Глава Минцифры оценил риски перехода КИИ на отечественное ПОAlexander AntipovГлава Минцифры Максут Шадаев считает необходимым переход объектов критической информационной инфраструктуры (КИИ) на отечественное программное обеспечение.

На объектах критической информационной инфраструктуры (КИИ) недопустимы риски кибербезопасности, поэтому нужно уходить от зарубежных программных решений, но очевидно, что замена возможна только на конкурентоспособные российские аналоги, заявил глава Минцифры Максут Шадаев.

Накануне глава РСПП Александр Шохин оценил такой переход в 1 трлн рублей и предложил государству рассмотреть возможность более плавного перехода.

Однако в Минцифры считают, что риски кибербезо…

Техническая документация Apple попала в руки вымогателей REvilAlexander AntipovПрямо сейчас операторы REvil ведут переговоры с несколькими крупными брендами о продаже чертежейПо информации, размещенной в даркнете, операторы вымогательского ПО REvil сегодня собираются выложить чертежи Apple, чтобы сделать компании неприятный сюрприз перед предстоящей презентацией.

"Чтобы не ждать грядущих презентаций Apple, сегодня мы, группа REvil, предоставим данные о грядущих релизах столь любимой многими компании.

Предлагаемая техническая документация была похищена в результате недавней атаки на Quanta Computer, крупнейшего производителя компьютерной техники.

Quanta Computer производит около 33% всех ноу…

Украинский хакер украл десятки миллионов долларов из банков США и КанадыAlexander AntipovПодозреваемый использовал вредоносное программное обеспечение, приобретенное у других участников хакерской сообщества.

Сотрудники Службы Безопасности Украины совместно с американскими правоохранительными органами задержали в Херсонской области (Украина) хакера, похитившего десятки миллионов долларов со счетов финансовых учреждений в Северной Америке.

Преступнику удалось похитить реквизиты доступа к банковским счетам более тысячи граждан США и Канады, а также украсть более $300 тыс.

По предварительным оценкам специалистов, общая сумма украденных средств может достигать десятков миллионов долларов.

361 УК…

Сообщать разведке об угрозах безопасности РФ теперь можно через сайт в даркнетеAlexander AntipovСлужба внешней разведки России открыла виртуальную приемную в доменной зоне .onion, куда можно обращаться анонимно.

Сведения об угрозах безопасности России теперь можно передавать Службе внешней разведки РФ через сайт в даркнете.

Сайт СВР в доменной зоне .onion является первой в Европе виртуальной приемной подобного рода.

Для того чтобы обратиться в СВР через виртуальную приемную, нужно использовать браузер Tor или ОС Tails.

Информаторам также рекомендуется шифровать свои обращение в СВР с помощью PGP, поскольку владельцы узлов Tor, через который проходит их трафик, теоретически могут их деаноним…

Как научиться проводить тестирование на проникновение?

Alexander AntipovВсе занятия пройдут в формате CTF, а общение с экспертами-пентестерами проходит в закрытых видеоконференцияхХотите играть на «атакующей» стороне кибербезопасности?

Станьте пентестером — проводите тесты на проникновение, взламывайте информационные системы и анализируйте защищенность приложений.Сейчас как раз есть такая возможность, ведь ребята из HackerU открыли набор на новый интенсив Pentesting: Level 0 , где вы получите опыт проведения тестирования защищенности программ, операционных систем и веб-приложений, познакомитесь с инструментами для анализа безопасности и узнаете, как проходит взлом веб-приложения.Кстати, все…

Сила хакерской армии Северной Кореи стремительно возрастаетAlexander AntipovБольшую часть киберпреступной деятельности выполняет Разведывательное Управление Генштаба КНА, в котором действует так называемое Подразделение 180.

Невероятный рост силы хакерской армии Северной Кореи позволил киберпреступникам заработать во благо страны миллиарды долларов, используя различные преступные схемы, начиная со взломов банкоматов до кражи криптовалюты.

Но хакеры Северной Кореи растут в особенных условиях, поскольку в немногих семьях есть компьютеры, а государство контролирует доступ к интернету.

Наиболее частой целью кибер-армии Северной Кореи является Южная Корея, которая подверглась сотням крупных атак…

Взлом инструмента Codecov обеспечил хакерам доступ к сетям сотен компанийAlexander AntipovМасштабы инцидента оказались намного больше, чем несколько дней назад сообщила компания Codecov.

