring all traffic on the Moscone Wireless Network for security threats.

Please fill out the RSAC SOC Tour Request Form to request your spot.

You can obtain The 2nd Annual RSAC SOC Report here.

Ask a Question, Comment Below, and Stay Connected with Cisco Secure on social!

Cisco Secure Social ChannelsInstagramFacebookTwitterLinkedInShareShare:

If the threat comes from a traditional URL or compromised business link, the integration of Cisco SecureX with Cisco Umbrella, Cisco Secure Firewall and Cisco Secure Endpoint gives us real-time visibility into the problem.

The point here is that without Cisco technology, during the pandemic our work would have come to a complete stop.

Food technologists in Spain used Cisco Webex technology, Webex Expert on Demand for RealWear, assisted reality wearable device provider, and Meraki smart cameras to collaborate on production lines in the U.S. to maintain NPI.

Ask a Question, Comment Below, and Stay Connected with Cisco Secure on social!

Cisco Secure Social ChannelsInstagramFacebookTwitterLinke…

Back in September last year, Ash Devata, VP and GM for Zero Trust and Duo at Cisco wrote about the expansion of our international footprint with the opening of data centers in Australia, Singapore, and Japan.

Local data centers help customers meet compliance and data localization requirements, which is becoming an increasingly important issue in India.

As the National Law Review puts it ‘2021 was a blink-and-you-will-miss conveyor belt of activities’ regarding privacy and data protection law related legal developments, including the issuance of new data privacy standards that explores how organizations establish, implement, maintain and continually improve their data privacy management syst…

]online 4c12713ef851e277a66d985f666ac68e73ae21a82d8dcfcedf781c935d640f52 Office Open XML Document Groooboor arvensis[.

]xyz 03220baa1eb0ad80808a682543ba1da0ec5d56bf48391a268ba55ff3ba848d2f Office Open XML Document Groooboor email-smtp[.

]xyz aa566eed1cbb86dab04e170f71213a885832a58737fcab76be63e55f9c60b492 Office Open XML Document Pterodo calendas[.

]online 55ad79508f6ccd5015f569ce8c8fcad6f10b1aed930be08ba6c36b2ef1a9fac6 Office Open XML Document Pterodo mullus[.

Detecting Gamaredon Activity with Global Threat AlertsIn Cisco Global Threat Alerts, we are tracking the Gamaredon group under the Gamaredon Activity threat object.

An important milestone in our security journey has been our acquisition of Kenna Security Inc., a recognized leader in risk-based vulnerability management.

Stop by the Cisco Threat Wall to see Cisco Secure in action.

For a live demo and exploration of the latest SecureX features, visit us at our booth at RSA Conference 2022 and World of solutions at Cisco Live 2022.

Ask a Question, Comment Below, and Stay Connected with Cisco Secure on social!

Cisco Secure Social ChannelsInstagramFacebookTwitterLinkedInShareShare:

Let us normalize talking about mental health to ensure people catch problems early and get the help that they need.

Small changes in behavior or attitude can illuminate a bigger mental health issue.

The then unknowns of the pandemic coupled with working at a distance, exacerbated mental health struggles.

We must build trust up and down an organization and ensure mental health discussions are part of the culture.

To learn more about mental health insights, experiences, please review the following informative resources:We’d love to hear what you think.

When we think of security resilience, is it just another buzzword to describe a reactive approach to security?

How does your organization build security resilience?

Security Resilience in the Supply ChainML: One way is through the careful stewardship of our supply chain.

Their intent was to make investments in infrastructure solutions to address the IoT security problem, which is a big problem on educational campuses.

You need to go out and share with your leadership that proper security and resilience is a journey, not a destination.

While attaining global security certifications has become table-stakes for many to do business, it’s no easy feat.

Announcing the Cisco Cloud Controls Framework (CCF)We are proud to announce the general availability of the Cisco Cloud Controls Framework (CCF) V1.0 for public use.

The Cisco CCF is a rationalized framework with comprehensive control requirements taken from numerous, globally accepted, security compliance frameworks and certifications.

Today, the Cisco CCF V1.0 covers these security compliance framework and certification standards:We will regularly update the framework as regulations evolve and new industrial frameworks are integrated into our compliance processes.

Why make th…

Cisco is pleased to announce a new addition to the Forensic Investigation Procedures for First Responders series of documents that will help customers and partners triage Cisco products that are suspected of being tampered with or compromised.

