Microsoft упростила установку подсистемы Linux для WindowsAlexander AntipovДля установки необходимо всего лишь запустить командную строку от имени администратора и вписать команду.

Корпорация Microsoft благодаря стараниям своих разработчиков упростила установку подсистемы Linux для операционной системы Windows.

Чтобы установить подсистему Linux для Windows, теперь понадобится всего лишь запустить командную строку от имени администратора и выполнить команду wsl.exe --install.

Если раньше этот процесс был продолжительным, нужно было открывать разные настройки и устанавливать различные пакеты ПО, то сейчас все осуществляется автоматически.

К примеру, «wsl –status» предоставляет полные сведения…

Apple удалила из AppStore приложение знакомств для антиваксеровAlexander AntipovApple удалила из своего магазина приложений AppStore программу для знакомств людей, не привитых от коронавируса — Unjected.

Компания Apple удалила из App Store приложение Unjected.

Оно предназначалось для знакомств невакцинированных мужчин и женщин.

Представители корпорации объяснили своё решение «ненадлежащим отношением к пандемии» со стороны создателей и пользователей предложения.

Приложение Unjected появилось после того, как главные сервисы для знакомств (Tinder, Bumble) призвали своих пользователей сделать прививку от ковида.

Zoom заплатит $85 млн за нарушение конфиденциальностиAlexander AntipovZoom Video Communications согласилась выплатить пользователям из США $85 млн, чтобы урегулировать судебный спор.

Компания Zoom Video Communications Inc., создавшая сервис видеоконференций Zoom, согласилась выплатить около $85 млн для урегулирования претензий в рамках коллективного иска пользователей, которые обвинили сервис в неспособности обеспечить должный уровень конфиденциальности данных.

Пользователи обратились в суд Сан-Хосе (штат Калифорния), обвиняя компанию в том, что она не обеспечила достаточного уровня конфиденциальности данных.

Кроме того, истцы утверждали, что компания не в состоянии обеспечить надежную защи…

BlackMatter – новое название группировки DarkSide?

Alexander AntipovКак показал анализ используемого BlackMatter декриптора для зашифрованных фалов, у нее слишком много общего с DarkSide.

Сам процесс шифрования данных (в частности, использование эксклюзивной для DarkSide матрицы Salsa20) BlackMatter практически идентичен DarkSide.

Безусловно, стопроцентных доказательств того, что BlackMatter – это новое название все той же DarkSide, нет, однако в операциях обеих группировок есть очень много общего.

Еще один факт, свидетельствующий в пользу того, что BlackMatter и DarkSide – это одна и та же группировка, – публичное заявление об отказе атаковать «нефтегазовую промышленность (топливопроводы и…

Минюст США обвинил русских хакеров во взломе данных прокуроров19:46 / 31 Июля, 20212021-07-31T20:46:28+03:00Alexander AntipovХакеры, которые, по мнению США, стоят за атаками на IT-компанию SolarWinds в конце 2020 года, взломали электронные почты федеральных прокуроров страны в прошлом году, сообщает Министерство юстиции США.

Российская кибергруппа, причастная к инциденту с SolarWinds, взломала электронную переписку федеральных прокуроров США.

кибератаки произошли в прошлом году на прокуроров в штатах Вермонт, Джорджия, Калифорния, Канзас, Мэриленд, Монтана, Невада, Нью-Джерси, Нью-Йорк, Пенсильвания, Северная Каролина, Техас, Флорида и в столичном округе Колумбия.

Были взломаны электронные …

Компания Amazon оштрафована в ЕС на рекордную сумму19:38 / 31 Июля, 20212021-07-31T20:38:25+03:00Alexander AntipovЕвропейская служба по надзору за соблюдением конфиденциальности оштрафовала Amazon на 746 миллионов евро за нарушение законов о защите данных клиентов.

Американскую корпорацию Amazon оштрафовали в ЕС за нарушение правил защиты персональных данных.

Главная штаб-квартира компании находится в Люксембурге, поэтому штраф они получили от Национальной комиссии по защите данных Люксембурга (CNPD).

В ответ Amazon заявила, что считает решение CNPD безосновательным.

Поделиться новостью:на нашем Телеграм канале мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние…

Хакер испортил бюллетень во время тестирования системы онлайн-голосованияAlexander AntipovВ ходе тестового электронного голосования в столице хакеры пытались проверить систему 14 раз, в итоге получилось испортить ссылку получения бюллетеня.

Хакеры совершили 14 атак и испортили один бюллетень во время тестирования системы онлайн-голосования.

Об этом в эфире радиостанции «Эхо Москвы» сообщил глава управления по совершенствованию территориального управления и развитию смарт-проектов московского правительства Артём Костырко.

В этот раз товарищ не просто испортил полученный бюллетень, он сумел испортить ссылку получения этого бюллетеня.

Тестирование проводилось перед выборами в сентябре для того…

Роскомнадзор закупит мобильные системы для поиска "запрещенки" в публичных Wi-Fi сетяхAlexander AntipovРоскомнадзор потратит 57 млн рублей на мобильные комплексы для сканирования сетей Wi-Fi.

ФГУП «Главный радиочастотный центр» (ГРЧЦ), подведомственный Роскомнадзору, планирует купить мобильные системы для поиска запрещенной информации в публичных сетях Wi-Fi.

Их должны направить в филиалы ГРЧЦ в четырёх федеральных округах — Северо-Западном, Приволжском, Южном и Уральском.

Как сообщает «МБХ медиа», данные комплексы созданы «для мониторинга сетей сотовой связи и беспроводного широкополосного доступа, цифрового и аналогового телерадиовещания».

Это значит, что они станут заниматься поиском в п…

Правозащитники заподозрили Почтовую службу США в масштабной слежкеAlexander AntipovКак утверждают правозащитники, ведомство запустило программу наблюдения, в рамках которой анализировало публикации пользователей в соцсетях.

Американская некоммерческая правозащитная организация «Фонд электронный рубежей» подала запрос в рамках Акта «О свободе информации» (FOIA) с целью получить больше сведений относительно предполагаемой масштабной программы по слежке, проводимой Почтовой службой США.

«Мы оформили этот запрос FOIA для того, чтобы пролить свет на то, почему и как Почтовая служба мониторит свободу слова.

Кроме того, они обеспокоены тем, что на основе в общем-то безобидных публикаций может быть…

PT ISIM View Point и PT ISIM Sensor могут взаимодействовать между собой как по стандартным интерфейсам (Ethernet), так и посредством мобильной связи 3G / LTE.

Первоначальная обработка трафика выполняется на сенсоре PT ISIM Sensor, обработка результатов анализа трафика и визуализация данных — на PT ISIM View Point.

Подключение PT ISIM View Sensor к сегменту АСУ ТП через диод данныхСистемные требования PT ISIMСистемные требования PT ISIM обусловлены производительностью её компонентов.

Для управления сенсорами PT ISIM внедряется PT ISIM Overview Center.

На удалённых сегментах устанавливаются безынтерфейсные автономные сенсоры PT ISIM Sensor, которые подключаются к серверам PT ISIM View Point; …

Илья Шабанов попросил участников беседы рассказать о том, что такое SD-WAN, как работают и кому интересны программно определяемые сети.

Как отметили наши эксперты, одной из причин перехода на SD-WAN является экономическая эффективность программно определяемых сетей.

Безопасность программно определяемых сетейВ продолжение дискуссии спикеры затронули вопрос безопасности программно определяемой сетевой инфраструктуры.

Реализация проектов SD-WAN с учётом требований по информационной безопасностиЕщё одной важной вехой дискуссии стало обсуждение практики внедрения программно определяемых сетей с точки зрения ИБ-подразделения.

После просмотра дискуссии 31 % респондентов заинтересовался SD-WAN и вы…

Введение27 мая 2021 года в рамках ежегодной конференции компания UserGate представила новую экосистему продуктов UserGate SUMMA.

Интеграция UserGate SUMMAUserGate NGFW 6.0Ключевой компонент экосистемы UserGate SUMMA — межсетевой экран нового поколения UserGate NGFW версии 6.

Производительность UserGate NGFW 6.0UserGate Management CenterЕдиный центр управления UserGate Management Center (UGMC) теперь поддерживает администрирование парка устройств UserGate из одной точки.

В рамках экосистемы SUMMA представлено новое решение для защиты технологического сегмента — UserGate для АСУ ТП.

Схема интеграции UserGate для АСУ ТПНазовём основные особенности этого продукта.

Недавно появилось первое российское решение этого класса, поддерживающее ГОСТ-шифрование, — BI.ZONE Secure SD-WAN, позиционируемое как платформа для безопасной трансформации сети.

Архитектура BI.ZONE Secure SD-WANРешение BI.ZONE Secure SD-WAN состоит из централизованной системы управления и подключённого к сети на площадке оборудования.

Кроме BI.ZONE CyberEdge к BI.ZONE Secure SD-WAN при желании заказчика могут быть подключены сетевые серверы других производителей, а также виртуальные машины.

Размещение системы управления у провайдера — партнёра BI.ZONEСистемные требования BI.ZONE Secure SD-WANBI.ZONE Secure SD-WAN базируется на собственной разработке BI.ZONE, сетевом сервере BI.ZONE CyberE…

В таких условиях помимо оперативного выявления инцидента в информационной безопасности остро ощутим вопрос оперативного реагирования на него.

В итоге это обеспечивает эффективную работу и координацию служб вовлечённых в процесс реагирования на инцидент в ИБ (ИБ, ИТ, иные эксплуатирующие подразделения) в режиме «единого окна».

Варианты реализации IRPМы в Solar JSOC используем R-Vision IRP и в настоящее время предоставляем платформу уже действующим клиентам по облачной и гибридной моделям.

В этом случае взаимодействие с сервис-провайдером (при необходимости его привлечения) осуществляется в рамках построенной интеграции, а также в формате услуг консалтинга.

Для подключения к IRP на площадке к…

Иногда на стадии пилотного внедрения заказчик хочет убедиться не только в функциональности, но и в надёжности продукта.

Ниже делимся опытом, как нам это удалось и что в итоге получил заказчик.

Потенциальный заказчик, работающий в сфере жизнеобеспечения населения, до этого использовал решение зарубежного вендора для контроля доступа к веб-ресурсам и с учётом курса на импортозамещение хотел перейти на отечественное ПО.

Учитывая критическую значимость большинства процессов, заказчику было важно получить систему, которая не уступает предыдущей и по функциональности, и по отказоустойчивости.

Мы не стали, например, делать балансировку через DNS-сервер, потому что нас не устроила скорость переключ…

Часто они применяются для фильтрации сайтов по спискам, для противодействия вредоносным сайтам, а иногда — и для обхода некоторых ограничений.

Оградить вас от вредоносных ресурсов и ваших детей от нежелательного контента призваны безопасные DNS-серверы.

На корпоративном DNS-сервере настраивается перенаправление DNS на IP-адреса 208.67.222.222 и 208.67.220.220, и далее на странице Cisco Umbrella добавляется сеть компании-клиента.

Предоставляет ускоренную загрузку веб-страниц благодаря кешированию данных, а также защиту запросов за счёт использования технологий DNS over TLS и DNS over HTTPS.

Введите основной и запасной адреса от того поставщика услуг, который вас заинтересовал, и нажмите кноп…

Мы расскажем, как EDR помогает выявлять сложные атаки и стоит ли подключать систему самостоятельно или воспользоваться услугами сервис-провайдера.

EDR как сервисПри сервисном подходе администрированием EDR и расследованиями занимаются специалисты подрядчика, поэтому заказчику не нужно нанимать собственных специалистов и расширять существующую ИБ-службу.

Контент для EDR, предоставляемый специалистами SOC в рамках сервиса, постоянно обновляется исходя из информации об актуальных угрозах из различных источников, в том числе коммерческих ресурсов.

Также опасения может вызывать корректность настройки правил для EDR, из-за которых могут встать важные бизнес-процессы.

Системы выявления атак на кон…

Как выбрать хорошего пентестераВ следующей части беседы модератор предложил поговорить о проблемах выбора подрядчика для тестирования на проникновение.

Однако, как точно подметил ведущий онлайн-конференции, многие из этих факторов трудно формализуемы и не всегда дают адекватную картину.

Спикеры возразили на это, что рынок тестирования на проникновение в России весьма узок — квалифицированные команды пентестеров есть у 10–20 специализированных компаний.

Как долго выполняется пентест и как часто он должен проводитьсяИнтересная дискуссия развернулась на тему сроков выполнения тестирования на проникновение.

К сожалению, заключение договора на оказание услуг по тестированию на проникновение обыч…

Что происходит в мире с рынком VPN в 2021 году?

Мы собрали интересные современные факты о VPN, оглянулись в прошлое, взвесили преимущества и недостатки технологии, а также сравнили пять лучших сервисов VPN для выбора в 2021 году.

Рассмотрим интересные факты из области безопасности VPN и актуальные данные об использовании VPN.

Число запросов «VPN» в Google в марте 2020 года удвоилось, когда наблюдалась первая волна заражений COVID-19.

Современные сервисы предлагают VPN подо все устройства: имея один аккаунт, можно пользоваться VPN как на планшете, так и на настольном компьютере или игровой консоли.

Как учесть все требования и не сойти с ума?

В реестр также вносим перечень внутренней нормативной документации (как уже имеющейся, так и подлежащей разработке или доработке).

Для этого в получившейся матрице следует проставить обозначения в полях на пересечении требования и документа, в котором следует отразить данное требование.

Например, отфильтровав реестр по разделу связанному с требованиями по управлению доступом, отражаем эти требования в «Положении по управлению доступом», и т. д.Шаг 5.

При этом в случае выявления новых или изменённых требований они вносятся в реестр в соответствии с приведённым выше алгоритмом.

Привилегированные пользователи баз данных нередко становятся объектами атак хакеров или сами, пользуясь расширенными правами, эксплуатируют информацию не только в служебных целях.

Несанкционированное копирование базы данных сотрудниками компании считается внутренней утечкой данных.

Разработайте и подписывайте с каждым из сотрудников и с контрагентами договор о неразглашении коммерческой тайны (NDA).

К сожалению, в продуктах Open Source часто отсутствует возможность как ограничения прав суперпользователей, так и в принципе разграничения ролей.

Например, в СУБД PostgreSQL для пользователей с опцией SUPERUSER проверки прав и привилегий для конкретных объектов БД (таблицы, представления и пр.)

К SAST предъявляются следующие требования:Наличие качественных технологий и алгоритмов для глубокого анализа кода и выявления уязвимостей.

При этом в рамках средств анализа кода SAST и DAST занимают одинаковые позиции по продажам в масштабах мирового рынка.

Обзор популярных российских продуктов класса SASTAppCheckerСтатический анализатор кода AppChecker предназначен для автоматизированного поиска дефектов в исходном коде приложений разработанных на С#, C / C++, Java, PHP.

Гибкая конфигурация анализируемых проектов позволяет учитывать влияние таких особенностей языков программирования, как, например, директивы прекомпиляции в C / C++.

Поддерживает 27 языков программирования: Java, C#, JavaSc…

Приятным бонусом является и то, что микрокомпьютеры просты в обращении и не требуют специфических навыков в настройке.

Общий вид микрокомпьютера m-TrusT (универсальный модуль «мезонин»)Рисунок 3. m-TrusT на интерфейсных платахРесурсы m-TrusT позволяют обеспечить среду функционирования криптографии, позволяющую сертифицировать вариант исполнения СКЗИ на m-TrusT на класс КС3.

Наличие собственной ОС и вычислительных ресурсов позволяет обеспечить достаточную для защиты сетевого взаимодействия производительность и высокий уровень защищённости.

Наличие датчика случайных чисел и размещение ПО в памяти с доступом «только чтение» исключает вредоносное воздействие на ПО и обеспечивает неизменность ср…

MMT для UBI: что такое современная теория денег и как из неё следует, что России по карману всеобщий базовый доход

По сути, благодаря обходу 2FA как будто и не существует.

Любой Apple ID, созданный без устройства Apple, например, в браузерах или в приложении для Android и не используемый в защищённых паролем устройствах Apple Например больше 50 миллионов пользователей Android скачало приложение Apple Music.

Однако они всё равно являются пользователями Apple и их информация (кредитные карты, платёжные адреса, подробности подписки и т.п.)

Но я выбрал этичный путь и не ожидал ничего другого, кроме как указанных Apple сумм наград.Однако 18000 долларов даже не близки к истинной награде.

Предположим, что мои допущения неверны и конечная точка проверки кода устройства Apple не была уязвимой до моего отчёта.

Опубликована информация о новой уязвимости в ОС Windows под названием PetitPotamСегодня в подборке новостей Jet CSIRT — очередная уязвимость в ОС Windows, новая группировка BlackMatter и отчёт о самых эксплуатируемых уязвимостях.

Новости собирал Дмитрий Лифанов, ведущий аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».Подробнее читайте под катом.

Microsoft в свою очередь выпустила статью с временным решением данной проблемы.Специалисты сообщают, что на нескольких хакерских форумах появились объявления с предложением партнерства и запросами на приобретение доступа к корпоративным сетям.

Бюллетень содержит в себе информацию об обновлениях и поте…

И в отличие от таких форумов, как DEF CON, которые тоже освещают вопросы кибербезопасности, особенность Black Hat — фокусировка на корпоративных решениях.

Black Hat начинается завтра (31 июля) и будет продолжаться вплоть до 3 августа.

Комьюнити в области киберзащитыЗначительное количество выступлений и обсуждений на Black Hat будут посвящены созданию и развитию комьюнити в области киберзащиты.

Угрозы и вредоносное ПОВредоносное ПО и эксплойты существуют сегодня не только для Windows и MAC, но и для Linux.

#BHUSA or bust: Hopes and expectations for Black Hat 2021Если вы нашли для себя что-то интересное, вам стоит выделить время в выходные и посмотреть пару-другую докладов на Black Hat.

Поскольку обратные прокси-серверы могут обходить ограничения брандмауэра на входящий трафик, злоумышленники, планирующие APT, используют их для pivot-атак на защищенные среды.

Порт 443 будет принимать входящие соединения от хоста A. Порт 1337 будет работать как порт прокси-сервера, настроенный с помощью proxychains в Kali.

С помощью ReverseSocksProxyHandler и Invoke-SocksProxy, запущенных на VPS и хосте A, можно атаковать внутреннюю сеть через прокси.

Открываем Firefox в Kali, переходим в меню: Настройки > Параметры сети > Настроить и настраиваем IP-адрес и порт VPS в разделе SOCKS Host (узел SOCKS) (как показано ниже).

Следует отметить, что такого рода блокировку можно обойти с помощью дру…

Второй способt.me/proxy?server=proxy.mtproto.co&port=443&secret=11112222333344445555666677778888Для MacOSДля Android Telegram XДля обычной версии Telegram Android (для IOS и Windows нет отличий)Рекомендация!

Настройка Telegram Proxy для смартфонов и ПК с целью безопасной доставки сообщений1.1 Что такое Proxy, SOCKS 4/5, MTProto Proxy1.2 Настраиваем MTProto Proxy (знакомимся с различными ресурсами)2.