Хакеры, взломавшие инструмент для разработки ПО от компании Codecov, смогли с его помощью получить доступ к сотням сетей клиентов Codecov.

Этот процесс предоставляет инструментам доступ к сохраненным учетным данным для различных внутренних учетных записей в ПО.

Как сообщает Reuters, злоумышленники воспользовались инструментом Codecov для проникновения в сети производителей других инструментов для разработки и компаний, предоставляющих различные технологические сервисы, в том числе IBM.

Как отметили эксперты…

Группировка Lazarus использует BMP-изображения для сокрытия вредоносаAlexander AntipovПреступники распространяют фальшивый документ на корейском языке, замаскированный под форму заявки на участие в ярмарке в одном из южнокорейских городов.

Специалисты связывают атаки с киберпреступной группировкой Lazarus Group, основываясь на сходстве с предыдущими операциями.

Хакеры встроили вредоносный файл HTA, сжатый в виде zlib, в PNG-изображение, которое затем было преобразовано в формат BMP», — пояснили специалисты.

Фальшивый документ, написанный на корейском языке, представляет собой форму заявки на участие в ярмарке в одном из южнокорейских городов и предлагает пользователям включить макросы при п…

500 ИБ-экспертов не смогли взломать компьютерный чип MorpheusAlexander AntipovНовая технология позволяет компьютерному чипу изменять свое код каждый раз после обнаружения атаки.

Ученые из Мичиганского университета предложили более чем 500 исследователям в области кибербезопасности вознаграждение в размере $50 тыс.

На создание устойчивого ко взлому компьютерного чипа Morpheus студентов Мичиганского университета вдохновила иммунная система человека.

В связи с успехом Morpheus в борьбе с кибератаками ученые планируют продолжить усилия по превращению чипа в коммерческий продукт, способный принести пользу компаниям и, возможно, потребителям.

По словам Остина, с компаниями Amazon и Microsoft веду…

Уязвимости в аэрофритюрницах Cosori могут испортить обедAlexander AntipovУязвимости позволяют злоумышленникам менять температуру, время приготовления и настройки аэрофритюрницы.

Специалисты Cisco Talos обнаружили в «умных» аэрофритюрницах Cosori две уязвимости, позволяющие удаленное выполнение кода.

Уязвимости (CVE-2020-28592 и CVE-2020-28593) позволяют злоумышленникам удаленно внедрять в устройство вредоносный код и тем самым менять температуру, время приготовления и настройки аэрофритюрницы или включать ее без ведома пользователя.

Несмотря на отсутствие исправления со стороны производителя, Cisco Talos рассказала о проблеме широкой общественности в соответствии со своими политиками раскры…

Специалисты ЛК рассказали о схеме мошенничества с оборудованием для майнингаAlexander AntipovМошенники похищают криптовалюту с помощью Google Docs и «клона» сайта производителя оборудования для майнинга.

Рост стоимости криптовалюты привел к увеличению спроса на оборудование для майнинга, однако ограничения, введенные из-за пандемии коронавируса, уменьшили его поставки.

Как сообщают эксперты «Лаборатории Касперского», мошенники похищают криптовалюту у жертв с помощью популярного сервиса Google и «клона» сайта производителя оборудования для майнинга.

Злоумышленники отправляют потенциальным майнерам электронные письма, в которых сообщается, будто они упоминаются в файле Google Docs пользовател…

Разработчик простого взломщика буфера обмена заработал более $560 тыс.

Alexander AntipovПрограмма регулярно проверяла содержимое буфера обмена на предмет адресов криптовалютных кошельков и заменяла скопированный текст на адрес злоумышленника.

Специалисты компании Avast рассказали о вредоносной кампании, в рамках которой злоумышленник организовал в мессенджере Telegram кампанию по распространению вредоносного ПО и похитил криптовалюты на сумму $560 тыс.

Программа регулярно проверяла содержимое буфера обмена на предмет адресов криптовалютных кошельков и заменяла скопированный пользователем текст на адрес злоумышленника.

Вредоносная программа содержала более чем 100 адресов криптовалютных коше…

Google продвигает новый стандарт для усиления безопасности мобильных приложенийAlexander AntipovMobile Application Profile обеспечивает минимальный набор лучших отраслевых практик для всех приложений на мобильных устройствах.