These guides provide step-by-step instructions for first responders that can be used to assess platform integrity and collect information that can be used for forensic analysis.

This new document is available on the Cisco.com Security Portal under Tactical Resources, Responding to a Security Incident.

Cisco StarOS Software Forensic Investigation Procedures for First RespondersThis document provides steps for assessing the integrity of and collecting f…

The Public Cloud and Security ResponsibilityAcross many businesses, leveraging services offered and hosted by public cloud providers such as AWS proves to be extremely advantageous for both improving operational efficiencies, cost savings, scaling, and for security.

Working with our research team at Cisco Talos, we have identified several methods for detecting Denonia and attacks like it in the public cloud using Secure Cloud Analytics.

In addition to public cloud specific detection, Secure Cloud Analytics offers a wide range of threat detection across an organization’s private network, all within a single pane of glass.

Protect Your Public Cloud TodayTo learn more, go to https://www.cisco.…

Forrester Consulting recently conducted an independent analysis of five organizations using Cisco Identity Services Engine (ISE), the industry-leading network access control solution, to uncover the business value of ISE.

Forrester noted in the study that aligning to these business-driven outcomes created $236,000 in value, or 23% of total ROI.

ISE social media kit for Forrester TEI studyUse this go-to-market kit, and study to help move your Cisco Identity Services Engine (ISE) Network Access Control discussions toward the quantitative benefits and ROI of deploying ISE for secure network access control.

Forrester Consulting conducted an analysis of five organizations to uncover the business…

In the midst of global change and virtual hiring, the landscape of job searching has changed.

To develop an impactful resume, Edwards suggests: “Highlight your skills and experience as they relate to the role you’re interviewing for.

Don’t be afraid to ask for the accommodations that you need, including during the interviewing process.

Know what to expect in the interview process.

We try to stay in constant communication with the candidates throughout the interview process, whether through email, calls or texts.

XorDdos depicts the trend of malware increasingly targeting Linux-based operating systems, which are commonly deployed on cloud infrastructures and Internet of Things (IoT) devices.

By compromising IoT and other internet-connected devices, XorDdos amasses botnets that can be used to carry out distributed denial-of-service (DDoS) attacks.

The first method involves copying a malicious ELF file to temporary file storage /dev/shm and then running it.

Uses the curl command to download the ELF file payload from the remote location hxxp://Ipv4PII_777789ffaa5b68638cdaea8ecfa10b24b326ed7d/1[.

Runs the ELF file payload.

That’s why you’ll want a data management solution like PII that automatically identifies sensitive data using built-in sensitive information types and regulatory policy templates, such as General Data Protection Regulation (GDPR) and Health Insurance Portability and Accountability Act of 1996 (HIPAA).

In addition, look for unified data management solutions that identify and classify sensitive data found on-premises, multicloud, and SaaS to create a holistic map of your entire data estate.

Data governance: You want your organization’s data to be discoverable, trusted, and stored in a location where it can be readily protected.

But with the growth of big data and changing regulatory standards…

Leveraging Datawiza with Azure AD supports comprehensive SSO and multifactor authentication across applications, with fine-grained access controls.

Options for integrating homegrown and legacy applications with Azure ADIntegrating homegrown or legacy applications with Azure AD is imperative.

How Datawiza and Azure AD work togetherWhen a user attempts to log into any application, Datawiza intercepts the access request and authenticates it using a built-in connection to Azure AD through OIDC or SAML protocols.

The user signs in through the Azure AD login page, and the OIDC or SAML message exchanges with Azure AD and Datawiza are automatically completed on behalf of the application.

And Datawi…

Cryware are information stealers that collect and exfiltrate data directly from non-custodial cryptocurrency wallets, also known as hot wallets.

With cryware, attackers who gain access to hot wallet data can use it to quickly transfer the target’s cryptocurrencies to their own wallets.

Hot wallet attack surfacesTo better protect their hot wallets, users must first understand the different attack surfaces that cryware and related threats commonly take advantage of.

Hot wallet dataDuring the creation of a new hot wallet, the user is given the following wallet data:Private key.

Users and organizations can also take the following steps to defend against cryware and other hot wallet attacks:Lock…

Microsoft Security will be onsite at booth 6059 at Moscone Center with 1,500 square feet of Microsoft and partner-led demonstrations from Nuance, Rubrik, Wipro, and Veritas.

Microsoft Security Hub—You’re invitedWe’re so excited to be onsite this year that we’re kicking things off early.