этот урок вводный)6.1 Самые анонимные и безопасные криптовалюты (Monero и Zcash)6.2 Как создать кошелек Monero и принять / отправить средства, сохраняем данные кошелька в Tails OS7.

Приватный прокси это хорошо, но тысячи халявных да еще и с отличной скоростью и приватностью, это еще лучше.

Можно…

В этой части мы посмотрим на каком этапе разработка сейчас, что уже умеет приложение и что будет в будущем!

ПредисловиеАвтор статьи знает что можно все ручками в терминале, также знает о существовании nethunter, andrax, termux и подобного.

Но для новеньких давайте кратко: это комплексное решение от offsec для мобильных устройств в виде: chroot, главное приложение и терминал.

И для будущих утилит для evil tween будет много полезной информации!

Пока что приложение умеет относительно мало, но в будущем я постараюсь и дальше его развивать!

долларов США — её получил эксперт, обнаруживший уязвимость в Hyper-V.Возможность легально получить крупное вознаграждение приводит к частичной декриминализации рынка эксплойтов и делает его более скудным и переменчивым.

Источник: Trend MicroНебольшая группа недовольных багхантеров использует киберфорумы не только для продажи своих эксплойтов, но и для поиска желающих воспользоваться их навыками кодирования.

Сравнение спроса и предложения на эксплойты для продуктов MicrosoftCпрос на эксплойты и их доступность для покупки высоки, пока они относительно новые.

Киберпреступники хотят использовать самый дешёвый инструмент, и в большинстве случаев использование уязвимостей нулевого дня или недавно…

Собрали для вас «классические» и нетривиальные ИБ-инциденты прошедшего месяца – в июле отметились и смелая пенсионерка, обманувшая мошенника, и сотрудники Facebook, заигравшиеся в шпионов, и упорно отрицающий утечки LinkedIn.

В одну реку триждыЧто случилось: «Свои взгляды» на ситуацию с ИБ и в руководстве LinkedIn.

Атака на водопоеЧто случилось: На официальном сайте правительства Казахстана лежали документы, заражающие вредоносом Razy.

Сославшись на плохую память и возраст, она сообщила «безопаснику», что на самом деле на ее карте всего 50 рублей.

Специалисты проанализировали приложения и пришли к выводу, что криптомайнинга в них не осуществляется – они не делали вообще ничего.

И тут даже дело не в виртуалке, как таковой, а в ее региональных и языковых настройках, а они, скорее всего, будут такими же, как и в хостовой операционной системе, например, российскими.

А что собственно является целью такого анализа?

Вот и этот образец REvil послужит в учебных целях для демонстрации средств автоматизации анализа, в основном для деобфускации для последующего анализа.

Открываем в IDA Pro, видим, что и карта навигатора в IDA выглядит достаточно стандартно, не в пользу версии "навесной" обфускации.

Повторный запуск из-за этого соответственно приведет к ошибке, так как из-за пропатченных расшифрованных данных не совпадут контрольные суммы.

Вот так: "site:https://trello.com/b пароль от":Пример доски с паролями и другими аутентификационными даннымиНачинаем поискНо статья не о том, мне было интересно найти мошенников и вот что получилось.

И это только те карточки что в общем доступе.

Загуглим:Поиск по слову WWPCТеперь мы точно знаем и понимаем что то, что мы думали это все пирамида, кому интересно как они работают открывайте youtube.com.

Вроде крупная пирамида, а сделать нормальный сервис управления пирамидой не хотят, используют бесплатные возможности Trello выставляя на показ всю свою работу.

ОстальноеСреди карточек бывают и такие ссылки на видео доступные только лишь по прямой ссылке:На видео пирамидята рассказывают как завле…

Для чего эта системаДанная система предназначена для учёта комплектующих в компьютерном парке, базирующемся на Windows.

Я выложил систему под GNU/GPL v. 3 лицензией, так что денег не прошу, можете использовать как угодно... Все пожелания и т.п.

Система собирает информацию и создаёт оповещения в случае изменений в необходимых хостах (в частности информацию об:мак адрес сетевого адаптераip адресимя хостаинформацию о мат.

Единственными условиями успеха проверки выступают открытый 135 tcp порт на проверяемых машинках и ваше знание о паре логина/пароля для авторизации на них.

Минимальные системные требованияВполне подойдёт виртуалка со скромными параметрами (скажем пара ядер на проце, хотя бы 10…

В этой статье мы рассмотрим процесс настройки цепочки VPN серверов с помощью WireGuard на Windows.

В предыдущей статье мы уже узнали, как настроить WireGuard VPN Server в Windows, здесь же мы используем ту же технологию для создания цепочки WireGuard VPN из двух хостов Windows с помощью WireGuard и WireSock.

При использовании "двойного" трансграничного VPN туннеля, сопоставить трафик на компьютере пользователя и на конечном ресурсе уже не получится.

Установка WireGuard VPN Server на Windows Server Core 2019При первом запуске wg-quick-config -add -start создает файлы конфигурации для сервера (wiresock.conf) и клиента (wsclient_1.conf), затем запускает туннель WireGuard используя wiresock.con…

Однако реалии времени заставили нас поднять тему, напрямую не связанную с техникой дела и с управлением данными, но тему острую, важную, и многим очень интересную.

Вы, мол, проходите свидетелем по уголовному делу такому-то, и в вашей квартире необходимо провести ОБЫСК.

Более того, никого не интересует, что у преследуемой компании могут быть другие государственные контракты, от исполнения которых также зависят интересы нашей страны.

Если будет отказ, либо им лень ждать и угрожают ломать дверь, открывайте дверь и не препятствуйте проведению следственных мероприятий.

Заранее подготовившись к подобного рода развитию событий, вы сохраните спокойствие и с достоинством выйдете из неприятной ситуац…

Опасные библиотекиНа этой неделе операторы официального репозитория Python Package Index (PyPI) избавились от восьми библиотек, содержавших вредоносный код.

Опасные пакеты были обнаружены специалистами JFrog , и их можно разделить на две категории, по типам выполняемых ими вредоносных операций.

Основываясь на статистике, собранной сторонним сервисом Pepy, в общей сложности восемь вредоносных библиотек были загружены более 30 000 раз.

Уязвимости PyPIТакже нужно сказать, что на днях разработчики PyPI исправили три уязвимости, одна из которых позволяла злоумышленнику получить полный контроль над порталом.

Можно было даже изменять содержимое пакетов, поскольку pypa/warehouse содержит код для эт…

Подозреваемый загрузил из БД фотографии 286 438 человек, и атаку удалось обнаружить из-за резко возросшего количества запросов.

Официальные лица заявляют, что подозреваемый обнаружил некую уязвимость в базе данных Департамента государственной инфосистемы (RIA).

Вышеупомянутая БД обычно проверяется с пятью различными подсистемами, прежде чем вернуть запрос на отображение фотографии из удостоверения личности.

При этом следователи считают, что подозреваемый не использовал эти данные злонамеренно и не передавал третьим лицам.

Все документы, удостоверяющие личность и фотографии продолжают действовать», — гласит заявление RIA.

Эксперты компании McAfee выпустили отчет о шифровальщике Babuk, в котором пришли к выводу, что попытки сделать малварь кросспатформенной и использовать против Linux/UNIX и ESXi или VMware обернулись неудачей.

«Похоже, Babuk провел живой бета-тест на своих жертвах, когда дело дошло до разработки бинарника и дешифратора на Golang.

Эксперты надеются, что в конечном итоге это повлияет на отношения разработчиков Babuk с «партнерами», которые занимаются непосредственно атаками и заражают сети жертв малварью.

Если пострадавшие не смогут вернуть свои данные даже после уплаты выкупа, их недовольство обратится на «партнеров» Babuk.

Однако, похоже, дела у группировки идут не слишком хорошо, а форум не…

На этой неделе в польском городе Быдгощ были арестованы два гражданина Беларуси, которых обвиняют в краже наличных из банкоматов.

Арест был произведен на парковке, и в автомобиле BMW x5, которым пользовались подозреваемые, полицейские обнаружили инструменты и дрели, использованные в их атаках, телефоны, ноутбуки и деньги, украденные из взломанных банкоматов.

Правоохранители отмечают, что подозреваемые практиковали классические back box атаки, то есть сверлили отверстия в банкоматах и подключали к ним ноутбук.

По данным местной полиции, взломщики организовали по меньшей мере 13 подобных атак в регионе, хотя не во всех случаях им удалось похитить из банкоматов деньги.

В свою очередь представи…

Издание Bleeping Computer пишет, что операторы вымогателя DoppelPaymer провели «ребрендинг», и теперь малварь носит имя Grief (или Pay or Grief).

Эксперт компании Emsisoft Фабиан Восар первым обратил внимание Bleeping Computer на тот факт, что Grief и DoppelPaymer – это одна и та же угроза.

В частности, хакеры использовали один и тот же формат для зашифрованных файлов и один и тот же канал распространения малвари — ботнет Dridex.

Первые новости о Grief появились в начале июня (хотя был найден образец, скомпилированный 17 мая), и тогда исследователи предполагали, что это новая угроза.

Также Grief и DoppelPaymer оба используют GDPR, чтобы оказать давление на жертв и напомнить им о том, что в …

В этой статье я рас­ска­жу, как устро­ена и как работа­ет эта мал­варь.

Наши экспер­ты про­вели ана­лиз пер­воначаль­ных вер­сий вре­донос­ного ПО и выяви­ли сходс­тва и общие фраг­менты исходно­го кода с прог­раммой‑вымога­телем Hermes.

Hermes — вымога­тель мас­сового рас­простра­нения, который про­дает­ся на под­поль­ных форумах и исполь­зует­ся нес­коль­кими груп­пами хакеров.

Пос­ле опла­ты выкупа зло­умыш­ленни­ки пре­дос­тавля­ют соот­ветс­тву­ющий асим­метрич­ный зак­рытый ключ, с помощью которо­го мож­но рас­шифро­вать фай­лы.

Этот про­цесс отве­чает за самореп­ликацию Ryuk на дру­гих машинах сети.

«Киберпреступники продолжают использовать общеизвестные, зачастую старые уязвимости в программном обеспечении против широкого набора целей, включая организации в государственном и частном секторах по всему миру», — пишут эксперты.

На основе данных, собранных правительством США, большая часть самых атакуемых уязвимостей была обнаружена после начала 2020 года, и многие баги явно связаны с повсеместным переходом на удаленную работу.

В итоге четыре уязвимости, чаще всего использованные в 2020 году, были связаны с удаленной работой, VPN и облачными сервисами.

«В 2021 году злоумышленники продолжили нацеливаться на уязвимости в устройствах периметра.

Среди уязвимостей, которые активно использовали…

Министерство обороны Израиля сообщает, что официальные лица нескольких правительственных агентств страны пришли с проверками в офисы компании NSO Group, которая занимается разработкой легальной спавари и недавно оказалась в центре очередного скандала.

Журналисты писали, что обнаружили масштабные злоупотребления шпионским ПО, созданным NSO Group, Pegasus.

Тогда как многие СМИ называют происходящее теперь «рейдами», сами представители NSO Group характеризуют это как «визиты».

В компании уже выпустили официальный пресс-релиз, в котором сообщают:«Мы можем подтвердить, что представители Министерства обороны Израиля посетили наши офисы.

В настоящее время NSO Group имеет лицензию правительства Изр…

Эксперты компаний Amnpardaz и SentinelOne пришли к выводу, что в начале июля иранскую железнодорожную систему атаковал не шифровальщик, как предполагалась ранее, а вайпер (от англ.

Однако позже иранские власти все же подтвердили факт атаки, так как в сеть попали фото заблокированных компьютеров, принадлежащих Министерству дорог и городского развития страны.

Использованный для этой атаки вредонос получил название Meteor, и эксперты SentinelOne подчеркивают, что ранее активность этой малвари не фиксировалась.

Неизвестно, как именно началась атака, и что послужило точкой проникновения для хакеров.

SentinelOne пишет, что пока неясно, был ли Meteor создан только для этой операции или в будущем э…

Аналитики из южнокорейской компании S2W Labs обнаружили новую операцию вымогателя Haron, и отмечают сходство шифровальщика с такими известными вредоносами, как Thanos и Avaddon (уже неактивен).

Как и подавляющее большинство современных шифровальщиков, Haron атакует в основном компании и предприятия, чтобы максимизировать свою прибыль, а также имеет собственный сайт для слива данных, на котором публикуется украденная у жертв информация, если те отказываются платить за расшифровку файлов.

Исследователи S2W Labs говорят, что с технической точки зрения Haron строится на коде, скопированном у других вымогателей.

Так, исследователи заметили следующие «параллели»:для создания бинарников Haron испо…

Аналитики AV-TEST провели традиционное тестирование защитных продуктов для Android, и пришли к неутешительному выводу: встроенная в Android система защиты от вредоносных программ Google Play Protect не справляется со своей задачей.

Даже будучи запущена постоянно и сканируя каждое приложение, установленное и работающее на устройстве, «эта служба не обеспечивает хорошую безопасность: любое другое защитное приложение предлагает лучшую защиту, чем Google Play Protect», — говорят аналитики.

Заняв последнее место, Google Play Protect обнаружил только 68,8% [малвари] в тесте в режиме реального времени и 76,6% в тесте с эталонным набором», — гласит отчет исследователей.

Google Play Protect, в свою …

Сей­час я рас­ска­жу, какие есть спо­собы фаз­зить ядро, и дам советы начина­ющим иссле­дова­телям, которые решат занять­ся этой темой.

Се­год­ня мы говорим о ядре Linux, так что в каж­дом из воп­росов мы можем мыс­ленно заменить сло­во «прог­рамма» на «ядро Linux».

Те­перь раз­берем­ся с тем, какие дан­ные переда­вать в сис­колы в качес­тве аргу­мен­тов и в каком поряд­ке сис­колы вызывать.

Пос­коль­ку бинар­ник мож­но запус­тить и на вир­туал­ке, и на железе, то фаз­зер получил­ся уни­вер­саль­ным.

Способ получшеФаз­зер Trinity сде­лали дав­но, и с тех пор мысль в области фаз­зинга ушла даль­ше.

Пока банкеры нацелены на колумбийских пользователей, однако, исследователи считают, что со временем возможно появление версий, которые будут атаковать пользователей из других стран.

Для большей убедительности их иконки были оформлены в том же стиле, что и у настоящих программ банка.

Фактически, это дроппер, основная задача которого ― доставить и установить на целевое устройство скрытый внутри него главный вредоносный модуль.

Так, троян запрашивает разрешение на чтение и управление уведомлениями и добавление его в список исключений системной оптимизации аккумулятора, что позволит ему работать постоянно.

Кроме того, троян перехватывает и отправляет на сервер содержимое всех Push-уведомлений, …

Более 18 месяцев хакеры выдавали себя за инструктора по аэробике в Facebook и обманом пыталась внедрить малварь на машины сотрудников компаний-подрядчиков, работающих в сфере воздушно-космической обороны США (особенно хакеров интересовали те, кто участвует в операциях на Ближнем Востоке).

Исследователи пишут, что для свой таргетированной атаки еще в 2019 году хакеры создали в Facebook и Instagram профиль некой Марселлы Флорес, которая якобы была инструктором по аэробике.

Причем Флорес была лишь одной из многих фиктивных личностей, принадлежавших группе.

Хакеры не спешили и потратили месяцы на установление контакта со своими целями, переписываясь с ними по почте и в личных сообщениях, прежде…

По данным компании, речь идет о таких языках, как Go (Golang), D (DLang), Nim и Rust, которые используются преступниками, чтобы избежать обнаружения сообществом ИБ-специалистов, а также для решения конкретных проблем в процессе разработки.

В частности, создатели малвари активно экспериментируют с загрузчиками и дропперами, написанными на этих языках, которые подходят для развертывания малвари на первом и последующих этапах атаки.

«Программы, написанные с использованием известных вредоносных методов, но на новом языке, обычно не обнаруживаются с такой же скоростью, как программы, написанные на более зрелом языке.

Загрузчики, дропперы и обертки чаще просто изменяют первую стадию процесса зара…

Cybersecurity researchers on Friday unmasked new command-and-control (C2) infrastructure belonging to the Russian threat actor tracked as APT29, aka Cozy Bear, that has been spotted actively serving WellMess malware as part of an ongoing attack campaign.

More than 30 C2 servers operated by the Russian foreign intelligence have been uncovered, Microsoft-owned cybersecurity subsidiary RiskIQ said in a report shared with The Hacker News.

RiskIQ said it began its investigation into APT29's attack infrastructure following a public disclosure about a new WellMess C2 server on June 11, leading to the discovery of a cluster of no fewer than 30 active C2 servers.

"RiskIQ's Team Atlas assesses with h…

As many as eight Python packages that were downloaded more than 30,000 times have been removed from the PyPI portal for containing malicious code, once again highlighting how software package repositories are evolving into a popular target for supply chain attacks.

PyPI, short for Python Package Index, is the official third-party software repository for Python, with package manager utilities like pip relying on it as the default source for packages and their dependencies.

"The continued discovery of malicious software packages in popular repositories like PyPI is an alarming trend that can lead to widespread supply chain attacks," said JFrog CTO Asaf Karas.

This is a systemic threat, and it…

A cyber attack that derailed websites of Iran's transport ministry and its national railway system earlier this month, causing widespread disruptions in train services, was the result of a never-before-seen reusable wiper malware called "Meteor."

"Despite a lack of specific indicators of compromise, we were able to recover most of the attack components," SentinelOne's Principal Threat Researcher, Juan Andres Guerrero-Saade, noted.

Behind the artistry of this epic troll lies an uncomfortable reality where a previously unknown threat actor is willing to leverage wiper malware against public railways systems," Guerrero-Saade said.

"The attacker is an intermediate level player whose different o…

An ongoing malicious campaign that employs phony call centers has been found to trick victims into downloading malware capable of data exfiltration as well as deploying ransomware on infected systems.

By tricking the recipients into calling the number, the unsuspecting victims are connected with actual human operators at the fraudulent call centers, who then provide them with instructions to download the BazaLoader malware.

BazaLoader is a C++ downloader malware with the ability to install various types of malicious programs on infected computers, including deploying ransomware and other malware and stealing sensitive data from victimized systems.

First observed in April 2020, BazaLoader ca…

The Internet Explorer flaw, tracked as CVE-2021-26411, is notable for the fact that it was abused by the North Korea-backed Lazarus Group to target security researchers working on vulnerability research and development.

The Internet Explorer exploit is one of the two ways that's used to deploy the RAT, with the other method relying on a social engineering component that involves downloading and executing a remote macro-weaponized template containing the implant.

"The attackers may have wanted to combine social engineering and exploit to maximize their chances of infecting targets."

"As the conflict between Russia and Ukraine over Crimea continues, cyber attacks have been increasing as well,…

Large deposits on the forum indicate the seriousness of the threat actor," Flashpoint researchers said in a report.