Компания Google активно продвигает новый стандарт, предназначенный для усиления базовой безопасности мобильных приложений.

Разработанный ioXt стандарт Mobile Application Profile обеспечивает минимальный набор лучших отраслевых практик для всех объединенных в облаке приложений, запущенных на мобильных устройствах.

Хотя мобильным приложениям достаточно быть сертифицированным по Mobile Application Profile, VPN-приложения должны также соответствовать специализированному ра…

Многие специалисты по инфобезопасноcти путают понятия «NGFW» и «WAF».

Однако WAF и NGFW не являются взаимозаменяемыми сущностями, служат для решения разных задач, размещаются в различных точках сети и в большинстве случаев администрируются разными командами.

Именно функции IPS и инспекции трафика, реализованные в NGFW, являются одной из основных причин путаницы и источником вопроса «зачем мне WAF, если у меня уже есть NGFW?».

В реализациях некоторых производителей также присутствует поддержка других протоколов, таких как SMTP и FTP, но данная возможность не является определяющей для WAF и в данной статье не рассматривается.

Данный перечень является выборочным и приведён для демонстрации отл…

Какие требования и задачи стоят в этой профессиональной сфере и что должен знать и уметь настоящий антифрод-гуру?

Данный термин применяется для описания мошеннических операций в сфере информационных технологий.

«Развитие антифрод-решений для борьбы с мошенниками, а также применение методик роста и развития антифрод-специалистов позволяют увеличивать мощность SOC за счёт использования дополнительных методов аналитики.

Своевременный анализ новых и изменяемых бизнес-процессов позволит заранее разработать антифрод-меры.

Например, для расследования инцидентов мошенничества приходится работать с лог-файлами, представленными в текстовом формате, просматривать и изучать их на предмет аномалий.

В эфире AM Live ведущие ИБ-эксперты обсудили современные риски и рассмотрели особенности эшелонированной защиты от целевых и APT-атак.

Современная защита от целевых атакВо второй части эфира специалисты сфокусировались на построении защиты от целевых атак.

Большая часть респондентов готова инвестировать в проактивный поиск угроз (32 %) и в обучение сотрудников (24 %).

Александр Русецкий:— «Серебряной пули» нет, сейчас актуальны продвинутое обнаружение и реагирование, и важно понимать, какой будет у злоумышленника результат.

Значительно снижают угрозу от атак методами социальной инженерии обучение сотрудников компании и повышение цифровой гигиены персонала, акцентированной на личных интереса…

Сектор рынка Направление продуктов всего одно Есть 2–3 направления продуктов Есть больше 3-х направлений продуктов 2.

Компания «АВ Софт» работает как с государственными, так и с коммерческими заказчиками.

Часть продуктов компании «АВ Софт» имеет сертификацию, остальные находятся в процессе её получения, поэтому в нашей финальной метрике мы можем выставить 2 балла.

Подведение итоговВ итоговой таблице компания «АВ Софт» получает 16 баллов, что вполне неплохо, но значит, что есть куда стремиться.

Сектор рынка Направление продуктов всего одно Есть 2–3 направления продуктов Есть больше 3-х направлений продуктов 2.

Продукт, известный сейчас как Ideco UTM, произошёл из Ideco ICS (Internet Control Server), первый выпуск которого состоялся в 2005 г. За 15 лет продукт поменял название, расширил список функциональных возможностей и стал называться Ideco UTM.

В целом более 14 000 организаций используют в своих сетях решение Ideco UTM.

Новые возможности Ideco UTM 9Ideco UTM 9 основана на новейшем ядре Linux 5.11.

В Ideco UTM есть все модули глубокого анализа трафика, как в классических UTM- / NGFW-решениях, что позволяет предотвращать многие атаки на корпоративные ресурсы компании-покупателя.

Также в чат и в телеграм-бот оперативно приходит информация о наличии новой версии Ideco UTM.

В составе межсетевого экрана нового поколения UserGate применяется система обнаружения вторжений (СОВ) собственной разработки, созданная внутри компании без использования открытого кода.

Сегодня речь пойдёт о системе обнаружения и предотвращения вторжений в составе межсетевых экранов нового поколения UserGate, которая разработана без использования открытого кода.

Профили системы обнаружения вторжений в UserGateВ журнале системы обнаружения вторжений можно посмотреть, какие сигнатуры сработали.

Немаловажным фактором является то, что система обнаружения вторжений UserGate — это собственная разработка компании без использования открытого кода.