Join us on June 5, 2022, from 2 PM to 9 PM Pacific Time (PT) at Microsoft Security Hub at Bespoke Westfield Event Center for a special Microsoft Security pre-day event.

The Microsoft Security Hub will also host the Microsoft Security Experts Launch Party, as well as an Innovation Zone, listening sessions, executive lunches, CISO Roundtable, MISA meeting room, Whisper room, screening rooms, and dazzling visua…

The MITRE Center for Threat-Informed Defense, Microsoft, and other industry partners collaborated on a project that created a repeatable methodology for developing a top MITRE ATT&CK® techniques list.

For example, using research on 22 ransomware attacks, the repeatable methodology led to the identification of the top 10 ransomware techniques list.

Establishing the top ATT&CK techniquesThe methodology for identifying the top ATT&CK techniques factored in three attributes to determine the significance of a technique: prevalence, choke point, and actionability.

MITRE ATT&CK Technique Process Injection (T1055) is an example of a possible choke pointActionability is the opportunity for a defende…

The Microsoft Compromise Recovery Security Practice (CRSP) is a worldwide team of cybersecurity experts operating in most countries, across both public and private organizations, with deep expertise to secure an environment post-security breach and to help you prevent a breach in the first place.

As a specialist team within the wider Microsoft cybersecurity functions, we predominantly focus on reactive security projects for our customers.

The main types of projects we undertake are:Compromise recovery: Giving customers back control of their environment after a compromise.

Following Microsoft Security processes that have been tested over and over, we achieve a successful recovery together wi…

That’s why I’m thrilled to announce that Microsoft is expanding our existing service capabilities under a new service category called Microsoft Security Experts.

Video description: Microsoft Security Experts is a line of managed security solutions that combines human-led services with expert-trained technology to help organizations achieve better security outcomes.

Large enterprises looking for more comprehensive, high-touch managed services from Microsoft experts will benefit from Microsoft Security Services for Enterprise.

Security for all, together with Microsoft partnersOne of our core principles at Microsoft Security is security for all.

To learn more, join me and Satya at Microsoft Se…

Ransomware attacks have become even more impactful in recent years as more ransomware-as-a-service ecosystems have adopted the double extortion monetization strategy.

Ransomware payloads distributed by DEV-0237 between 2020 and April 2022Beyond RaaS payloads, DEV-0237 uses the cybercriminal gig economy to also gain initial access to networks.

Ransomware payloads distributed by DEV-0401 between 2021 and April 2022Because DEV-0401 maintains and frequently rebrands their own ransomware payloads, they can appear as different groups in payload-driven reporting and evade detections and actions against them.

In a notable shift—possibly related to victim payment issues—DEV-0401 started deploying Lo…

Last fall, we announced that anyone can completely remove the password from their Microsoft account.

Free yourself with passwordless sign-inYes, you can now enjoy secure access to your Microsoft account without a password.

Just follow these five steps:Download and install Microsoft Authenticator (linked to your personal Microsoft account).

Once you approve the notification, you’ll no longer need a password to access your Microsoft accounts.

You can also read the complete guide to setting up your passwordless account with Microsoft, including FAQs and download links.

I can’t think of a better person at Microsoft to represent this journey than Libby Brown, a senior product manager leading our efforts to keep Microsoft Azure Active Directory (Azure AD) customers more secure with passwordless solutions.

Early on, she switched from engineering to public policy and then worked in publishing, product marketing, training, release management, and now product management.

Congressional Quarterly was a pretty small business.

Eric: Well, you had quite a journey to get there, but now you’ve been a product manager for a while at Microsoft.

To learn more about Microsoft Security solutions, visit our website.

How Microsoft Sentinel customers use D3’s Event Pipeline to stay focused on real threatsWhat does integrating D3 XGEN SOAR with Microsoft tools mean for customers?

Key Microsoft integrationsD3’s integration with Microsoft Sentinel is just one of 33 integrations between D3 XGEN SOAR and Microsoft tools.

With more than 30 Microsoft integrations, D3 Security has been a Microsoft Intelligent Security Association (MISA) member since 2020.

3 XGEN SOAR Event Pipeline, D3 Security.

6 D3 XGEN SOAR for Phishing Attacks, D3 Security.

Microsoft Defender for Business is already included as part of Microsoft 365 Business Premium, our comprehensive security and productivity solution for businesses with up to 300 employees.