"BlackMatter does not openly state that they are a ransomware collective operator, which technically doesn't break the rules of the forums, though the language of their post, as well as their goals clearly indicate that they are a ransomware collective operator."

"It is possible that copycats are intentionally mimicking the behavior of REvil to gain immediate credibility for allegedly being the reincarnation of REvil," Flashpoint said.

BlackMatter is not the only newcomer, however.

South Korean security firm S2W Labs last week took the wraps off Haron, another latest entrant t…

Business email compromise (BEC) refers to all types of email attacks that do not have payloads.

In a recent study, 71% of organizations acknowledged they had seen a business email compromise (BEC) attack during the past year.

To thwart a BEC attack, an organization must focus on the Golden Triangle: the alignment of people, process, and technology.

Read on to discover best practices every organization should follow to mitigate BEC attacks.

Provide real-life examples of recent BEC attacks and brainstorm what your company would do differently to thwart the attack.

A previously undocumented Android-based remote access trojan (RAT) has been found to use screen recording features to steal sensitive information on the device, including banking credentials, and open the door for on-device fraud.

Banking and crypto-wallet apps from entities located in Italy, Australia, and Spain were the primary targets.

"For the first time we are seeing an Android banking trojan that has screen recording and keylogging as the main strategy to harvest login credentials in an automated and scalable way," researchers from ThreatFabric said in a write-up shared with The Hacker News.

Instead, they chose to simply record what is shown on the screen, effectively obtaining the sa…

Intelligence agencies in Australia, the U.K., and the U.S. issued a joint advisory on Wednesday detailing the most exploited vulnerabilities in 2020 and 2021, once again demonstrating how threat actors are able to weaponize publicly disclosed flaws to their advantage swiftly.

"Cyber actors continue to exploit publicly known—and often dated—software vulnerabilities against broad target sets, including public and private sector organizations worldwide," the U.S. Cybersecurity and Infrastructure Security Agency (CISA), the Australian Cyber Security Centre (ACSC), the United Kingdom's National Cyber Security Centre (NCSC), and the U.S. Federal Bureau of Investigation (FBI) noted.

"However, enti…

An Android malware that was observed abusing accessibility services in the device to hijack user credentials from European banking applications has morphed into an entirely new botnet as part of a renewed campaign that began in May 2021.

Italy's CERT-AGID, in late January, disclosed details about Oscorp, a mobile malware developed to attack multiple financial targets with the goal of stealing funds from unsuspecting victims.

While no new activities were reported since then, it appears that Oscorp may have staged a return after a temporary hiatus in the form of an Android botnet known as UBEL.

Once downloaded on the device, the malware attempts to install itself as a service and hide its pre…

A Chinese cyberespionage group known for targeting Southeast Asia leveraged flaws in the Microsoft Exchange Server that came to light earlier this March to deploy a previously undocumented variant of a remote access trojan (RAT) on compromised systems.

"The variant observed [...] is unique in that it contains a change to its core source code: the replacement of its trademark word 'PLUG' to 'THOR,'" Unit 42 researchers Mike Harbison and Alex Hinchliffe noted in a technical write-up published Tuesday.

"The earliest THOR sample uncovered was from August 2019, and it is the earliest known instance of the rebranded code.

New features were observed in this variant, including enhanced payload-deli…

An Iranian cyberespionage group masqueraded as an aerobics instructor on Facebook in an attempt to infect the machine of an employee of an aerospace defense contractor with malware as part of years-long social engineering and targeted malware campaign.

Enterprise security firm Proofpoint attributed the covert operation to a state-aligned threat actor it tracks as TA456, and by the wider cybersecurity community under the monikers Tortoiseshell and Imperial Kitten.

"In early June 2021, the threat actor attempted to capitalize on this relationship by sending the target malware via an ongoing email communication chain."

The threat actor is believed to be loosely aligned with the Islamic Revolut…

Cybersecurity researchers have discovered multiple security vulnerabilities in Zimbra email collaboration software that could be potentially exploited to compromise email accounts by sending a malicious message and even achieve a full takeover of the mail server when hosted on a cloud infrastructure.

The flaws — tracked as CVE-2021-35208 and CVE-2021-35208 — were discovered and reported in Zimbra 8.8.15 by researchers from code quality and security solutions provider SonarSource in May 2021.

Mitigations have since been released in Zimbra versions 8.8.15 Patch 23 and 9.0.0 Patch 16.

"Transformation of already sanitized HTML inputs can lead to corruption of the HTML and then to XSS attacks."

…

Cybersecurity researchers on Tuesday disclosed nine security vulnerabilities affecting three open-source projects — EspoCRM, Pimcore, and Akaunting — that are widely used by several small to medium businesses and, if successfully exploited, could provide a pathway to more sophisticated attacks.

All the security flaws in question, which impact EspoCRM v6.1.6, Pimcore Customer Data Framework v3.0.0, Pimcore AdminBundle v6.8.0, and Akaunting v2.1.12, were fixed within a day of responsible disclosure, researchers Wiktor Sędkowski of Nokia and Trevor Christiansen of Rapid7 noted.

EspoCRM is an open-source customer relationship management (CRM) application, while Pimcore is an open-source enterpr…

Threat actors are increasingly shifting to "exotic" programming languages such as Go, Rust, Nim, and Dlang that can better circumvent conventional security protections, evade analysis, and hamper reverse engineering efforts.

"Malware authors are known for their ability to adapt and modify their skills and behaviors to take advantage of newer technologies," said Eric Milam, Vice President of threat research at BlackBerry.

"That tactic has multiple benefits from the development cycle and inherent lack of coverage from protective products."

Earlier this year, enterprise security firm Proofpoint discovered new malware written in Nim (NimzaLoader) and Rust (RustyBuer) that it said were being use…

For starters the NSA, in a public service announcement posted on Thursday (PDF), urged security teams to be mindful of the wireless threats employees face when using Wi-Fi networks.

NSA Warns of BluetoothMore interestingly, the agency cites Bluetooth as a convenient protocol for private use, but when used in public settings it can be a nasty security liability.

It said data transfer between devices using NFC can be a cybersecurity minefield of pitfalls.

Do not bring devices near other unknown electronic devices.

“These tips are as relevant in 2021 as they were in 2015, but with the shift to more remote work, there are more people using public Wi-Fi,” said Tim Erlin with Tripwire.

The initial attack, dubbed MeteorExpress, occurred July 9, when “a wiper attack paralyzed the Iranian train system,” according to a report by Juan Andres Guerrero-Saade at Sentinel Systems.

Attackers used the batch files, nested alongside their respective components, in a chain to successfully execute the attack.

“The wiper components are split by functionality: Meteor encrypts the filesystem based on an encrypted configuration, nti.exe corrupts the MBR, and mssetup.exe locks the system,” Guerrero-Saade wrote.

Researchers recovered “a surprising amount of files” for a wiper attack, but did not manage to reconstruct them all.

“At its most basic functionality, the Meteor wiper takes a set of …

Authorities at the University of California San Diego Health reported a phishing attack lead to a major breach of its network, which allowed an adversary to gain access to sensitive patient, student and employee data.

UCSD Health said the matter was referred to the Federal Bureau of Investigation.

A recent Cloudian report found 65 percent of organizations that fell victim to phishing attacks had previously conducted employee cybersecurity training.

Alicia Townsend, technology evangelist, OneLogin pointed out that UCSD Health, in its public breach notification statement, suggested that even basic user training was lacking.

“UC San Diego Health has stated that they have taken steps to enhance…

The vulnerabilities – which lurk in devices or software from the likes of Citrix, Fortinet, Pulse Secure, Microsoft and Atlassian – include publicly known bugs, some of which are growing hair.

For those that can’t do that, the advisory encouraged organizations to check for the presence of indicators of compromise (IOCs).

Recent research (PDF) from Vulcan Cyber has found that more than three-quarters of cybersecurity leaders have been impacted by a security vulnerability over the past year.

It begs the question: Is there a mismatch between enterprise vulnerability management programs and the ability of security teams to mitigate risk?

But if a given vulnerability is being exploited, that sho…

Authorities from multiple agencies of the Israeli government paid a visit the offices of the NSO Group as part of a new investigation into claims that the secretive firm is selling its spyware to threat actors for targeted attacks, according to the Israeli Ministry of Defense.

Specifically, Israeli agents visited NSO Group’s offices in Herzliya, near the city of Tel Aviv, according to a post by analyst firm Recorded Future’s The Record.

“Representatives from the number of bodies came today to NSO to examine the publications and claims raised in the matter,” the ministry tweeted (Google translated from Hebrew).

NSO Group is working “in full transparency” with authorities, the firm told The R…

Uptycs Threat Research outline how malicious Linux shell scripts are used to cloak attacks and how defenders can detect and mitigate against them.

In previous Uptycs Threat Research posts, we discussed the common utilities in Linux, which are generally used by threat actors in the attack chain.

In this report, we highlight those common defense evasion techniques, which are common in malicious Linux shell scripts.

(see figure 3)Technique 3: Disabling Linux Security Modules (LSMs)The malicious shell script also disables Linux security modules like SElinux, Apparmor.

Uptycs EDR QueriesAlongside the detections, Uptycs EDR also records all the events we mentioned above in the process_events tabl…

They’re either new or old REvil & DarkSide wine in new bottles.

So much for darkened servers at the headquarters of DarkSide or REvil ransomware groups.

Haron & Its Cut-and-Paste Ransom NoteThe first sample of the Haron malware was submitted to VirusTotal on July 19.

Avaddon is yet another prolific ransomware-as-a-service (RaaS) provider that evaporated in June rather than face the legal heat that followed Colonial Pipeline and other big ransomware attacks.

There are loads of other similarities between Haron and Avaddon, including:Yet more cut-and-paste verbiage on the two negotiation sites.

Researchers plan to introduce a revamp of PunkSpider, which helps identify flaws in websites so companies can make their back-end systems more secure, at DEF CON.

However, experts have mixed feelings about the tool called PunkSpider, created by the analytics firm QOMPLX.

They fear the tool could be hijacked by hackers to exploit vulnerabilities before companies have time to patch them.

The data they refer to will be a massive collection of known web vulnerabilities.

“Ok so maybe I’m dumb but doesn’t a tool like this make bug bounties pointless?” questioned Twitter user @thedragonisreal.

The frenzy begs the question: Why is securing Microsoft Active Directory (AD) such a nightmare?

My guests today are Lee Christiansen and Will Schroeder, the SpecterOps researchers behind a recent report entitled Certified Pre-owned: Abusing Active Directory Certificate Servers, about attack paths in Microsoft Active Directory.

Like, that’s why Lee and I started diving into the Active Directory Certificate Services, for example, because we didn’t fully understand it.

So most of this information can be a numerated through Active Directory through eldap the protocol that pulls information about different Active Directory objects.

And a lot of people don’t fully understand Astra directory, Cert…

No More Ransom is collecting decryptors so ransomware victims don’t have to pay to get their data back and attackers don’t get rich.

To date, the No More Ransom repository of ransomware decryptors has helped more than 6 million victims recover their files, keeping nearly a billion euros out of the hands of cybercriminals, according to a Monday release.

“The general advice is not to pay the ransom,” No More Ransom advises.

There, victims can enter either the URL, onion or Bitcoin address given by the attacker to pay the ransom.

Don’t Pay the Ransom: Here’s WhyRansomware victims are increasingly reluctant to pay ransom demands.

Two bugs, now patched except in older versions, could be chained to allow attackers to hijack Zimbra server by simply sending a malicious email.

“When attackers get access to an employee’s email account, it often has drastic security implications,” according to the report.

If a victim were to open such a riggedd email, they’d trigger a cross-site scripting (XSS) bug (CVE-2021-35208) in their browser.

SonarSource put it mildly: “SSRF vulnerabilities have become an increasingly dangerous bug class, especially for cloud-native applications,” according to the writeup.

The security firm said that it doesn’t know whether Zimbra Cloud, a SaaS solution using AWS, was affected by the vulnerability.

The unpatched flaws include RCE and authenticated privilege escalation on the client-side: Just the latest woe for the ransomware-walloped MSP.

There are three new, unpatched zero-day vulnerabilities in Kaseya Unitrends that include remote code execution (RCE) and authenticated privilege escalation on the client-side.

Kaseya Unitrends is a cloud-based enterprise backup and disaster recovery technology that’s delivered as either disaster recovery-as-a-service (DRaaS) or as an add-on for the Kaseya Virtual System/Server Administrator (VSA) remote management platform.

On July 14, the DIVD started daily scans to detect vulnerable Kaseya Unitrends servers.

Woe begets woe nelly: Following the ran…

Apple patched a zero-day flaw on Monday, found in both its iOS and macOS platforms that’s being actively exploited in the wild and can allow attackers to take over an affected system.

Apple released three updates, iOS 14.7., iPadOS 14.7.1 and macOS Big Sur 11.5.1 to patch the vulnerability on each of the platforms Monday.

Exploiting CVE-2021-30807 can allow for threat actors “to execute arbitrary code with kernel privileges,” Apple said in documentation describing the updates.

“Apple is aware of a report that this issue may have been actively exploited,” the company said.

iOS devices that should be updated immediately are: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iP…

Full transparency: Curtis Simpson, CISO at Armis, the enterprise IoT security company, was fundamentally a black hat at the age of 12, before he even knew what a black hat was.

“What we’re seeing is an interesting domino effect where record-setting ransomware payouts are happening with an OT and ICS organization.

“What we’re seeing is an exponential level of effort being put towards understanding exposures in these environments, streaming together, exploitations around [internet of things, or IoT] devices to be able to get to those environments,” Simpson observes.

In this podcast, Simpson details how threat actors are trying to get into those environments, be it APT28 – the threat actor tha…

Malware source code detector vx-underground also picked up on the feud, calling it “Ransomware group drama.”“RAMP, the forum started by Babuk ransomware group, has seen a surge of flooding and spamming.

RAMP, the forum started by Babuk ransomware group, has seen a surge of flooding and spamming.

Ransomware actors are ransoming other ransomware actors.

pic.twitter.com/Iu1vfQtBLL — vx-underground (@vxunderground) July 23, 2021Babuk’s Reboot StallsBabuk has had a rough few months.

Now that ransomware actors have turned on one another, things might be about to get even more interesting.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

With vacations in full swing, cybercriminals will be looking to scam vacationers looking for that perfect accommodation.

Learn to identify these scams.

Most people are fans of the convenience provided by online shopping, but some criminals uses this to lure clients into Amazon scams.

Now that organizations are set to evolve aWith vacations in full swing, cybercriminals will be looking to scam vacationers looking for that perfect accommodation.

Most people are fans of the convenience provided by online shopping, but some criminals uses this to lure clients into Amazon scams.

Most people are fans of the convenience Amazon brings to online shopping, and that’s precisely what cybercriminals are betting on.

The emails you may receive can take on various forms, however they usually impersonate a common Amazon dispatch email, that regular customers have encountered many times over.

However, fortunately, most of these scams can be uncovered quite easily if you keep a cool head.

One tactic that is often utilized is trying to convince you to pay outside Amazon’s secure platform.

To sum it up, most of the scams can be avoided if you remain vigilant, curious, and keep your wits about you.

According to the U.S. government’s findings, the most exploited vulnerability in 2020 was a flaw in the Citrix Delivery Controller.

The vulnerability attracted cybercriminals because it is easily exploited and the fact that Citrix servers are used extensively worldwide.

Among those highly exploited in 2021 are vulnerabilities in Microsoft, Pulse, Accellion, VMware, and Fortinet.

You can find the full list of vulnerabilities with recommended mitigations in CISA’s advisory.

Organizations that apply the best practices of cybersecurity, such as patching, can reduce their risk to cyber actors exploiting known vulnerabilities in their networks,” said Executive Assistant Director for Cybersecurity…

Now that organizations are set to evolve a hybrid blend of home and office-based work for most employees, it is more important then ever to address the risks that insider threat can – willingly or unwitingly – pose.

Stress also played a potentially key role here, increasing insider risk.

However, there are things that security teams can do to minimize the risks associated with the new hybrid workplace.

Insider risk management is all about trying to protect your weakest link from compromise.

With best practice policies and processes supported by the right technology, there is hope for a more secure hybrid workplace.

In fact, the report paints a pretty bleak picture considering that over the second half of 2020 only 2.3% of active Twitter accounts had at least one 2FA method enabled.

Although the adoption of 2FA isn’t widespread among users, on the bright side Twitter registered an uptick of 9.1% in the number of users that had at least one 2FA method enabled.

An interesting piece of information since Twitter recently allowed users to set security keys as their sole 2FA method.

Making 2FA methods simpler and more user friendly will help to encourage adoption and increase security on Twitter,” the company concluded.

If you haven’t secured your account with one of the several 2FA methods Twitter offers ju…

With vacations in full swing, cybercriminals will be looking to scam vacationers looking for that perfect accommodation.

Paying outside of the Airbnb platformYou’ve finally stumbled upon your dream vacation place that you’d like to book.

The photos look good, it’s near the landmarks you’d like to visit or located in a hip local neighborhood and everything seems to look great in general.

Even Airbnb itself warns against such scams and urges clients to immediately report any hosts who request off-site payments.

While you’re searching for a place that has a series of great reviews, you’d best be on the lookout for anything suspicious.

Apple has released an update for its iOS, iPadOS, and macOS operating systems to patch a zero-day security flaw that is being actively exploited in the wild.

The vulnerability affects a wide range of its products including the iPod touch and various models of the iPhone and iPad.

The same security flaw also affects the macOS operating system, so the Cupertino-based tech titan also issued a security update for macOS (Big Sur 11.5.1) to address the issue.

“Apple has released security updates to address a vulnerability in multiple products.

To manually update your Mac devices, go to the Apple menu, click on About This Mac and then click on the Software Update button.

URL shortener services distributing Android malware – Week in security with Tony AnscombeSome URL link shortener services distribute Android malware, including banking or SMS trojans, attacking unsuspected victims.

Learn how the Zero Trust architecture can protect the hybrid workplace, as it is an increasingly popular way to minimize cyber-risk in a world of hybrid cloud, flexible working and persistent threat actors.

The FBI warns that cybercriminals could target the Tokyo Olympics with ransomware, phishing, or DDoS attacks in a bid to increase their notoriety or make money.

The Zero Trust architecture offers an increasingly popular way to minimize cyber-risk in a world of hybrid cloud, flexible working and persistent threat actors.

The good news is that this what the Zero Trust model was built for.

In 2009, Forrester developed a new information security model, called the Zero Trust Model, which has gained widespread acceptance and adoption.

Instead, Zero Trust is founded on a mantra of “never trust, always verify” to help reduce the impact of breaches.

How Zero Trust has evolvedWhen Zero Trust was first created back in 2009, it was a very network-centric model.

To test these devices, the researchers scanned the web for these routers and then used an automated script that used the manufacturer’s default passwords to log in to the router’s admin dashboard.

Out of the total of 9,927 routers that they tested, they found that 635 were susceptible to default password attacks.

That’s why it’s always prudent to change your Wi-Fi router’s default administrator password during its initial setup process.