Partner Kite Technology Group recommended Defender for Business: “With Microsoft Defender for Business, we’re able to bring enterprise-grade security protection to our small and midsize business customers.

ConnectWise RMM integration with Microsoft Intune and Microsoft 365 Business Premium is coming soon.

For more details on the partner opportunity and benefits of Defender for Business and Microsoft 365 Business Premium, see our partner blog post.

1National Small Business Week, U.S Small Business Administ…

We’ve included some video snippets so you can learn more about his entrepreneurial history and his future aspirations for the Microsoft ADC.

George: I work for the Microsoft Graph onboarding team, which was the third team to be formed at ADC.

It’s an aggregator for different Microsoft services, such as LinkedIn or directory service, so that from an external point of view, it all looks like one service.

Before Microsoft Graph, different teams would publish their own APIs that weren’t consistent.

George: We do get help from people in Redmond, but the charter for onboarding developers to Microsoft Graph is fully ours.

Microsoft has discovered several vulnerabilities, collectively referred to as Nimbuspwn, that could allow an attacker to elevate privileges to root on many Linux desktop endpoints.

We shared these vulnerabilities with the relevant maintainers through Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR).

Indeed, there have been interesting vulnerabilities in the past related to buggy D-Bus services, including USBCreator Elevation of Privilege, Blueman Elevation of Privilege by command injection, and other similar scenarios.

This abuses the directory traversal vulnerability and escapes the script directory.

To address the specific vulnerabilities at …

With Android 13 we have migrated to a new model for the provisioning of attestation keys to Android devices which is known as Remote Key Provisioning (RKP).

We now have more than 30 components in Android that can be automatically updated through Google Play, including new modules in Android 13 for Bluetooth and ultra-wideband (UWB).

In Android 13 we implemented numerous enhancements to help mitigate potential vulnerabilities that app developers may inadvertently introduce.

In Android 13, app makers can go above and beyond in removing permissions even more proactively on behalf of their users.

Later this year, we’ll begin rolling out a new destination in settings on Android 13 devices that p…

In these attacks, a user thinks they're logging into the intended site, just as in a standard phishing attack.

But instead of deploying a simple static phishing page that saves the victim's email and password when the victim tries to login, the phisher has deployed a web service that logs into the actual website at the same time the user is falling for the phishing page.

In these attacks, a user thinks they're logging into the intended site, just as in a standard phishing attack.

Phishing-resistant authentication using FIDO with security keys or a Bluetooth connection to your phone.

Through these efforts we introduced physical FIDO security keys, such as the Titan Security Key , which preve…

Google,a member of theTo better understand how the Package Analysis program is contributing to supply chain security, we analyzed the nearly 200 malicious packages it captured over a one-month period.

Here’s what we discovered: Despite open source software’s essential role in all software built today, it’s far too easy for bad actors to circulate malicious packages that attack the systems and users running that software.

The Package Analysis program performs dynamic analysis of all packages uploaded to popular open source repositories and catalogs the results in a BigQuery table.

The short time frame and low sophistication needed for finding the results above underscore the challenge facing…

Last year we introduced multiple privacy focused features, enhanced our protections against bad apps and developers, and improved SDK data safety.

The Data safety section launched this week, and developers are required to complete this section for their apps by July 20th.

Last year, we engaged with SDK developers to build a safer Android and Google Play ecosystem.

Our new Security hub helps protect your phone, apps, Google Account, and passwords by giving you a central view of your device’s current configuration.

In addition, Pixels now use new machine learning models that improve the detection of malware in Google Play Protect.

The Squirrel package ‘foo’ The Oppy package ‘baz’ A custom executable, ‘bar’, written by Acme employees.

bar is compiled from source code stored in the same source repo as the Dockerfile.

acorn install downloads ‘foo’ from the Squirrel repo, verifying the VSA, and recording the use of acorn://[email protected] and its VSA in the build.

The build process assembles the SLSA provenance for the container by:Recording the Acme git repo the bar source and Dockerfile came from, into materials.

Creating a signed DSSE with the SLSA provenance and adding it to the output in-toto bundle.

Squirrel will also allow packages to create SLSA 0 policies if they’re not using SLSA compliant infrastructure.

A minimal delegated verification policy might be “allow if trusted-party verified this artifact (identified by digest) as ”.

For example, “allow if trusted-party verified this artifact as at SLSA 3 and it doesn’t have any dependencies less than SLSA 2”.

They could then configure this ID/key pair for use throughout Acme and be confident that any software used has been verified according to Acme policy.