However, remember that you should use distinct passwords for accessing the Wi-Fi router admin settings and connecting to the internet via the router.

that found Wi-Fi routers contained various security flaws, including the use of weak default passwords, putt…

Cybercriminals may target the popular event with ransomware, phishing, or DDoS attacks in a bid to increase their notoriety or make moneyThe United States’ Federal Bureau of Investigation (FBI) has issued a warning about threat actors potentially attempting to disrupt the upcoming Tokyo 2020 Summer Olympics.

It went on to warn that cybercriminals could utilize various flavors of cybercrime such as distributed denial of service (DDoS) attacks, ransomware, social engineering to derail the Olympic games.

Social engineering and phishing campaigns continue to provide adversaries with the access needed to carry out such attacks,” the federal law enforcement agency warned.

Cybercriminals could als…

Besides websites, they could also offer an iOS device user to download an ICS calendar file, or an Android device user to download an Android app.

However, the calendar name “Click OK To Continue (sic)” is not revealing the true content of those calendar events and only misleads the victims into tapping the Subscribe and Done button.

These calendar events falsely inform victims that their devices are infected with malware, hoping to induce victims to click on the embedded links, which lead to more scareware advertisements.

☠️Severe Viruses have been found recently on Android devicesBlock ads, viruses and pop-ups on YouTube, Facebook, Google, and your favorite websites.

Besides these scenari…

Lessons to learn from the Kaseya cyberincident to protect your business’ data when doing business with a MSP.

Our best tips to keep you safe while streaming, and more.

The newest update fixes a total of eight vulnerabilities affecting the desktop versions of the popular browser.

Google has rolled out an update for its Chrome web browser that fixes a range of vulnerabilities, including a zero-day flaw that has been known to be actively exploited in the wild.

“Google is aware of reports that an exploit for CVE-2021-30563 exists in the wild,” reads Google’s security update describing the newly disclosed zero-day vulnerability, that stems from a type confusion error in the V8 open-source JavaScript engine that is used in Chrome and other Chromium-based web browsers.

Beyond the zero-day flaw, the new release fixes seven other security loopholes, with Google sp…

From securing your devices to avoiding public Wi-Fi hotspots for logging into apps we look at measures you can take to remain safe while this holiday season.

And while you’re coming up with your new passwords, be sure to avoid common mistakes of password creation.

However, unsecured public Wi-Fi hotspots present a security risk that could lead to your devices being hacked, infested by malware, and your sensitive data being stolen.

Use a reputable security solutionWhile this step should be a no-brainer, many people still underestimate the value of using security software when it comes to smartphones and tablets.

However, it is important to remember that these devices are no longer “just phon…

Have you listened to our podcast?

We couldn’t find that page.

Maybe try a search?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

The 2021 threat landscapeThis second part to ISACA’s annual State of Cybersecurity 2021 survey report examines cyber threat landscape trends, including frequency and type of attacks, confidence in cybersecurity teams and cybersecurity awareness initiatives, nuances related to security operations and reporting structure, and cybermaturity as a business imperative.

Unpatched system – 9%The global pandemic has presented a range of challenges, including those impacting cybersecurity teams.

“With the increase in the number and rate of cyberattacks worldwide, cybersecurity professionals are facing a challenging 2021 threat landscape that requires constant vigilance,” says David Samuelson, CEO, IS…

A new survey of enterprise IT security leaders showed almost 80 percent believe remote workers are at more risk for phishing attacks now because they’re isolated from their organizations’ security teams.

A question about threat literacy among remote workers found that 81 percent of IT leaders felt their employees understood that 90 percent or more ransomware attacks originated through email phishing.

Eighteen percent felt their employees didn’t know that, or didn’t know if employees understood the threats caused by email phishing attacks.

Two percent of those polled felt employees already knew enough not to open suspicious-looking emails, or links they didn’t trust.

Asked if these counter m…

These changes have brought about a rush to implement a zero trust architecture, with 81% of respondents affirming that they have already implemented or will do so in the next two years.

The majority (80%) of respondents are in alignment that achieving zero trust, reducing cost and complexity, and enabling a predictable user experience are the forces driving their network security posture in 2022.

“The modern, digitally-enabled retailer cannot afford to experience any disruption whether that is caused by network downtime or cybersecurity incidents.

“We’ve seen our retail customers at the forefront of security innovation as we emerge from the pandemic,” said Woods.

“They’re moving to the clou…

Nearly two-thirds (64%) of network managers, network architects, and network engineers said their organizations have hired dedicated network automation engineers to transition to network operations (NetOps).

However, only one-third of respondents said their teams had undertaken industry training courses to achieve this goal, according to Opengear.

Nonetheless, despite its growing importance, 53% of survey respondents said they had to study NetOps on their own personal time.

“Our survey results show that network engineers are keen to learn about this new world of NetOps and the benefits of automating network infrastructure planning, deployment, and management,” said Gary Marks, President of …

Today, most companies rely on manual processes and good intentions to ensure proper SaaS security management, but that is not enough.

IT and security teams are already overburdened and it’s essential that security technologies contribute to efficiency, rather than introduce more friction.

With so many SaaS platforms in use, it’s difficult to maintain a high-level of SaaS expertise among security teams.

New SaaS platforms coveredAppOmni has extended the breadth of SaaS platforms covered while maintaining the depth and comprehensive coverage customers have come to rely on.

Organizations that have transitioned to cloud and SaaS applications are beginning to understand that there’s a shared res…

Confidence that quantum computers will solve major problems that are beyond the reach of traditional computers—a milestone known as quantum advantage—has grown fast in the past twelve months, according to a new report by Boston Consulting Group (BCG).

Investors are moving aggressively to increase the amount they allocate to quantum computing, with two-thirds of all equity investments in the field coming since 2018.

The BCG research estimates that quantum computing will unlock new value across many industries, creating up to $850 billion in annual value by 2040.

Much of the new investment is being directed toward the challenge of developing lower cost and more reliable quantum computing hard…

Moving from one cloud to another cloud is too much hassle, main pain points in cloud migration are implementation, downtime, teams struggle and fear of data loss.

To ease the process and mitigate the risk of data loss, SysTools has introduced SysTools Cloud Migration Service and it gives smooth and frictionless data migration experience to SysTools customers.

“The most difficult aspect of cloud migration is its complexity; as a result of the deployment structure and methods necessary for developing and maintaining cloud migration, most businesses seek to outsource core cloud migration services, SysTools understands this need and provides frictionless data migration experience to our custome…

DSM SaaS provides the complete proven capabilities of the Fortanix on-premises solution and is the multicloud data security solution certified to the rigorous FIPS 140-2 Level 3 standard.

Available immediately on demand, DSM SaaS is a path for organizations to achieve the highest levels of data security for public cloud, SaaS, hybrid cloud, and on-premises applications.

At no time do Fortanix DSM SaaS administrators have access to keys or data processed by customers in their DSM SaaS account.

DSM SaaS provides maximum availability and disaster tolerance using the global network and infrastructure of Equinix, the worlds’ digital infrastructure company.

Included in DSM SaaS is the SmartKey se…

5G technology requires time sources to be synchronized throughout a packet-switched network ten times more accurately than 4G requirements.

“Our newest ZL3073x/63x/64x network synchronization platform implements sophisticated measure, calibrate and tune capabilities, thereby significantly reducing network equipment time error to meet the most stringent 5G requirements,” said Rami Kanama, vice president of Microchip’s timing and communications business unit.

Microchip’s network synchronization platform software includes its ZLS30730 high-performance algorithm coupled with its ZLS30390 IEEE 1588-2008 protocol engine.

Microchip’s ZL3073x/63x/64x network synchronization platform combines seamle…

Paian IT Solutions and Corent Technology create a transactable presence for cloud optimization services on Microsoft’s Azure Marketplace.

Paian IT Solutions is a provider of cloud services to the DACH region.

Paian’s vision is to reach the entire Azure customer base across the region, offering PASOS – Paian’s Azure Spend and Optimization services.

Azure Marketplace is where customers can search for cloud services and add these to their existing cloud subscription.

We congratulate them on their Azure Marketplace listing and we look forward to their continued successes.”

Saviynt announced its technology platform is now available as a managed service with Deloitte.

The expansion delivers Saviynt’s identity governance, privileged access, and access risk analytics capabilities to organizations as a managed service through Deloitte’s Digital Identity+ Platform, bringing together Saviynt’s innovative technology and Deloitte’s deep experience in providing strategic business solutions.

The Saviynt Enterprise Identity Cloud platform helps modernize identity and governance administration (IGA), secures access across multi-cloud environments, governs third-party access, enforces cloud privileged access management (PAM), and automates user lifecycle management with pr…

Skybox Security announced accelerated global expansion to meet increasing market demand for its Security Posture Management Platform, which includes its Vulnerability Management solution.

Customers are increasingly turning to Skybox Security to improve security posture of complex hybrid networks at speed and scale.

“With Skybox Security, CISOs can confidently prove they closed the most dangerous exposed vulnerabilities, ultimately preventing cyberattacks from damaging the business.

Skybox models each customers’ unique threat landscape to understand how they could get breached,” said Shantanu Srivastava, vice president of sales for APJ, Skybox Security.

Skybox Security continues to enrich it…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Streamlining the submission processAmass is great and all, but currently it’s the only DNS enumeration tool I’m aware of that has the SecurityTrails submit endpoint built right into it.

Upgrading haktrailsThe first thing I did was build the submit endpoint into haktrails, a tool I had already written to query SecurityTrails data.

Submitting bug bounty recon (or not)My guess is that every bug bounty hunter and their dog will be submitting their bug bounty recon data to win this contest.

@ChrisUeland Ideas for ReconMaster contest - #1) automate AFXR - approximately 1% of all domains have AXFR open.

To mitigate this, there’s a great tool called DNS Validator that allows you to maintain a list …

Understanding the Apache Airflow VulnerabilitiesEarlier this year, I stumbled upon an Apache Airflow instance’s web interface when looking through public assets on a bug bounty program.

I was able to exploit these issues in over ten bug bounty programs, earning many P1s and over $13,000.

This is a weird way to phrase this issue, as it seems to imply something quite severe — the authentication system for a default Airflow instance is able to generate valid sessions for any other Airflow instance.

Moderate damage : You can view and change the configuration variables for the Airflow instance.

: You can view and change the configuration variables for the Airflow instance.

Domain and specially subdomain discovery is a critical skill for hackers, security researchers and pentesters.

Today we will introduce you to a handy tool we discovered recently, called AssetFinder.

Find even more subdomains today Grab your free SecurityTrails API™ account now SIGN UP FOR FREEAssetFinder installationInstalling AssetFinder is pretty straightforward.

It utilizes the following command syntax:./assetfinder [--subs-only] For example, to find both subdomains and domains associated with GE.com, use:root@Ubuntu ~ # ./assetfinder ge.com blizzard000.ge.com blizzard00.ge.com ns0.ge.com milan1-1.ge.com milan2-1.ge.com na2001.ge.com crpeomusanyca01.ge.com corpuwb01.ge.com consind01.ge.c…

Types of intrusion detection systemsIntrusion detection systems come in different variations and can detect suspicious activity using different methods and capabilities.

Host intrusion detection system (HIDS)A host intrusion detection system (HIDS) runs on all of a network’s hosts and devices that have access to the internet as well as the internal network.

Application protocol-based intrusion detection system (APIDS)An application protocol-based intrusion detection system (APIDS) monitors the communication between users and applications.

Hybrid intrusion detection systemA hybrid intrusion detection system is defined exactly as its name implies: it’s a combination of two or more types of ID…

IP intelligence involves information gathering on the IP addresses used to provide access to web applications and web services within an organization.

IP Block ListIf we scroll down further, we notice the IP Block list.

Now let’s take a look into an IP block:Next, we arrive at the IP Block 165.156.0.0/16 information page:Here you see the IP Count, which is the number of IP addresses within this block, along with other information about the IP block.

If we scroll down further, we find the individual subnets and IP addresses within this large /16 IPv4 block:Taking a look at the sub-block 165.156.128.0/20,we see the Ports open on this IP block, the hostnames associated with this IP block and a…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

As we’ve said before, bug bounty hunting is both an art and a science—it’s about taking the road less traveled when it comes to vulnerability searching strategies.

Bug bounty hunting is a mix of luck, tools, feelings and mindset.

This is why in this instalment of #ProTips, we are joined by Adrien Jeanneau, also known as Hisxo in the bug bounty realm.

Adrien discovered the world of bug bounty hunting many years ago, reading write ups and jumping into a more of a pentesters role.

Since then, he has been doing bug bounty almost every day after his work day.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Finally, we’ll explore some of the shortcomings associated with JA3 in light of circumventing attempts aimed at the core of its very functionality.

To understand how JA3 leverages certain TLS attributes, let’s take a closer look at the protocol’s initial connection sequence.

With the TLS client fingerprinting out of the way, the natural progression suggested fingerprinting TLS ServerHello messages would be just as advantageous.

Conclusion and outlookWhen combined with more traditional metrics, fingerprinting methods like JA3 can provide a quick and easy way of enriching IoCs across the board.

Lastly, valuable contributions are always a welcomed proposition to projects like JA3 and similar—j…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

A while ago, we wrote about the fantastic OWASP Amass tool , and as we believe in the open source movement as the primary fuel of the Internet, Jeff Foley has since become one of our sponsored open-source developers.

Say hello to the new Amass enumeration information sharing feature.

Send your Amass enumeration resultsOWASP Amass has released a new version that includes a community information sharing feature that supports submitting data to the newly created SecurityTrails community data sharing API endpoint.

Sign up to be the first to know when the Amass x SecurityTrails Recon Master Contest starts and get an advantage by being one of the first to submit entries!

Join the OWASP Amass comm…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

In this post, we’ll be shedding some light on popular threat intelligence sources, the threat intelligence lifecycle, CTI platforms and how to use our own SecurityTrails products for threat intelligence data collection.

Some commercial threat data sources could be Accenture Security Cyber Defense, Booz Allen Cyber Threat Intelligence Services and Crowdstrike.

Cyber threat intelligence lifecycleFor the threat intelligence gathering to be successful, a proper methodology or framework should follow.

How to use SecurityTrails as a threat intelligence platformThere are various threat intelligence platforms with varying capabilities.

SummaryA threat intelligence platform is an emerging cybersecur…

NIST describes the Framework as a risk-based approach to cybersecurity risk management and as such, it contains three components: Core, Implementation Tiers and Profiles.

The Framework Core is a combination of cybersecurity activities that presents industry standards, guidelines, practical references and key industry cybersecurity outcomes for managing cybersecurity risk.

The Tiers are defined by three points: Risk Management Process, Integrated Risk Management Program and External Participation.

Developing or improving your cybersecurity practicesAmong the best ways to use the NIST Cybersecurity Framework, in our opinion, are to begin creating your cybersecurity practices, or to improve th…

Я все откладывал, откладывал... Потом, организаторы мероприятия спрашивают меня, чтобы я мог рассказать и я называл незавершенную еще тему, которая, вдруг, заинтересовывала и организаторов и аудиторию.

Я все откладывал, откладывал... Потом, организаторы мероприятия спрашивают меня, чтобы я мог рассказать и я называл незавершенную еще тему, которая, вдруг, заинтересовывала и организаторов и аудиторию.

За свою жизнь я много где бывал, - и занимаясь туризмом в детстве и юности, и уже работаю и ездя в командировки.

Тогда он подается как спикер и если его выбирают, то он сильно экономит на проезде и проживании на площадке мероприятия.

Тогда он подается как спикер и если его выбирают, то он сильн…

TARA не ссылается на матрицу техник и тактик MITRE ATT&CK (ее еще тогда просто не было), но само понятие TTP в методике TARA присутствует ровно в том же контексте, что и в ATT&CK.

При этом TARA не требует описания активов вплоть до интерфейсов и уровней, как это описано у ФСТЭК.

Итогом моделирования угроз по TARA было составление оптимального перечня защитных мер, которые обеспечивали бы эффективную защиту от угроз/техник с минимальными затратами на внедрение и эксплуатацию.

Все эти параметры нарушителей могут меняться с течением времени, поэтому процесс составления "модели нарушителя" не статический и не одноразовый, а динамичный, требующий автоматизации.

Кстати, о времени, которое требует…

Вспоминая вчерашнюю таблицу показателей защитной меры, мы понимаем, что их зрелость может быть разной.

Туже самую идею можно применить и к эффекту от защитной меры и выделить для них три уровня: Высокий.

Эффект защитной меры подтвержден демонстрацией, сертификацией, тестами, пилотом и т.п.

Обратите внимание - результат поменялся, так как первая мера защиты много обнаруживает, но ничего не предотвращает и не снижает негативный эффект от обнаруженных угроз.

Выбор в пользу первой меры не вызывает вопросов - с ее помощью мы сможем нейтрализовать большее число угроз.

С ранжированием угроз мы разобрались вчера, но что делать с ситуацией, когда у меня для нейтрализации угрозы подходит сразу несколько защитных мер?

Можно оценить любую защитную меру с трех позиций - покрытие угроз (чем больше угроз покрывает защитная мера, тем лучше), стоимость внедрения и стоимость эксплуатации.

При этом второй показатель складывается из стоимости разработки (покупки) защитной меры, стоимости ее тестирования (пилотирования) и стоимости интеграции защитной меры в защищаемую среду.

Да и по спорным моментам все-таки мы получаем единую шкалу измерения, которая лучше чем просто экспертная оценка.

Однако можно пойти чуть дальше и еще улучшить выбор защитных мер, но об этом мы по…

Сегодня хочется попробовать описать один из вариантов, который может помочь не только облегчить процесс оценки угроз, но и автоматизировать его.

Идея достаточно проста и ее можно применить к абсолютно любой методике оценки угроз, в том числе и к ФСТЭКовской.

Хотя не исключаю, что под конкретные задачи можно пойти и привычным путем и более сложную атаку (и в части ресурсов, и в части детектируемости) считать и более опасной.

Во-вторых, такое матричное представление и ранжирование угроз гораздо более компактное и помещается на половине страницы А4, что позволяет методики на ее основе делать также более компактными.

Да и проверять и согласовывать такие таблицы гораздо проще, чем вникать в сотн…

Итак, на первое место я поставлю базовую модель угроз безопасности персональных данных при их обработке в ИСПДн (она же в Консультанте), выпущенную ФСТЭК в 2008-м году.

Одним из таких документов была "Модель угроз и нарушителя безопасности ПДн, обрабатываемых в ИСПДн отрасли [связи]", согласованная с ФСТЭК и ФСБ России.

Оба документа подразумевают согласование модели угроз с ФСБ, что заставляет нас задумываться о том, есть ли утвержденные этим, уже 4-м в сегодняшней заметке регулятором, перечни угроз безопасности?

Методические рекомендации ФСБ по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информ…

На днях я в своем Telegram-канале провел опрос, в котором задал схожий вопрос и получил очень интересные результаты (на основе 773 голосов).

Так вот это число растет быстрее, если увеличивать показатель степени (длину пароля), а не основание (мощность алфавита).

При увеличении основания значение функции тоже растет, но не так быстро.

У такого совета (опираться на длину пароля, а не спецсимволы) есть и другое преимущество - нестандартные клавиатуры, на которых приходится искать непонятные символы.

Я не знаю, учат ли сейчас ее в институтах, но в мое время ее преподавали.

Кинцуги - это японское искусство реставрации керамических изделий, которое, как и многое, что есть в Японии, имеет свой философский смысл.

Рекламы почти нет (как и всегда), куча практики, множество дискуссий и интерактивных сессий, возможность задавать вопросы спикерам (на очной RSAC это всегда было непросто).

Вроде как инцидентов серьезных в этом сегменте не было; как и новых регулятивных требований.

Новых технологий по ИБ представлено почти не было, исключая, пожалуй, Attack Surface Management, о которых я писал несколько дней назад.

Интересно, что на выставке раньше было раза в 3-4 больше экспонентов, чем в онлайне, что странно.

Еще во время появления первых документов ФСТЭК в 2013-м году многие эксперты задавались вопросом, а как увязать защитные меры с моделью угроз.

В фреймворк MITRE ATT&CK помимо техник и тактик входит еще один блок - защитных мер (mitigations), которые увязаны с блокируемыми ими техниками и тактиками.

Этого тоже пока не хватает подходу ФСТЭК, у которого из всего "фреймворка" есть пока только перечень техник и тактик.

Поэтому-то я и ратую за то, чтобы ФСТЭК прекратила заниматься самодеятельностью и унифицировала нумерацию своих техник и тактик с тем, что есть у MITRE.

В защитные меры из приказов ФСТЭК тоже можно смаппировать, но про это в другой раз.

В последнее время в России активно взялись за образование по ИБ и стали... нет, не готовить больше специалистов и лучше.

Мне подумалось, что надо помочь писателям профстандартов и подсказать им прекрасный ресурс, с которого можно копипастить все, что необходимо для качественного профстандарта специалиста по ИБ.

В рамках этого фреймворка выделяется 7 категорий (высокоуровневых функций, связанных с ИБ), 33 специализации по ИБ и 52 роли, для которых описываются необходимые знания, навыки и обязанности, которыми должен обладать специалист по ИБ, претендующий на конкретную роль.

Например, аналитик по киберпреступлениям, архитектор, администратор баз данных, аналитик SOC, специалист по расследова…

Занимаясь проектами по SOC (как проектированием, так и оценкой существующих и разработкой их улучшений) постоянно сталкиваюсь с темой развития центров мониторинга в соответствие с лучшими практиками.

Понятно, что есть различные идеи и технологии, которые вроде и появились на рынке, но пока непонятно, насколько они полезны на практике.

Рекомендовать их в рамках консалтинга не совсем правильно, но и скрывать тоже не имеет смысла.

И хотя в условиях п р овального импортозамещения все это так и останется красивой сказкой, но кому-то может и поможет.

При проведении расследований инцидентов аналитики опираются не только на плейбуки, но и на свой опыт, позволяющий им сопоставлять разные данные и де…

Новая методика оценки позволяет оценивать вполне определенный спектр угроз, оставляя в стороне много из того, что может произойти и нанести ущерб организации.

В данной заметке я хотел бы как раз описать на что, не распространяется методика ФСТЭК.

Например, хорошим стартом может послужить методика от Microsoft, которую для краткости называют STRIDE, хотя она этой аббревиатурой и не ограничивается.

Она, безусловно покарывает не все угрозы для ПО, но самые популярные точно.

Как собственно, не очень хорошо там учтены и угрозы, вызванные не антропогенными источниками (то бишь не людьми), а также антропогенными, но без злого умысла.

Но в отличие от методики ФСТЭК в ГОСТе эти уровни вычисляются по элементарной и понятной формуле, которая не позволяет скатиться в волюнтаристскую экспертную оценку.

Но пусть маппят и в техники ФСТЭК, не перекладывая эту проблему на потребителей (это второй по популярности вопрос на курсе - как соотнести уже имеющиеся отчеты и описания угроз и инцидентов по MITRE ATT&CK в то, что делает ФСТЭК?).

И пентесты и редтиминг по техникам выстраивают, а не по сценариям.

Но с методикой ФСТЭК по оценке угроз получилось наоборот.

Если бы в приказах регулятора осталась только одна фраза про необходимость моделирования угроз, то я бы мог использовать любую из нескольких десятков методик моделирования.

Последние три категории признаются актуальными, потому что среди целей ФСТЭК упоминает любопытство или месть, что вполне реально.

А что с разработчиками ПО?

Есть еще одна странная цель - "внедрение дополнительных функциональных возможностей в ПО на этапе разработки", но что это, я не совсем понял.

Тоже самое и остальных категорий нарушителей - они если и встречаются в реальной жизни, то достаточно редко.

В итоге мы имеем на выходе всего 5 помеченных на картинке выше типов актуальных нарушителей.

На выходных обновил и дополнил свои тулкиты (набора документов) по внедрению СУИБ и соответствию требованиям GDPR, которые собираю на Патреоне.Посмотреть их состав и скачать документы можно тут:GDPR Implementation Toolkit, v.3.0 - https://www.patreon.com/posts/41151893GDPR Intro Toolkit, v.2.0 - https://www.patreon.com/posts/47803689ISMS Implementation Toolkit, v.2.1 - https://www.patreon.com/posts/47806655Auditor's Toolkit, v.1.0 - https://www.patreon.com/posts/44215838Поддержите этот проект и подписывайтесь на мой Патреон!

Я уже больше года выкладываю свои документы по ИБ на Патреон (доступ по платной подписке), и вот список самых лучших из них:Дорожная карта по внедрению СУИБ, https://www.patreon.com/posts/34193352Рекомендации по внедрению СУИБ и подготовке к аудитам, https://www.patreon.com/posts/30627529Большая и подробная майндкарта по аудиту СУИБ, подготовленная по итогам прохождения курса ведущего аудитора по ISO27001, https://www.patreon.com/posts/44005904Перечень документов и процессов СУИБ, https://www.patreon.com/posts/30651713Майндкарта по стандарту ISO 19011, https://www.patreon.com/posts/32391752Одностраничный документ с основными положениями GDPR, https://www.patreon.com/posts/30623162Дорожная к…

На праздничных выходных я прочитал и законспектировал официальный мануал для подготовки к экзамену CDPSE (Certified Data Privacy Solutions Engineer) от ISACA, и сегодня расскажу вам о нем.1. Книга стоит 105$ для членов ISACA и 135$ для всех остальных.2. Это совсем свежая книга, ее опубликовали примерно месяц назад. Но до этого ISACA уже выпускала несколько больших книг по privacy. Например, "Implementing a Privacy Protection Program: Using COBIT 5 Enablers With ISACA Privacy Principles".3. Странно, но этот учебник ISACA предлагает не в формате pdf, который удобно читать на любом устройстве, а выдают лишь ссылку, которую можно открыть лишь в защищенном формате в Adobe Digital Edition. Каких-…

Начало года отмечено новым рекордным штрафом за нарушение требований GDPR при использовании систем видеонаблюдения (CCTV): 10,4 млн.евро штрафа для notebooksbilliger.de. Для себя составил вот таблицу со всеми известными мне штрафами по этой теме. Нарушения стандартные: нарушение баланса интересов, слишком длительное хранение данных, несоответствие обработки целям и избыточный сбор данных.Ссылки на все штрафы выложены на моем Патреоне - https://www.patreon.com/posts/gdpr-fines-video-46114870Там же есть и мои детальные рекомендации по использованию CCTV (и легализации этого процесса) - https://www.patreon.com/posts/39537997И большая презентация "Employee Monitoring and Privacy" - https://www.…

Целью этой стратегии является укрепление коллективной устойчивости Европы к кибер-угрозам и обеспечение того, чтобы все граждане и предприятия могли в полной мере воспользоваться преимуществами надежных и заслуживающих доверия услуг и цифровых инструментов.

А также положения об объединенном сообществе (Joint Cyber Unit) для обмена информацией об угрозах и оказания помощи в реагировании.

Планы по перезапуску и усилению CERT-EUВ отдельное приложение выделены меры по безопасности сетей 5G.

На ближайшие 7 лет запланировано очень много важных и полезных изменений...А вот, кстати, официальный QnA по стратегии - https://ec.europa.eu/commission/presscorner/detail/en/QANDA_20_2392P.S.

Помимо этого с…

Сегодня я посетил вебинар - встречу с новым финским Омбудсменом по защита персональных данных (the Data Protection Ombudsman) и после этого решил в очередной раз сравнить европейский подход (GDPR и ePrivacy) с подходом российского РКН (152-ФЗ). Для этого я пересмотрел запись публичного семинара для операторов ПДн от РКН, который прошел 26 ноября 2020.Меня очень порадовало, что Контемиров Юрий Евгеньевич (начальник Управления по защите прав субъектов ПДн) в этот раз отдельно рассказал про отношение РКН к GDPR. Приведу текст выступления практически полностью, чувствую, что он еще пригодится:1. GDPR к деятельности российских компаний может применяться в исключительных случаях. 2. Российский оп…

Пару недель назад я прошел 5-дневное обучение по курсу ISMS ISO 27001:2013 Lead Auditor (Ведущий аудитор систем управления информационной безопасностью по стандарту ISO 27001) и сегодня расскажу вам о нем.Что это такое и зачем это надо?По сути, это обучение является обязательным шагом для получения статуса ведущего аудитора по ISO 27001. Соответствующий статус необходим аудиторам для проведения сертификационных аудитов СУИБ (это может быть довольно неплохой работой / подработкой для специалистов по ИБ), а также часто требуется для внутренних аудиторов, внешних аудиторов (при аудитах второй стороны (подрядчиков и партнеров)) или внешних консультантов. Однако он заточен именно на стандарт ISO…

Попробовал свести в одну майндкарту важные управленческие модели, которые могут быть полезны руководителям департаментов и консультантам по информационной безопасности, а также инспекторам по защите персональных данных (DPO). На удивление, получился очень большой перечень. Держите майндкарту и общий список.Вот общий список:Strategy1. Governance by COBIT2. SWOT3. GAP analysis and Benchmarking4. Hype Cycle5. Components by COBIT (ex.Enablers)6. McKinsey 7-S FrameworkObjectives, KPIs and metrics7. Balanced Scorecard (BSC)8. Goal Cascade by COBIT9. ISO 27001 for IS objectives10. SMART11. Metrics12. Metric Life CycleProcesses13. PPT Triangle14. RACI chart CI Cycles15. PDCA16. OODA17. COBIT Implem…

Некоторые европейские надзорные органы, например, Финский DPA, не рекомендуют совмещать роли CISO и DPO из-за возможного конфликта интересов. Посветил этой проблеме 1 слайд в своей новой презентации "Employee Monitoring and Privacy", которую выложил на Патреон:

Выложил на Патреон детальную майндкарту для ИТ стартапов, которые планируют работать в ЕС и соответствовать GDPR - https://www.patreon.com/posts/43224350Кратко она выглядит так:

Недавно была опубликована свежая статистика по выданным сертификатам ISO, ISO Survey 2019. Выбрал самое важное.Общее количество выданных сертификатов на 31.12.2019, рост на 3.8% по сравнению с 2018 годом:Количество сертификатов по ISO 27001 выросло за год на 14%.Топ 10 стран по количеству сертификатов ISO 27001:China - 8356Japan - 5245United Kingdom of Great Britain and Northern Ireland - 2818India - 2309Italy - 1390Germany - 1175Spain - 938Netherlands - 938United States of America - 757Turkey - 729В России - 81, в Финляндии - 66.Больше всего сертификатов в отрасли ИТ - 8562.

Подготовил небольшую таблицу с ответом на вопрос "какие стандарты и лучшие практики использовать для защиты персональных данных". Есть из чего выбрать...Все ссылки и pdf-файл доступны мои подписчикам на Патреон - https://www.patreon.com/posts/42520555

Снятая в 2020 году блокировка Telegram, видимо, положительно сказалась на популярности чатов и каналов - отрицательной динамики за прошедший год практически ни у кого нет за редким исключением.

В рейтинге самых популярных чатов на первом месте теперь RouterOS Security, набрать аудиторию которому сильно помог недавний нашумевший пост на Хабре. На втором месте - многострадальный КИИ 187-ФЗ, потерявший администраторов и живущий теперь по принципам полной самоорганизации, страдая периодически от спама и ботов. При этом участники не спешат его покидать, хотя альтернатива есть и состав модераторов там вполне адекватный: @FZ187KII.

Отсечку в 100 пользователей менять не стал, так что итоговый списо…

Традиционно с началом нового года начинают действовать и новые изменения в законодательстве. Ниже собрал основные нововведения, так или иначе касающиеся информационных технологий. Ссылки на первоисточники - в конце поста.

Молодым специалистам «откроют» только электронные трудовые книжки

Россиянам, впервые поступившим на работу, больше не будут оформлять бумажные трудовые книжки. Переход на электронные трудовые книжки начался в России в 2020 году. До 31 декабря этого года каждый работник должен принять решение — хочет ли он оставить бумажную трудовую книжку или перейти на электронную, и в письменном виде проинформировать о сделанном выборе отдел кадров. Если сотрудник откажется от бумажной т…

Нестандартный по формату проводимых мероприятий 2020 год под конец ознаменовался целой чередой попыток провести что-то большее, чем очередной типовой вебинар по информационной безопасности, в коих и в прошлые годы недостатка не было.

Пишу попыток, так как далеко не все мероприятия можно признать удачными. Ниже кратко перечислю те, в которых принял участие (не как слушатель), и отмечу их особенности.

Безопасная среда

30 сентября принимал участие в проекте “Безопасная среда” коллег из ЭКСПО-ЛИНК, где прочитал короткий доклад про особенности мониторинга информационной безопасности для АСУ ТП.

Чем отличалось от типового вебинара? доклад предварялся разговором на заданную тему нескольких приглаш…

Вышел в свет свежий выпуск журнала «CONNECT. Мир информационных технологий», с темой номера “Защита КИИ в отраслевом разрезе. О практической реализации требований № 187-ФЗ в отраслях”.

Открывает раздел моя статья: Субъекты КИИ: торопитесь не торопясь!

Правда, изначально тема звучала как “Общее состояние дел с выполнением требований законодательства в области защиты КИИ”, но редактору виднее =)

По приведённой выше ссылке на сайте издательства CONNECT качество иллюстраций в статье не самое лучшее, что особенно обидно для схемы, так что вот отредактированный авторский вариант: pdf, speakerdeck.com, slideshare.net.

Текст, к слову, подвергся минимальным правкам, но за время, пока публикация гото…

Рейтинг CNews Security: Крупнейшие компании России в сфере защиты информации публикуется с 2003 года, но только по итогам 2006 года, правда, сразу две компании, перешагнули годовую выручку в 1 миллиард рублей. Этими двумя компаниями были Информзащита и Лаборатория Касперского, которая в то время в свой отчёт ещё включала выручку ИнфоВотч.

Следующими в клуб миллиардеров вступили тоже сразу две компании: ЛЕТА и Эр-Стайл, но сделали они это только два года спустя. Обе эти компании в рейтинге CNews Security больше не участвуют. О причинах (наблюдая со стороны) можно только догадываться, но, видимо, дело в не самых ярких показателях.

Аналитики CNews не раскрывают состав стоящих за брендами юриди…

На организованной Гротек в сентябре онлайн-конференции “Кибербезопасность АСУ ТП критически важных объектов” одним из докладчиков выступил Алексей Валентинович Кубарев, заместитель начальника управления ФСТЭК России.

Доклад его мне представляется важным - как минимум с той точки зрения, что понятным человеческим языком сформулированы основные тезисы и даны ответы на многие вопросы и конкретную критику в адрес ФСТЭК России.

Взял на себя смелость в связи с этим улучшить монтаж исходного ролика, заодно заменив изображения слайдов на более качественные из публично доступной презентации. Впрочем, так как формат видео не слишком удобен для последующего оперативного поиска нужного ответа, решил вы…

ZN переносят на 25 Августа

Перенос даты ZeroNights на август 2021Друзья!Организаторы готовились к юбилейному мероприятию и ждали встречи с вами два года: забронировали одну из лучших и самых живописных площадок города, отобрали самые сильные доклады и сформировали мощную программу. Однако в связи с неутихающим распространением инфекции и недавним ужесточением антиковидных мер в г. Санкт-Петербург в планах произошли непредсказуемые изменения. Теперь наша долгожданная встреча переносится на август.Новая дата конференции – 25 августа 2021. Место остается то же – “Севкабель Порт”.Для участников, которым не подходит эта дата, мы предусмотрели процедуру возврата билетов.При возврате до 30 июня стоимость всех купленных биле…

Конкурс «Hack to be hired» на ZeroNights 30 июня на конференции вы сможете принять участие в конкурсе от Академии Digital Security, тема которого многократно становилась основой для мемов о найме сотрудников в ИТ-компании.Вам предстоит создать вакансию в компании мечты и пригласить себя на собеседование.Подробнее

​Партнёрский материалЭксперты из Solar JSOC завтра проведут вебинар, на котором расскажут, кто и что угрожает российским организациям — субъектам КИИ.По данным центра, интерес к промышленным, энергетическим и другим компаниям, которые относятся к субъектам КИИ, за последний год многократно вырос, при этом каждая 10-я организация в России уже скомпрометирована различными семействами ВПО.В программе вебинара: 1. Обзор уязвимостей, которые чаще всего встречаются на внешнем периметре инфраструктур организаций – субъектов КИИ2. Результаты внешних и внутренних пентестов, проведенных командой Solar JSOC3. Особенности ВПО, популярного среди злоумышленников, атакующих субъекты КИИ4. Методы защитыСпи…

До начала юбилейной, десятой ZeroNights осталось всего 19 дней!По традиции посетителей будет ждать насыщенная техническая программа со знакомыми многим Defensive Track, Web Village и Hardware Zone.В этот раз ребята выбрали новый формат — все активности будут пр­ходить на свежем воздухе в фор­мате open-air, а в случае непогоды участников будут ждать кры­тые три­буны. Место встречи — пространство «Севкабель Порт» в Петербурге.Программа каждой из секций уже на сайте > https://zeronights.ru/program/See you soon!