“Squirrel package ‘foo’ must have been built & signed by ‘spiffe://foobar.com/foo-builder, from github.com/foo/acorn-foo, and be SLSA 4”.

The SituationThe Squirrel package ‘foo’ The Oppy package ‘baz’ A custom executable, ‘bar’, written by Acme employeesBasics In order to SLSA, Squirrel, Oppy, and Acme will all need SLSA capable build services.

To support this, Squirrel will qualify some build services at specific SLSA levels (meaning they can produce artifacts up to that level).

In order to SLSA, Squirrel, Oppy, and Acme will all need SLSA capable build services.

should we prioritize asking for foo.tgz to be distributed with native SLSA provenance?).

should we prioritize asking for foo.tgz to be distributed with native SLSA provenance?

This blog post focuses on build provenance, which gives users important information about the build: who performed the release process?

Source provenance describes how the source code was protected, which we’ll cover in future blog posts, so stay tuned.

Source provenance describes how the source code was protected, which we’ll cover in future blog posts, so stay tuned.

The following steps create the trusted builder that is necessary to generate provenance in isolation from the build and maintainer’s interference.

The OIDC protocol requires no hardcoded, long-term secrets be stored in GitHub's secrets, which sidesteps the potential problem of key mismanagement invalidating the SLSA provenanc…

We are paying higher rewards retroactively for eligible Google Nest and Fitbit devices reports submitted in 2021.

And, starting today, for the next six months, will double the reward amount for all new eligible reports applicable to Google Nest & Fitbit devices in scope.

An enhanced rewards programBuilding on our previous programs to improve devices' embedded security posture, we’re bringing all our first-party devices under a single program, starting with Google Nest, Fitbit, and Pixel.

Refer to the Android and Google Devices Security Reward Program for more details.

Starting today, we will introduce a new vulnerability rewards structure for submissions impacting smart home (Google Nest) a…

These efforts have been spearheaded by both browser security teams and dedicated research groups, such as Project Zero.

Flash deprecation : In 2015 and 2016, Flash was a primary exploitation target.

Since some security bugs are inevitable, how a software vendor architects their software (so that the impact of any single bug is limited) and responds to critical security bugs is often much more important than the specifics of any single bug.

Since “memory safety” bugs account for 70% of the exploitable security bugs, we aim to write new parts of Chrome in memory-safe languages.

We strongly advise not focusing on zero-days when making decisions about updates, but instead to assume any Chrome s…

Side channels or other flaws caused by silicon errata may exist that haven't been mitigated in 32-bit kernels.

The 32-bit ARM kernel does not implement the elaborate alternatives patching framework that is used by other architectures to implement handling of silicon errata, which are particular to certain revisions of certain CPUs.

The 32-bit kernel does not implement kernel address space randomization, and even if it did, its comparatively tiny address space simply leaves very little space for randomization.

(Note that a stack overflow is not the same as a stack buffer overflow, where the overflow happens in the opposite direction.)

As 32-bit applications don't need a 64-bit kernel (which …

We will automatically publish the patches of all submissions if the flag is valid.

You will be able to submit the exploit in the same form you submit the flag.

31,337 USD to the first valid exploit submission for a given vulnerability.

This will only be paid once per vulnerability to the first valid exploit submission.

This will only be paid once per vulnerability to the first valid exploit submission.

The program also launched the Android Chipset Security Reward Program (ACSRP), a vulnerability reward program offered by Google in collaboration with manufacturers of certain popular Android chipsets.

We’d like to highlight a few researcher achievements made in 2021:Rory McNamara, a Chrome OS VRP researcher who has been participating in the Chrome VRP for five years, became the highest awarded Chrome VRP researcher of all time.

The Google Play Security Reward Program also released their Android App Hacking Workshop content and published a blog on their work to empower the next generation of Android Application Security Researchers.

Research GrantsSix years ago, the Google VRP launched an ex…

Since our July announcement of Scorecards V2, the Scorecards project—an automated security tool to flag risky supply chain practices in open source projects—has grown steadily to over 40 unique contributors and 18 implemented security checks.

Today we are proud to announce the V4 release of Scorecards, with larger scaling, a new security check, and a new Scorecards GitHub Action for easier security automation.The Scorecards Action is released in partnership with GitHub and is available from GitHub's Marketplace .

The Action makes using Scorecards easier than ever: it runs automatically on repository changes to alert developers about risky supply-chain practices.

Maintainers can view the ale…