Вообще идея создания подобной карточной ИБ-игры преследует меня уже давно. Хочется и чтобы на конференциях можно было зарубиться, и не погруженным в мир ИБ было интересно. Мы с другом даже делали прототип, но дальше тестов к сожалению ничего не уехало :(На самом деле там не все так просто

В Kaspersky решили не мелочиться и сделать VR игру для знакомства топ-менеджмента с рисками ИБ.Такой Standoff на минималках)https://www.kaspersky.com/blog/vr-interactive-simulation/40188/

Для участия в розыгрыше нажмите на «Я участвую»

​Идея обучения своих сотрудников вопросам ИБ не является чем-то новым, но последнее время стремительно набирает популярность.Поэтому в рамках этого партнерского материала хочу вам рассказать про своих знакомых из компании Secure-T, которые мне предложили разыграть среди подписчиков бесплатную проверку социалкой на 150 человек.Ребята не первый год на рынке и уже обучают и тестируют более 10 тысяч сотрудников крупных организаций.Вот немного статистики из их последних двух фишинговый рассылок:1-й кейс — 46% сотрудников перешли по ссылке в открытом письме, а 14% ввели свои учетные данные в поддельные формы;2-й кейс — 50% сотрудников перешли по ссылке в письме, а 28,5% ввели свои учетные данные …

Кто пропустил, вчера Microsoft выкатила июньские обновления безопасности в рамках Patch Tuesday.Коротко обзор:[RU] https://news.microsoft.com/ru-ru/update-tuesday-microsoft-security-updates-jun2021/[EN] https://krebsonsecurity.com/2021/06/microsoft-patches-six-zero-day-security-holes/

Если вы еще не интегрировали MITRE ATT&CK в свои процессы, вот вам отличный повод еще раз понять, как применять фреймворк на практике — CISA выпустило свое краткое руководство, где с помощью общих инструкций и на примере трояна TrickBot показали как работать с MITRE ATT&CK и сопоставить поведение злоумышленника.https://us-cert.cisa.gov/sites/default/files/publications/Best%20Practices%20for%20MITRE%20ATTCK%20Mapping.pdf

​Эту неделю очень хочется начать с минутки мотивации, которой в последнее время мне не хватает чтобы регулярно вести канал.Знакомьтесь, Кельвин Сиу (Kelvin Siu) из Гонконга, который за 12 месяцев получил 14 сертификаций. Пусть набор сертификатов странный, кажется Кельвин решил не мелочиться и сложить все яйца в одну корзину, но факт, что парень просто взял и за год закрыл такой объем сертификаций, малую часть которого многие закрывают годами.Если вдаваться в детали, конечно там не так все просто — у него уже было 7 лет опыта в индустрии, а подготовка заняла куда больше времени, чем сама сдача (по 2-3 месяца подготовки на каждый экзамен). Судя по linkedin работает Кельвин аудитором в компани…

Ребята из Яндекса в рамках Positive Hack Days рассказали, как они повышают ИБ-осведомленность своих сотрудников, начиная от мемов, которые размещают в офисных кофе-поинтах и заканчивая обучающей платформой для поиска багов в коде. Последнюю кстати выложили в открытый доступ и на GitHub. Говорят было бы круто, если бы вы помогли в развитии и использовали их наработки у себя, например дописав тесты под свои языки и сценарии.http://securitygym.ruhttps://github.com/yandex/securitygym

​Партнерский пост: ⚡️ 26 мая состоится масштабное мероприятие по внутренним угрозам корпоративной безопасности — Форум DLP+Подробности: https://dlp-forum.ru/❗️ Форум охватит не абстрактные тренды, а практические способы решения наболевших проблем служб информационной, экономической и собственной безопасности📅 За один день посетители форума познакомятся как с актуальными технологиями, так и с практическими методами защиты компании от внутренних угроз и научатся с их помощью решать потребности бизнеса:✔️ Информационная безопасность✔️ Экономическая безопасность✔️ Кадровая безопасность🆓 Участие бесплатное для представителей органов государственной власти, финансовых организаций, компаний ТЭК, п…

На правах рекламы: Модель безопасности, основанная на нулевом доверии (Zero Trust), продолжает набирать популярность при построении архитектуры и процессов ИБ. Каждый пользователь или устройство должны подтверждать свои данные всякий раз, когда они запрашивают доступ к ресурсу внутри или за пределами сети.Компания Cisco не осталась в стороне и предлагает собственное облачное решение Cisco Duo, которое уже официально продается в России.• Удобная многофакторная аутентификация (MFA).• Аудит устройств (в том числе и BYOD) перед получением доступа к данным.• Гибкие политики для пользователей и приложений, позволяющие снизить риск нежелательного доступа к ПО и данным вашего бизнеса.• SSO для всех…

Friday Squid Blogging: Squid Skin Is Naturally Anti-microbialOften it feels like squid just evolved better than us mammals.

As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Read my blog posting guidelines here.

Posted on July 30, 2021 at 4:13 PM • 0 Comments

I Am Parting With My Crypto LibraryThe time has come for me to find a new home for my (paper) cryptography library.

It’s about 150 linear feet of books, conference proceedings, journals, and monographs — mostly from the 1980s, 1990s, and 2000s.

My preference is that it goes to an educational institution, but will consider a corporate or personal home if that’s the only option available.

If you think you can break it up and sell it, I’ll consider that as a last resort.

New owner pays all packaging and shipping costs, and possibly a purchase price depending on who you are and what you want to do with the library.

New paper: “Encrypted Cloud Photo Storage Using Google Photos“:Abstract: Cloud photo services are widely used for persistent, convenient, and often free photo storage, which is especially useful for mobile devices.

As users store more and more photos in the cloud, significant privacy concerns arise because even a single compromise of a user’s credentials give attackers unfettered access to all of the user’s photos.

We have created Easy Secure Photos (ESP) to enable users to protect their photos on cloud photo services such as Google Photos.

ESP introduces a new client-side encryption architecture that includes a novel format-preserving image encryption algorithm, an encrypted thumbnail disp…

AirDropped Gun Photo Causes Terrorist ScareA teenager on an airplane sent a photo of a replica gun via AirDrop to everyone who had their settings configured to receive unsolicited photos from strangers.

This caused a three-hour delay as the plane — still at the gate — was evacuated and searched.

I can’t find any information about whether he was charged with any of those vague “terrorist threat” crimes.

It’s been a long time since we’ve had one of these sorts of overreactions.

Posted on July 29, 2021 at 6:52 AM • 1 Comments

Carriers were caught in 2018 selling real-time location data to brokers, drawing the ire of Congress.

But after carriers issued public mea culpas and promises to reform the practice, investigations have revealed that phone location data is still popping up in places it shouldn’t.

This year, T-Mobile even broadened its offerings, selling customers’ web and app usage data to third parties unless people opt out.

The publication that revealed Burrill’s private app usage, The Pillar, a newsletter covering the Catholic Church, did not say exactly where or how it obtained Burrill’s data.

But it did say how it de-anonymized aggregated data to correlate Grindr app usage with a device that appears to…

Interesting research: “EvilModel: Hiding Malware Inside of Neural Network Models”.

Abstract: Delivering malware covertly and detection-evadingly is critical to advanced malware campaigns.

In this paper, we present a method that delivers malware covertly and detection-evadingly through neural network models.

Neural network models are poorly explainable and have a good generalization ability.

Meanwhile, since the structure of the neural network models remains unchanged, they can pass the security scan of antivirus engines.

Instead, the modern criminal does something called “chain swaps.”In a chain swap, the criminal transfers the bitcoin to a shady offshore cryptocurrency exchange.

And while this is intended to target tax evasion, it has the side consequence of disrupting those offshore exchanges criminals rely to launder their bitcoin.

A third mechanism involves targeting the cryptocurrency Tether.

Another option involves requiring cryptocurrency exchanges to actually deliver the cryptocurrencies into customer-controlled wallets.

And, of course, law enforcement can already target criminals’ bitcoin directly.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Commercial Location Data Used to Out PriestA Catholic priest was outed through commercially available surveillance data.

Vice has a good analysis:The news starkly demonstrates not only the inherent power of location data, but how the chance to wield that power has trickled down from corporations and intelligence agencies to essentially any sort of disgruntled, unscrupulous, or dangerous individual.

There is a whole industry devoted to re-identifying anonymized data.

This was something that Snowden showed that the NSA could do.

Posted on July 23, 2021 at 8:58 AM • 0 Comments

From SentinelLabs, a critical vulnerability in HP printer drivers:Researchers have released technical details on a high-severity privilege-escalation flaw in HP printer drivers (also used by Samsung and Xerox), which impacts hundreds of millions of Windows machines.

If exploited, cyberattackers could bypass security products; install programs; view, change, encrypt or delete data; or create new accounts with more extensive user rights.

The bug (CVE-2021-3438) has lurked in systems for 16 years, researchers at SentinelOne said, but was only uncovered this year.

It carries an 8.8 out of 10 rating on the CVSS scale, making it high-severity.

Most interesting is a list of over 50,000 phone numbers that were being spied on by NSO Group’s software.

Why does NSO Group have that list?

The obvious answer is that NSO Group provides spyware-as-a-service, and centralizes operations somehow.

NSO Group seems to be a completely deplorable company, so it’s hard to have any sympathy for it.

As I previously wrote about another hack of another cyberweapons arms manufacturer: “It’s one thing to have dissatisfied customers.

Candiru: Another Cyberweapons Arms ManufacturerCitizen Lab has identified yet another Israeli company that sells spyware to governments around the world: Candiru.

From the report:Summary: Candiru is a secretive Israel-based company that sells spyware exclusively to governments.

Using Internet scanning we identified more than 750 websites linked to Candiru’s spyware infrastructure.

We provide a brief technical overview of the Candiru spyware’s persistence mechanism and some details about the spyware’s functionality.

We’re not going to be able to secure the Internet until we deal with the companies that engage in the international cyber-arms trade.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

This is an interesting development:Just days after President Biden demanded that President Vladimir V. Putin of Russia shut down ransomware groups attacking American targets, the most aggressive of the groups suddenly went off-line early Tuesday.

[…]Gone was the publicly available “happy blog” the group maintained, listing some of its victims and the group’s earnings from its digital extortion schemes.

Internet security groups said the custom-made sites ­- think of them as virtual conference rooms — where victims negotiated with REvil over how much ransom they would pay to get their data unlocked also disappeared.

So did the infrastructure for making payments.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Every time there is another data breach, we are asked to change our password at the breached entity.

Here’s a closer look at what typically transpires in the weeks or months before an organization notifies its users about a breached database.

When a website’s user database gets compromised, that information invariably turns up on hacker forums.

“We knew the information was coming from some database but we couldn’t figure out what service they all had in common.

“If you were to look [on cybercrime forums] at the past history of people posting about that Ledger database, you’d see people were selling it privately for months prior to that,” Nixon said.

One day after last summer’s mass-hack of Twitter, KrebsOnSecurity wrote that 22-year-old British citizen Joseph “PlugwalkJoe” O’Connor appeared to have been involved in the incident.

As for the actual criminal charges, O’Connor faces ten counts, including conspiracy, computer intrusion, extortive communications, stalking and threatening communications.

The intruders posted on Thorne’s Snapchat, “Will drop nudes if 5000 of you follow @PlugwalkJoe.” Thorne told the feds her phone lost service shortly before her account was hijacked.

“I don’t care,” O’Connor told The Times.

The other associates who allegedly helped PlugwalkJoe interact with Clark also have since been charged in connection with…

When he ignored the requests, Sonderman and his buddies began having food delivered to their home via cash on delivery.

Herring stepped out on the back porch to investigate, police told him to put his hands up and to come to the street.

But it wasn’t the subsequent bomb threat that Sonderman and friends called in to her home that bothered Dozono most.

However, the judge said other actions by the defendant warranted up to 60 months (5 years) in prison.

Investigators who subpoenaed his online communications found he’d logged into the Instagram account “FreeTheSoldiers,” which was known to have been used by the group to harass people for their social media handles.

A federal judge in Connecticut today handed down a sentence of time served to spam kingpin Peter “Severa” Levashov, a prolific purveyor of malicious and junk email, and the creator of malware strains that infected millions of Microsoft computers globally.

Severa rented out segments of his Waledac botnet to anyone seeking a vehicle for sending spam.

In 2011, KrebsOnSecurity dissected “SevAntivir” — Severa’s eponymous fake antivirus affiliate program — showing it was used to deploy new copies of the Kelihos spam botnet.

In 2010, Microsoft — in tandem with a number of security researchers — launched a combined technical and legal sneak attack on the Waledac botnet, successfully dismantling it.…

Rather, it’s about why victims still pay for a key needed to decrypt their systems even when they have the means to restore everything from backups on their own.

Experts say the biggest reason ransomware targets and/or their insurance providers still pay when they already have reliable backups is that nobody at the victim organization bothered to test in advance how long this data restoration process might take.

The third most-common impediment to victim organizations being able to rely on their backups is that the ransomware purveyors manage to corrupt the backups as well.

“In a lot of cases, companies don’t even know their various network dependencies, and so they don’t know in which orde…

Microsoft today released updates to patch at least 116 security holes in its Windows operating systems and related software.

“Both core and full installations are affected back to Windows Server 2008, including versions 2004 and 20H2,” said Aleks Haugom, also with Automox.

Translation: If you already applied the bevy of Exchange updates Microsoft made available in April, your Exchange systems have protection against these flaws.

Other products that got patches today include Microsoft Office, Bing, SharePoint Server, Internet Explorer, and Visual Studio.

Adobe also issued security updates today for Adobe Acrobat and Reader, as well as Dimension, Illustrator, Framemaker and Adobe Bridge.

Now it appears the crime — known variously as “ATM smash-and-grab” or “chain gang” attacks — is rapidly increasing in other states.

The Texas Bankers Association documented at least 139 chain gang attacks against Texas financial institutions in the year ending November 2020.

“It’s not stopping,” Santor said of the chain gang attacks.

Dodd said she hopes to see more involvement from federal investigators in fighting chain gang attacks, and that it would help if more of these attacks were prosecuted as bank robberies, which can carry stiff federal penalties.

EAST Executive Director Lachlan Gunn said overall physical attacks on ATMs in Europe have been a lot quieter since the pandemic started.

Now it appears Kaseya’s customer service portal was left vulnerable until last week to a data-leaking security flaw that was first identified in the same software six years ago.

Six years later, Kaseya’s customer portal was still exposed to the data-leaking weakness.

But Holden said that was not the case with the vulnerability on the Kaseya portal that he reported via Mandiant.

“This was not.”Michael Sanders, executive vice president of account management at Kaseya, confirmed that the customer portal was taken offline in response to a vulnerability report.

Gevers said the Kaseya vulnerability was discovered as part of a larger DIVD effort to look for serious flaws in a wide array of remote …

Microsoft on Tuesday issued an emergency software update to quash a security bug that’s been dubbed “PrintNightmare,” a critical vulnerability in all supported versions of Windows that is actively being exploited.

The fix comes a week ahead of Microsoft’s normal monthly Patch Tuesday release, and follows the publishing of exploit code showing would-be attackers how to leverage the flaw to break into Windows computers.

Administrator credentials will be required to install unsigned printer drivers on a printer server going forward.”Windows 10 users can check for the patch by opening Windows Update.

Friendly reminder: It’s always a good idea to backup your data before applying security updates…

But just days before the event Western Digital released MyCloud OS 5, which eliminated the bug they found.

The researchers said Western Digital never responded to their reports.

Western Digital said it is aware of third parties offering security patches for My Cloud OS 3.

In response to Goodin’s report, Western Digital acknowledged that the flaw was enabled by a Western Digital developer who removed code that required a valid user password before allowing factory resets to proceed.

Facing a backlash of angry customers, Western Digital also pledged to provide data recovery services to affected customers starting this month.

Financial services giant Intuit this week informed 1.4 million small businesses using its QuickBooks Online Payroll and Intuit Online Payroll products that their payroll information will be shared with big-three consumer credit bureau Equifax starting later this year unless customers opt out by the end of this month.

“And that feels like a disaster waiting to happen, especially given Equifax’s history.”In selling payroll data to Equifax, Intuit will be joining some of the world’s largest payroll providers.

For example, ADP — the largest payroll software provider in the United States — has long shared payroll data with Equifax.

Why might small businesses want to think twice before entrusting…

“Some days we’re seeing thousands of counterfeit checks going out,” BWare said.

Most of the counterfeit checks being disseminated by this fraud group are in amounts ranging from $2,500 to $5,000.

Often the counterfeit checks and labels forwarded by BWare’s informant come with notes attached indicating the type of scam with which they are associated.

Postal Service — the primary delivery mechanisms for these counterfeit checks.

Tokazowski said he doesn’t know if the group BWare is watching has any affiliation with Scattered Canary.

The My Book Live and My Book Live Duo devices received its final firmware update in 2015.

The NVD writeup says Western Digital WD My Book Live and WD My Book Live Duo (all versions) have a root Remote Command Execution bug.

The NVD’s advisory credits VPN reviewer Wizcase.com with reporting the bug to Western Digital three years ago, back in June 2018.

The vulnerable MyBook devices are popular among home users and small businesses because they’re relatively feature-rich and inexpensive, and can be upgraded with additional storage quite easily.

Regardless, it’s probably safest to observe Western Digital’s advice and disconnect any MyBooks you have from ethernet access.

But these skimmers took advantage of weaknesses in the way many banks at the time implemented the new chip card standard.

When a chip card is inserted, a chip-capable ATM reads the data stored on the smart card by sending an electric current through the chip.

The blue plastic part — made to be inserted into a card reader — features the same contacts as a chip card.

“It never took off in the U.S., but this kind of activity went on like wildfire for years in Mexico,” Dant said.

Hooked up to the ATM’s internal power, those skimmers could collect card data indefinitely, and the data could be collected wirelessly with a smart phone.

“An organization cannot protect what it cannot see.”It’s also hard to see threats you’re not looking for: 67.9 percent of water systems reported no IT security incidents in the last 12 months, a somewhat unlikely scenario.

In February, we learned that someone hacked into the water treatment plan in Oldsmar, Fla. and briefly increased the amount of sodium hydroxide (a.k.a.

In January, a hacker tried to poison a water treatment plant that served parts of the San Francisco Bay Area, reports Kevin Collier for NBCNews.

Andrew Hildick-Smith is a consultant who served more than 15 years managing remote access systems for the Massachusetts Water Resources Authority.

As the recent hacking incidents …

Smashing SecurityWinner: Best Security Podcast 2018, 2019190: "Twitter hack arrests, email bad behaviour, and Fawkes vs facial recognition"Aug 5 2020Special guest Geoff White can't resist using the podcast to promote his new book, "Crime Dot Com", but other than that we also discuss the creepy (and apparently legal) way websites can find out your email and postal address even if you don't give it to them, take a look at how the alleged Twitter hackers were identified, and learn about Fawkes - the technology fighting back at facial recognition.

Your browser does not support this audio element.

https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/39e3d66d-c595-4c0d-a732…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

As experts at Recorded Future describe, the BlackMatter gang is advertising for “initial access brokers” – individuals who can gain unauthorised access to enterprise networks, which can then be infected by ransomware.

For such access, BlackMatter is prepared to pay up to $100,000 for exclusive access to an organisation’s network upon which they can deploy ransomware and exfiltrate data.

In “rules” published on its website, the BlackMatter ransomware group states that it does not attack the following types of organisation:Hospitals.

It doesn’t take long for criminals to fill the space left following the demise of a ransomware gang or two.

Whether BlackMatter is effectively a rebrand of REvil…

Sponsor: 1PasswordCybercrime is at an all-time high, and it’s not slowing down, so why should you?

This August, you’re invited to Security Summer School, a brand new webinar series hosted by the 1Password team.

Learn from security experts at top organizations, hear about sizzling security trends, and get quick tips for building a culture of security at home and work.

Get exclusive perks like 1Password swag for attending events, enjoy the chance to network with top security leaders, and much much more.

Find out more and enroll now at www.1passwordsummerschool.com/

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

In its latest update on what it euphemistically calls a “VSA Security Incident”, but the rest of the world is more likely to call a “humungous ransomware disaster”, Kaseya says:Recent reports have suggested that our continued silence on whether Kaseya paid the ransom may encourage additional ransomware attacks, but nothing could be further from our goal.

As such, we are confirming in no uncertain terms that Kaseya did not pay a ransom – either directly or indirectly through a third party – to obtain the decryptor.

So, Kaseya hasn’t paid anyone for the decryptor it managed to get its paws on last week.

Did someone in the REvil ransomware group have a pang of conscience and give up the decryp…

The latest research by Coveware shows that ransomware attackers are attempting to extort, on average, a smaller amount of money through their criminal activities.

According to the firm, the average payment following an enterprise ransomware attack has fallen 38% since the first quarter of 2021 to $136,576 with a median down 40% to $47,008.

The lower prevalence of several groups that have historically made some of the highest demands (such as Ryuk and Clop) allowed the average and median ransom payment to drift lower during the quarter.”In short, the average has gone down because more ransomware attacks are taking place, orchestrated by more criminals.

I find it hard to view that as good new…

The No More Ransom project is celebrating its fifth anniversary.

The No More Ransom website has become one of the first ports of call for any individual or company whose computer has been hit by a ransomware attack.

I don’t know whether to pleased or upset that free ransomware decryption tools have been downloaded from No More Ransom’s webpages over six million times.

Impressively, the No More Ransom project provides over 120 free tools to counter the damage done by ransomware, decrypting more than 150 different families of ransomware.

More advice can be found on, yes you guessed it, the No More Ransom website.

It seems my boss here at “Grahamcluley” has decided that I deserve a wage increase.

The email has the subject line “New salary increase”, and I’m told the new bump up in wages starts this month.

Of course, I could always hover my mouse over the link to see where it’s going to go before I….

oh… oh dear.

Follow Graham Cluley on Twitter to read more of the exclusive content we post.

Graham Cluley Security News is sponsored this week by the folks at 1Password.

Learn from security experts at top organizations, hear about new security and technology trends, and get quick tips for building a culture of security at work and at home – all in four free webinars.

As offices reopen and more businesses move to hybrid working, it’s important to close security gaps and limit your risks.

Find out how to help your employees get their work done without security getting in the way by making the most secure thing, the easiest thing to do.

If you’re interested in sponsoring my site for a week, and reaching an IT-savvy audience that cares about computer security, you can find more inform…

And yet, the Instagram account of SBS Australia – a group of free-to-air TV and radio stations down under – has been hacked by someone who clearly loves Vikings.

Or, at least, loves the “Vikings” TV show.

It certainly makes a change from posts promoting shows such as “Jimmy Carter: Rock and Roll President”, “Dealing with Biphopia”, and “What Does Australia Really Think About…”Before seizing back control of its account (hopefully without burning down any villages), SBS Australia confirmed that its account had been hacked.

The offending post has now been deleted, and SBS Australia seems to be in control of its account again.

Was the firm not using multi-factor authentication to strengthen sec…

Dutch police have arrested suspected members of a notorious cybercrime gang known as "Fraud Family," following a spate of sophisticated phishing attacks that have targeted users in the Netherlands and Belgium. Read more in my article on the Hot for Security blog.

Following a hard-hitting ransomware attack that impacted corporate customers of Kaseya, the REvil ransomware gang offered a universal decryptor for the eyewatering sum of $70 million worth of Bitcoin.

Yesterday, Kaseya announced that it had “obtained a universal decryptor key” and was making it available to customers who are attempting to recover their systems and data:Kaseya has obtained a universal decryptor key.

On 7/21/2021, Kaseya obtained a decryptor for victims of the REvil ransomware attack, and we’re working to remediate customers impacted by the incident.

Even in the immediate aftermath of the attack, REvil made clear that it was prepared to negotiate on the price of a universal d…

Police in Spain have arrested a British man in connection with what many consider the worst hack in Twitter’s history.

In July 2020, the Twitter accounts of public figures and well-known organisations were compromised, allowing malicious hackers to post tweets to millions of unsuspecting followers.

Yesterday the US Department of Justice announced the arrest in Estepona, Spain of 22-year-old Joseph O’Connor, a British citizen.

After the Twitter hack, cybersecurity blogger Brian Krebs alleged that Joseph O’Connor was the true identity of “PlugWalkJoe”, a hacker who was thought to have been involved in SIM-swapping attacks to compromise accounts.

I haven’t done anything.”O’Connor is charged wi…

Например, очередная киберпреступная группировка LockBit в качестве преимущества своей платформы начала рекламировать автоматизацию заражения всех компьютеров в сети предприятия при помощи доменного контроллера.

Оно создает новые групповые политики, которые затем автоматически накатываются на каждое устройство в сети.

По всей видимости, это первый массовый зловред, распространяющийся через групповые политики.

Кроме того, распространение шифровальщика через групповые политики — это уже практически последний этап атаки.

Для того чтобы ваши сотрудники не попадались на такие уловки, стоит периодически повышать их осведомленность о современных угрозах.

Разбираемся, на что школьники тратят деньги в играх и как правильно защитить свой кошелек от будущих звезд киберспорта.

Как и в реальности, денег в игре много никогда не бывает.

БустерыВ хорошей игре, как и в жизни, путь к победе и славе бывает весьма тернистым.

Научите его основам безопасности: объясните, как обычно действуют мошенники, как реагировать на буллинг и как защитить себя и свои игровые аккаунты от киберпреступников.

Чтобы помочь своему ребенку постигать основы безопасности в Сети и уберечь его от лишних рисков, установите Kaspersky Safe Kids.

Впрочем, если у вас уже установлен Kaspersky Security Cloud, дополнительные инструменты не понадобятся.

Рассказываем, как убрать баннеры и всплывающую рекламу при помощи нашего решения.

Установите блокировку рекламы: включите Анти-БаннерПо умолчанию Анти-Баннер в Kaspersky Security Cloud неактивен.

Для этого необходимо открыть раздел Анти-Баннер в панели настройки Kaspersky Security Cloud и выбрать пункт Запрещенные баннеры.

Больше информации про Анти-Баннер и другие полезные инструменты Kaspersky Security Cloud можно найти у нас в блоге.

В последнее время в качестве одного из таких сервисов мошенники все чаще используют Google Apps Script.

Что такое Apps Script и как его используют злоумышленникиApps Script — скриптовая платформа Google, построенная на базе Java Script.

По задумке авторов, она служит для автоматизации задач как в продуктах компании (например, аддонов для Google Docs), так и в сторонних приложениях.

Как не попасться на крючокКак показывает практика, злоумышленники могут прислать фишинговое письмо, в котором не будет как таковой фишинговой ссылки.

Поэтому для надежной защиты от уловок мошенников необходимо иметь антифишинговое решение и на уровне почтового сервера, и на компьютерах пользователей.

А вот к безопасности звонков в Zoom с самого начала были вопросы — на которые разработчики старались отвечать как можно оперативнее.

Недавно мы писали о том, что в Zoom появилось еще несколько защитных механизмов.

Сделайте встречу уникальнойСоздать конференцию в Zoom можно двумя способами — на базе персонального идентификатора (PMI) или с применением «одноразовой» ссылки для конкретной беседы.

Организуйте вход на конференцию по приглашениямДелиться ссылкой на конференцию в общедоступных чатах или группах — не лучшая идея.

Поэтому сейчас в Zoom появилось E2EE — сквозное шифрование (end-to-end encryption), при котором ключи хранятся только на устройствах пользователей.

Зачем сейчас скачивать Windows 11, и когда она будет доступна для всехВообще-то компания Microsoft обещала, что Windows 10 будет последним релизом Windows, а дальше ОС будет просто получать обновления.

Вот только скачанный файл не будет содержать Windows 11…Как злоумышленники обманывают желающих скачать Windows 11Самый простой способ обмануть пользователя, которым пользуются мошенники, — подсунуть под видом образа с Windows 11 что-то другое.

Продукты Kaspersky обнаружили и предотвратили уже более нескольких сотен попыток заражения через подобные схемы, связанные с Windows 11.

Где и как безопасно скачать Windows 11Чтобы точно не нарваться на что-то подобное, скачивать Windows 11 лучше исключ…

Мы расскажем, где новичкам набраться полезных навыков и знаний, а также заработать заветные строчки для резюме и проекты для портфолио.

Также неплохо знать, как грамотно написать дефект, что такое тест-кейсы и как их нужно составлять, что такое чек-листы, когда лучше использовать кейсы, а когда проще ограничиться чек-листом.

Навыки программирования могут пригодиться как для понимая того, что происходит в тестируемом приложении, так и для автоматизации каких-то рутинных задач, даже если вы не идете именно в автоматизированное тестирование.

Как учиться начинающему тестировщику ПОУчиться лучше так, как удобнее лично вам: по книгам, по статьям, по видеокурсам — или по всему сразу.

Некоторым из …

После года полной удаленки некоторые компании осознали, что не всем и не всегда необходимо быть в офисе, и ввели гибридный режим, позволив сотрудникам чередовать традиционное рабочее место и домашний офис.

Понаблюдайте за собой и определите, причем обращайте внимание еще и на то, какие задачи вам проще выполнять в тех или иных условиях.

Так вы сможете удаленно завершить какую-то часть дел утром и не тратить нервы в пробках или в общественном транспорте в час пик.

Для начала и с теми и с другими стоит просто поговорить.

Поэтому вне зависимости от того, трудитесь вы дома или в офисе, старайтесь начинать и заканчивать работу в одно и то же время.

Мошенники, обитающие в Twitter, руководствуются именно этой идеей и часто обманывают пользователей, представляясь специалистами поддержки какого-либо бренда и выманивая у жертв финансовую информацию.

Пользователь публикует в Twitter свою жалобу, ожидая ответа от компании.

Как правило, бренды не любят самозванцев и сообщают в Twitter о нарушителях.

Особенно это касается данных, которые дают доступ к вашим аккаунтам (как в Twitter, так и на сервисе, о котором идет речь в переписке).

Пусть оно и не позволит отличить мошеннический аккаунт от реального бренда в Twitter, но предупредит о попытке перехода на фишинговый сайт, то есть убережет вас и ваши данные.

Рассказываем, к каким выводам она пришла после изучения приватности и безопасности самых популярных сервисов онлайн-знакомств — и что делать пользователям, чтобы обеспечить сохранность своих данных.

Проблема состоит в том, что в большинстве приложений фото профиля Facebook автоматически подтягиваются в фото аккаунта.

Таким образом, не составит проблем связать аккаунты в приложении онлайн-знакомств и в соцсети просто по фотографии.

Определение местоположенияПожалуй, самый скользкий момент в использовании приложений для онлайн-знакомств — это то, что в большинстве случаев придется предоставить сервису свое местоположение.

ВыводыЧисто техническая безопасность приложений для онлайн-знакомств за…

Выступление представителей Zoom на RSA Conference 2021 было посвящено сквозному шифрованию в Zoom Cloud Meetings.

Поэтому вполне закономерно, что многие давно ждали от Zoom перехода на сквозное шифрование — тем более что в мессенджерах его использование уже стало привычным.

Сквозное шифрование в Zoom: текущая ситуацияРазработчики прислушались к критике и постарались улучшить безопасность звонков.

Осенью 2020 года сквозное шифрование наконец появилось в Zoom и теперь применяется как к самим звонкам — и аудио, и видео — так и к содержимому чата.

Из числа рисков нельзя исключать и уязвимости самой программы — в теории киберпреступники способны встроить в Zoom вредоносный код.

Разговоры, что проводить масштабное мероприятие в разгар продолжающейся эпидемии в Испании не очень-то разумно…Этот список критических замечаний можно продолжать долго.

На MWC21 мобильное приложение было единственным вариантом входного билета — привычных физических бейджиков просто не предусматривалось.

На MWC21 от этой опции можно было отказаться в пользу ручной проверки документов, пожертвовав привилегией быстрого прохода.

Причем в обе стороны, потому что не рискнули приехать как многие посетители, так и некоторые выступающие.

Или, наоборот, с показом спикера на экране живой аудитории в зале — увы, часто не в онлайн-трансляции, а в записи, что заметно снижало желание ему хлопать.

Так, наши эксперты обнаружили две очень похожие друг на друга спам-кампании, в которых распространялись банковские трояны IcedID и Qbot.

К письму прилагался документ Excel в ZIP-архиве с названием вроде CompensationClaim-[несколько цифр]-[дата в формате ММДДГГГГ].

Банковские трояны IcedID и QbotБанковские трояны IcedID и Qbot существуют далеко не первый год.

Сейчас оба зловреда сдаются в аренду на черном рынке, то есть распространяют их не только и не столько разработчики, сколько их многочисленные клиенты.

А Qbot, помимо прочего, ворует электронные письма, чтобы в дальнейшем использовать их в своих спам-кампаниях, и предоставляет своим операторам удаленный доступ к вашему компьютеру.

В конце июня исследователи по безопасности начали активно обсуждать уязвимость в диспетчере очереди печати Windows (Print Spooler), получившую название PrintNightmare.

Однако сейчас стало очевидно, что на самом деле речь идет о двух уязвимостях — CVE-2021-1675 и CVE-2021-34527, и заплатка помогает только против первой.

В том числе, например, на контроллерах доменов и на машинах с правами администраторов системы.

Во-вторых, из-за недопонимания между несколькими командами исследователей и, похоже, в целом по случайности в сети были опубликованы материалы, демонстрирующие возможность эксплуатации PrintNightmare (proof of concept).

Кроме того, все серверы и компьютеры в корпоративной инфраструк…

Эта операционная система появилась в далеком 2007 году, а первый смартфон на ней, HTC Dream, поступил в продажу в 2008-м.

Вирусописатели достаточно быстро освоили новую платформу, и уже в 2009 году появились первые вредоносные приложения для Android.

Однако уже совсем скоро количество угроз выросло лавинообразно: уже в 2010 году мы в среднем обнаруживали более 20 000 новых Android-угроз в месяц.

Популярность новой мобильной ОС быстро росла, а вместе с ней росло и количество новых Android-зловредов: в 2012 году мы в среднем обнаруживали 467 515 образцов в месяц.

Все это в совокупности позволяет нашим мобильным защитным решениям неизменно лидировать в независимых тестах одновременно и по эффе…

(Feed generated with FetchRSS)

Например, на этапе разведки и пробива проводят супер-реальные собеседования с «кандидатами», играют вдолгую, не вызывая подозрений.

Из года в год такие северокорейские группировки как Lazarus и Kimsuky показывают стабильное развитие методов атак и своих инструментов.

Мы не слышим про американские APT, но это не значит, что их нет.

То, что выложил WikiLeaks — это малая часть того, что есть у АНБ.

Да и «русские хакеры — самые крутые» — тоже уже не так: группы перемешаны и состоят из людей разных национальностей.

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

Perceptions, expectations, and realityLast month, I stepped into a new role as Senior Vice President and GM of Cloud and Network Security at Cisco Security Business Group.

Having most recently spent significant time at another American global computer security company, I often read about Cisco’s innovations, and comingled with folks at Cisco.

In fact, I had the pleasure of working with several stellar leaders with a Cisco Security Business Group pedigree, always as impressive as they were accomplished in the Security industry.

Passion, energy, and expertise exuded from the Cisco talent with whom I spoke and—equally as impressive—how they spoke of their teammates.

This is the motivation for …

Every organization regardless of size, budget or area of focus should have some form of a security operation center (SOC).

Regarding SOC services, I believe every SOC should have some form of the following services, which I call the foundational SOC services.

Improving maturity leads to answering a question I often receive, which is “what do I need to do to function as a modern security operation center?”.

This is a critical element for deploying Orchestration and Automation meaning being able to automate parts of a SOC service.

Bringing technology into the conversation, a Security Orchestration, Automation and Response (SOAR) technology is a common tool used by modern SOCs and key to provi…

What does hybrid work mean for security?

No matter what type of workforce model your organization is managing, Cisco Secure Hybrid Work solution is the key to keeping your data secure everywhere while empowering work everywhere.

Make the Secure Hybrid Work solution the center of your “new normal” by unifying and simplifying your security at every line of your defense.

Through Secure Hybrid Work, you can enable security everywhere to empower work anywhere.

To go deeper into the Cisco Secure Hybrid Work solution, check out the eBook.

As a TIP?” “Yes.”) From the very beginning, one of the pillars of SecureX was the ability to consume and operationalize your local security context alongside global threat intelligence.

Then we wrote and published a number of relays that were for specific well-known threat intelligence sources for users to deploy.

You can read much more about this at Jessica Bair’s excellent blog, SecureX threat response Turnkey Integrations.

So, how fast can 10 completely free threat intel sources be added into SecureX, and how does it enhance the scope of that investigation?

You can see the video detailing the results, here:[Spoiler alert] Adding 10 Free Threat Intelligence Sources to SecureX in Under 3 M…

Introducing the Cisco Secure Dynamic Attributes ConnectorAs the list of dynamic environments grows to span public and private clouds, running SaaS applications, homegrown apps, and everywhere in between, it increases the complexity and upkeep for organizations.

The new Cisco Secure Dynamic Attributes Connector utility addresses the complexity by making API calls to popular environments such as AWS, Azure, VMware NSX-T, and Office 365.

With dynamic attributes and our integration utility, Secure Dynamic Attributes Connector, the Firewall Management Center (FMC) can connect directly using the AWS public APIs.

To learn more about Cisco Secure Dynamic Attributes Connector and dynamic attributes …

You can empower them to focus on your strategic priorities by adopting Cisco Secure Managed Remote Access.

Secure Managed Remote Access is managed by Cisco.

You can count on Cisco Secure Managed Remote Access to do just that.

Cisco Secure Managed Remote Access is available globally.

Additional resourcesCisco Secure Managed Remote AccessCisco Secure Managed Remote Access At-a-GlanceCisco Secure Managed Remote Access FAQsWe’d love to hear what you think.

Cisco Secure Email blocks ransomware delivered through spam and phishing emails and identifies malicious attachments and URLs.

Cisco Secure Email blocks ransomware delivered through spam and phishing emails and identifies malicious attachments and URLs.

Cisco Secure Access by Duo prevents adversaries from using stolen credentials to establish a foothold, move laterally, and propagate ransomware.

Cisco Secure Access by Duo prevents adversaries from using stolen credentials to establish a foothold, move laterally, and propagate ransomware.

Let Cisco Secure Choice help you beef up your ransomware defense.

Today, the Cisco Investments team released their 2021 CISO Survival Guide to Emerging Trends in the Startup Ecosystem.

Written in partnership with three leading VCs, this report breaks down trends in four areas of the security startup arena: Secure Access Service Edge (SASE), DevSecOps, Privacy & Compliance, and Automation.

As the Chief Strategy Officer for Cisco Security, I work closely with the Cisco Investments and Corporate Development team to build theses around emerging tech trends, evaluate startups, and make decisions about where to invest, partner, and acquire.

The right team: Are they building a culture that marries individual success to team success to customer success?

Are they …

The Need for Zero Trust and How Endpoint Security Can HelpEndpoint security should not be an island unto itself.

That explains why we’re seeing so much interest around adopting Zero Trust.

Indeed, a recent survey found that more than a third (39%) of respondents were in the process of fully embracing Zero Trust.

Cisco Secure Endpoint provides visibility to devices that are compromised and prevents users who are using these compromised endpoints from accessing business critical applications, enabling a strong Zero Trust defense.

As organizations strive to provide least-privileged access to applications and data, endpoint security solutions can play a critical role in enabling Zero Trust.

The Center for Internet Security (CIS) recently dropped the number of Critical Controls from 20 to 18.

Pay Attention to Implementation GroupsI’ll forgive you if you didn’t notice Implementation Groups (IG) before, but you should definitely know about them now.

Here’s a little bit of context:Introduced back in Version 7.1, the IGs encapsulate recommended guidance that organizations can use to prioritize their implementation of the CIS Controls.

There’s something from 15 out of the 18 CIS Controls in IG1.

See how Cisco’s broad security portfolio offers extensive support for CIS Controls and other best practices by visiting our Cybersecurity Framework Guidance page.

Ransomware historically targeted individual systems, and requested a few hundred dollars to recover data on that particular machine.

To maximize their earning potential, ransomware operators will typically wait until they’ve gained control of a large portion of a network before deploying ransomware.

Top tips for ransomware defenseIf you’re not sure where to begin with ransomware defense, start with basic cyber hygiene.

Cloud & web security – Protect users from ransomware and other malware while they’re on the Internet or using cloud applications.

Cisco Ransomware DefenseIf you need help with your ransomware strategy, Cisco Secure offers all of the above technologies and more.

In short, Secure Cloud Analytics alerts you before a security incident becomes a full-blown security breach.

The best part about SecureX is that it’s built into Secure Cloud Analytics, which means you just need to turn it on.

This simplicity is fundamental to Secure Cloud Analytics, which is built from the ground up to be easy to use and simple to manage.

A Software-as-a-Service (SaaS) solution delivered from the cloud, Secure Cloud Analytics requires no specialized hardware, software agents, or special expertise.

You can also try Secure Cloud Analytics today with a free 60-day trial.

Would a risk-conscious, security-aware workforce become a security enabler rather than a security risk?

Should a risk-conscious, security-aware culture be considered a critical security control?

Creating a risk-conscious and security-aware culture within an organization can provide as much, or more, protection to an organization’s information infrastructure and associated data assets than any technology or information security controls that currently exist.

A risk-conscious and security-aware culture is critical to improving the overall cybersecurity and risk management posture of an enterprise.

Any reasonable cost-benefit analysis or business case analysis would suggest that an effective c…

With Cisco Secure Firewall, organizations are able to build a scalable RAVPN architecture on OCI, providing employees secure remote access to their organization’s resources from any location or endpoint.

This scalable architecture brings together Cisco Security and OCI Infrastructure-as-a-service (IaaS) and extends remote access VPN capabilities with the combination of Cisco Duo, Cisco Umbrella, and AMP Enabler, also known as Cisco Secure Remote Worker.

Organizations can deploy Cisco Secure Firewall Threat Defense Virtual (formerly FTDv/NGFWv) and Cisco Secure Firewall ASA Virtual (formerly ASAv) in the OCI environment to enable a secure connection back to the application in the cloud.

Load…

The Kaseya VSA supply chain attack and REVil ransomware campaign are a two-part incident.

This isn’t the first time that we’ve seen remote management software being used as the entry point to a ransomware campaign.

We’ve seen them across a whole suite of things from brute force attacks, to active exploitation to phishing, to everything in between.

We’ve seen MSPs compromised before, and we’ve seen MSP software abuse before.

This is why we always talk about the endpoint being the last bastion and the place where you really need to focus your detection.

We also provide guidance for investigating LemonDuck attacks, as well as mitigation recommendations for strengthening defenses against these attacks.

This JavaScript launches a CMD process that subsequently launches Notepad as well as the PowerShell script contained within the JavaScript.

LemonDuck attempts to automatically disable Microsoft Defender for Endpoint real-time monitoring and adds whole disk drives – specifically the C:\ drive – to the Microsoft Defender exclusion list.

This action could in effect disable Microsoft Defender for Endpoint, freeing the attacker to perform other actions.

You can use the advanced hunting capability in Microsoft 365 Defender and Microsoft Defender for…

Today, we are launching MLSEC.IO, an educational Machine Learning Security Evasion Competition (MLSEC) for the AI and security communities to exercise their muscle to attack critical AI systems in a realistic setting.

While the risks are inherent in all deployed machine learning models, the threat is especially explicit in cybersecurity, where machine learning models are increasingly relied on to detect threat actors’ tools and behaviors.

Competitions like Microsoft’s MSLEC democratizes adversarial machine learning knowledge for the offensive and defensive security communities, as well as the machine learning community.

If you are new to adversarial machine learning, practice attacking AI s…

Microsoft Security is committed to helping you secure your entire digital estate with integrated, comprehensive protection—bridging the gaps to catch what others miss.

We’ll examine how human-operated ransomware attacks have become more like advanced persistent threats, and what that means for your organization.

Now, we’re excited to take another key step in this journey—bi-directional incidents syncing between Azure Defender and Azure Sentinel are now in public preview.

The general availability of Always Encrypted strengthens our promise that Microsoft Azure offers the broadest support for confidential computing.

Learn more about Microsoft Security solutionsWe look forward to joining you a…

In our observation, attacks emanating from the BazaCall threat could move quickly within a network, conduct extensive data exfiltration and credential theft, and distribute ransomware within 48 hours of the initial compromise.

Microsoft threat analysts who constantly monitor BazaCall campaigns enrich the intelligence on this threat and enhance our ability to protect customers.

Each BazaCall email is sent from a different sender, typically using free email services and likely-compromised email addresses.

Personal ID: KT[unique ID number]Automated premium membership renewal notice GW[unique ID number] 👵Your demo stage is nearly ended.

BazaCall emailsTo look for malicious emails matching the p…

Zero Trust adoption is acceleratingToday, we are publishing our Zero Trust Adoption Report 2021.

Read the full Microsoft Zero Trust Adoption Report for full details.

For technical guidance, visit our Zero Trust Guidance Center, a repository of information that provides specific guidance on implementing Zero Trust principles across their identities, endpoints, data, applications, networks, and infrastructure.

Check out the Microsoft Zero Trust Assessment tool to help you determine where you are in your Zero Trust implementation journey and offer action items to help reach key milestones.

For more information about Microsoft Zero Trust, please visit our website, and check out our deployment g…

In this blog post, we discuss a new approach that combines deep learning with fuzzy hashing.

Then, a deep learning methodology inspired by natural language processing (NLP) better identifies similarities that actually matter, thus improving detection quality and scale of deployment.

Architecture overview of the deep learning model using fuzzy hashesWe got fairly good results with most techniques.

Deep learning fuzzy hashes: Looking for the similarities that matterA question that arises from an approach like this is: why use deep learning at all?

Conclusion: Continuing to harness the immense potential of deep learning in securityDeep learning continues to provide opportunities to improve thr…

Computer-aided design (CAD) files are used by design professionals in the manufacturing, engineering, architecture, surveying, and construction industries.

HALOCAD helps to seamlessly leverage MIP labeling templates for CAD files and does so simply and cost-effectively.

It also applies the label to the content repository where the engineering processes for storing and sharing CAD files are kept.

In this scenario, the partner who has purchased the SECUDE solution can only view the CAD files per the set privilege enforcement.

Benefits of SECUDE’s HALOCADHALOCAD extends the security templates provided by MIP to sensitive CAD files throughout the design lifecycle.

In this blog post, Dawn talks about the importance of including insider risk in your cybersecurity plan.

We haven’t had a big insider threat case since Edward Snowden so that sometimes makes it hard to get buy-in for an insider risk program.

Natalia: How does measuring internal threats differ from measuring external threats?

By the way, I like using the term “insider risk” instead of “insider threat” because we find that most suspicious insider activity we detect and respond to is not intentionally malicious.

Every person in Rockwell HR takes mandatory insider risk training every year, so they know the behaviors to look for.

[Note: In this two-part blog series, we expose a modern malware infrastructure and provide guidance for protecting against the wide range of threats it enables.

Global distribution of LemonDuck botnet activityIn 2021, LemonDuck campaigns started using more diversified command and control (C2) infrastructure and tools.

These campaigns included PowerShell scripts that employed additional scripts kicked off by a scheduled task.

The fact that the Cat infrastructure is used for more dangerous campaigns does not deprioritize malware infections from the Duck infrastructure.

Microsoft Defender for Endpoint detects and blocks LemonDuck implants, payloads, and malicious activity on Linux and Windows.

Today on the Official Microsoft Blog, Microsoft announced the acquisition of CloudKnox Security, a leader in Cloud Infrastructure Entitlement Management (CIEM).

CloudKnox offers complete visibility into privileged access.

As the corporate network perimeter disappears, it’s crucial to establish a strong cloud identity foundation through a Zero Trust approach so you can protect business-critical systems, while improving business agility.

Read more on Microsoft acquires CloudKnox Security to offer unified privileged access and cloud entitlement management.

To learn more about Microsoft Security solutions, visit our website.

The MITRE ATT&CK® team has received frequent questions from the community about if or when ATT&CK would include coverage for adversary behavior in containers.

As of the ATT&CK v9 release, the ATT&CK for Containers matrix is officially available.

ATT&CK for Containers matrix.

Therefore, several techniques from the threat matrix were mapped into existing Enterprise ATT&CK techniques.

For example, in the techniques listed above, “Exposed sensitive interfaces” from the threat matrix is equivalent to ATT&CK’s “External Remote Services.”The Center’s process for leveraging Microsoft’s Kubernetes threat matrix was as follows:Cross-referencing threat intelligence with the techniques in the Kubernete…

DevilsTongue malware overviewDevilsTongue is a complex modular multi-threaded piece of malware written in C and C++ with several novel capabilities.

DevilsTongue then searches the call stack to find the return address of LoadLibraryExW (i.e., the function currently loading the DevilsTongue DLL), which would usually return the base address of the DevilsTongue DLL.

In Figure 1 the COM DLL is named imecfmup rather than a legitimate COM DLL name because some DevilsTongue samples copied the COM DLL to another location and renamed it.

After this, the hijack DLL then decrypts and loads a second-stage malware DLL from one of the encrypted .dat files.

Detection opportunitiesThis section is intended …

Consent phishing campaign: A case studyA recent consent phishing attack we tracked employed social engineering techniques to craft an email that impersonates a business growth solutions company.

Microsoft 365 Defender provides comprehensive protection against consent phishing by coordinating defense across domains using multiple solutions: Microsoft Defender for Office 365, Microsoft Cloud App Security, and Azure Active Directory.

Investigating and hunting for consent phishing attacksSecurity operations teams can use advanced hunting capabilities in Microsoft 365 Defender to locate consent phishing emails and other threats.

Microsoft 365 Defender consolidates and correlates email threat dat…

We also expanded the MISA product portfolio to include five new compliance products, increasing our footprint across more Microsoft technologies.

Have you seen the new look and feel of Microsoft Security?

Bulletproof wins Microsoft Security Partner of the Year Award 2021We are thrilled to announce that MISA member Bulletproof has been selected as the 2021 Security Partner of the Year.

Headquartered in Canada, Bulletproof is an award-winning Gold Microsoft Partner with 12 Gold competencies and was recently inducted to MISA.

Bulletproof does an exceptional job of fostering trust in a Zero Trust world by providing customers with end-to-end solutions based on Microsoft security and compliance c…

Our world is changing, and Microsoft Security is rising to the challenges of a new normal.

Recently, we commissioned Forrester Consulting to investigate the partner opportunity around Microsoft Security and found that for 2021, partners reported up to 130 percent increase in business year-over-year (YoY) when selling Microsoft Security solutions.

Closing the security skills gapCustomers rely on partners’ security expertise and skills to secure their digital transformation.

In addition, I would also like to encourage you to explore the Microsoft Security Technical Content Library, a one-stop-shop offering Microsoft Security learning paths, interactive guides, and video resources to build and…

Chrome's Site Isolation is an essential security defense that makes it harder for malicious web sites to steal data from other web sites.

Meanwhile, Site Isolation on Android currently focuses on protecting only high-value sites, to keep performance overheads low.

Today, we are announcing two Site Isolation improvements that will protect more sites for our Android users.

We continue to require a minimum RAM threshold (currently 2GB) for these new Site Isolation modes.

Given these improvements in Site Isolation on Android, we have also decided to disable V8 runtime mitigations for Spectre on Android.

Mentors and peers guide the participants through each stage of the program and top qualifiers then graduate and receive access to the SANS foundational security training courses, which readies and prepares these women for their first roles in the security industry.

In fact, I’ve volunteered to co-author a panel there with some of my amazing fellow recipients.

Tonight, I passed my first GIAC certification (GSEC)!”Despite these great results, we know there is still a lot of work to be done to help educate and develop a more inclusive information security workforce.

So this year we are expanding the Security Trainings Scholarship Program to help us reach even more women and generate a steady s…

One of the ways we can do that is by designing software so that you can get cryptographic certainty of what the software has done.In this post, we'll introduce the concept of verifiable data structures that help us get this cryptographic certainty.

We'll describe some existing and new applications of verifiable data structures, and provide some additional resources we have created to help you use them in your own applications.A verifiable data structure is a class of data structure that lets people efficiently agree, with cryptographic certainty, that the data contained within it is correct.

Certificate Transparency is a great example of a non-blockchain use of these verifiable data structu…

Build system compromiseA common CI/CD solution used by GitHub projects isA common CI/CD solution used by GitHub projects is GitHub Actions .

Scorecards checks for these anti-patterns with theEven with hash-pinning, hashes need to be updated once in a while when dependencies patch vulnerabilities.

Scaling the impactTo date, the Scorecards project has scaled up to evaluate security criteria for over To date, the Scorecards project has scaled up to evaluate security criteria for over 50,000 open source projects.

This fully automated tool periodically evaluates critical open source projects and exposes the Scorecards check information through a public BigQuery dataset which is refreshed weekly.…

A unified format means that vulnerability databases, open source users, and security researchers can easily share tooling and consume vulnerabilities across all of open source.

This new vulnerability schema aims to address some key problems with managing vulnerabilities in open source.

A unified format means that vulnerability databases, open source users, and security researchers can easily share tooling and consume vulnerabilities across all of open source.

We’re continuing to work with open source communities to develop this further and earn more widespread adoption in all ecosystems.

We’re continuing to work with open source communities to develop this further and earn more widespread a…

Our annual Google CTF is back!The competition kicks off on Saturday July 17 00:00:01 AM UTC and runs through Sunday July 18 23:59:59 UTC.

For those interested, we have published all 2020 Hackceler8 videos for your viewing pleasure here.

Whether you’re a seasoned CTF player or just curious about cyber security and ethical hacking, we want you to join us.

Sign up to learn skills, meet new friends in the security community and even watch the pros in action.

Curious about last year’s Google CTF challenges?

The software development and deployment supply chain is quite complicated, with numerous threats along the source ➞ build ➞ publish workflow.

With SLSA, consumers can make informed choices about the security posture of the software they consume.

The following image illustrates a typical software supply chain and includes examples of attacks that can occur at every link in the chain.

Higher SLSA levels require stronger security controls for the build platform, making it more difficult to compromise and gain persistence.

SLSA 4 is currently the highest level, requiring two-person review of all changes and a hermetic, reproducible build process.

Before introducing Rust into the Android Open Source Project (AOSP), we needed to demonstrate that Rust interoperability with C and C++ is sufficient for practical, convenient, and safe use within Android.

While both Rust and C++ support using the C ABI, it is not sufficient for idiomatic usage of either language.

While making Rust functions callable from C++ is a goal, this analysis focuses on making C++ functions available to Rust so that new Rust code can be added while taking advantage of existing implementations in C++.

Types are extracted by running objdump on shared libraries to find external C++ functions they use1 and running c++filt to parse the C++ types.

Instead of using cxx it …

Supply chains that use systems like Tekton are more secure.

Secure delivery pipeline through chains and provenanceSo how do these two design decisions combine to make supply chain security easier?

Enter Tekton Chains.

The full documentation is available So how do these two design decisions combine to make supply chain security easier?

Install Tekton Chains into your cluster:

We invite our top abuse researchers to the program.

We award grants immediately before research begins, no strings attached.

Bug Hunters apply for the targets we share with them and start their research.

On top of the grant, researchers are eligible for regular rewards for the bugs they discover in scope of our Bug Bounty program.

Their contributions resulted in +1,000 valid bugs, helping us raise the bar in combating product abuse As a result of this continued success, today we are announcing a new experimental Abuse Research Grants Program in addition to the already existing Vulnerability Research Grants .

In 2020 we launched Enhanced Safe Browsing, which you can turn on in your Chrome security settings, with the goal of substantially increasing safety on the web.

As a result, Enhanced Safe Browsing users are successfully phished 35% less than other users.

Chrome extensions - Better protection before installationEvery day millions of people rely on Chrome extensions to help them be more productive, save money, shop or simply improve their browser experience.

Enhanced Safe Browsing will now offer additional protection when you install a new extension from the Chrome Web Store.

Any extensions built by a developer who follows the Chrome Web Store Developer Program Policies, will be considered tr…

Integrating security into your app development lifecycle can save a lot of time, money, and risk.

That’s why we’ve launched Security by Design on Google Play Academy to help developers identify, mitigate, and proactively protect against security threats.

The course Introduction to app security best practices takes these protections one step further by helping you take advantage of additional security features to build into your app.

In the next course, you can learn how to integrate security at every stage of the development process by adopting the Security Development Lifecycle (SDL).

Sign up for the Security by Design module where in a few short courses, you will learn how to integrate se…

Google has been working with JEDEC , an independent semiconductor engineering trade organization, along with other industry partners, in search of possible solutions for the Rowhammer phenomenon.

Much like speculative execution vulnerabilities in CPUs, Rowhammer is a breach of the security guarantees made by the underlying hardware.

As an electrical coupling phenomenon within the silicon itself, Rowhammer allows the potential bypass of hardware and software memory protection policies.

However, in 2020, the TRRespass paper showed how to reverse-engineer and neutralize the defense by distributing accesses, demonstrating that Rowhammer techniques are still viable.

However, with Half-Double, we…

This post discusses some of the key design considerations and resulting decisions we made in integrating Rust support into Android’s build system.

indirectly through Cargo, Soong would have no understanding of how the (the Cargo build file) would influence the commands Cargo emits to .

These are relied upon by source code, are unavoidable for third-party dependencies, and are useful enough to define and use within our platform code.

("/path/to/hello.rs");The Rust community depends on build.rs scripts alongside assumptions about the Cargo build environment to get around this limitation.

When building, the cargo command sets an OUT_DIR environment variable which build.rs scripts are expected …