Отличительной особенностью NGFW UserGate помимо ши…

Каковы особенности современных систем расширенного обнаружения и устранения угроз, что ждёт растущий рынок XDR в ближайшие годы?

Гости эфира начали дискуссию с определения XDR, постепенно переключаясь на технические особенности и специфику внедрения XDR-решений, привели примеры из личного опыта.

XDR обладает качественным автодетектированием, основанным на поведенческом анализе на всех уровнях: и на хостовом, и на сетевом, и даже в изолированных средах.

Яна Шевченко:— Недавно писала статью, где сопоставляла EDR с XDR и SIEM с SOAR.

Стоимость внедрения XDR-решений весьма высока, но она ниже цены внедрения отдельных компонентов, которые не будут связаны удобной экосистемой.

Safe-T ZoneZero — локальная (on-premise) программная платформа для организации защищённого доступа пользователей к локальным и облачным корпоративным ресурсам, разработанная израильской компанией Safe-T Group.

Safe-T ZoneZero работает по следующему сценарию:Пользователь подключается к шлюзу аутентификации Safe-T ZoneZero и вводит свои учётные данные.

Контроллер доступа передаёт шлюзу доступа инструкции о том, какое соединение будет разрешено для доступа пользователя к выбранному сервису.

Сетевая настройка правила доступа пользователей по RDPПримечание: Application URL — адрес доступа для пользователя; Service Address — расположение сервиса в корпоративной сети; Service Рort — TCP-порт серви…

Статический анализ позволяет решить задачу обеспечения безопасности кода на самых ранних этапах.

Идеология Shift Left (смещение вопросов связанных с безопасностью как можно ближе к началу разработки) позволяет снизить потенциальные издержки от проблем и для разработчика, и для заказчика.

Можно комбинировать различные ядра для анализа кода на разных стадиях проекта, а также применять разные сканеры для разных разработок.

Мы спросили у зрителей конференции, готовы ли они отдать анализ исходного кода в облако.

По итогам конференции мы поинтересовались у зрителей тем, как изменилось их мнение относительно технологий анализа кода после просмотра прямого эфира.

И если от первых двух должны помочь вакцины, то с последним уже более 5 лет успешно борется Phishman.

Для предотвращения этих угроз компания Phishman разработала одноимённую систему автоматизированного обучения и тестирования персонала в сфере ИБ.

Phishman разворачивается в сети заказчика или работает из облака и состоит из нескольких модулей, которые претерпели значительные изменения с выходом новой версии решения.

Модуль сбора информацииЭтот модуль используется Phishman для того, чтобы получать информацию о сотрудниках из внешних источников, таких как SIEM, DLP и Active Directory.

По нашим вендора, при первой тестовой атаке Phishman на удочку «злоумышленников» попадаются до 85 % пользоват…

Критерии безопасности и приватности мессенджеровЧтобы оценить безопасность данных пользователя в том или ином мессенджере, обозначим ключевые критерии безопасности, приватности и анонимности.

Любители, энтузиасты, эксперты могут сделать сборку приложения, исследовать его работу и привлечь внимание к слабым местам, к уязвимостям как в серверной, так и в клиентской частях кода.

Полностью открытый исходный код (как серверной, так и клиентской частей) Нет Нет Да Да Да Нет Да Нет Нет Нет Нет Нет Нет Возможность самостоятельно проверить отпечаток открытого ключа Да Да Да Да Да Нет Да Да Да Да Нет Да Нет Уведомление в случае обновления ключа шифрования собеседника Да Да Да Нет Нет Нет Да Да Нет Не…

Какие параметры определяют выбор средства управления уязвимостямиВедущий прямого эфира предложил экспертам порассуждать на тему того, какие факторы необходимо учитывать заказчику при выборе решения для управления уязвимостями.

Наши спикеры также посоветовали смотреть на полноту и частоту обновлений и на операционные системы, которые поддерживает сканер.

Инструменты для управления уязвимостямиПо просьбе ведущего эксперты онлайн-конференции AM Live перечислили ключевые инструменты, которые необходимы для организации процесса управления уязвимостями в компании.

Не исключено появление единой платформы, включающей в себя и Vulnerability Management, и возможности управления активами, и риск-менед…

Парольная защита остаётся открытым вопросом, и по сей день находятся уязвимости связанные с некачественной его проработкой.

И даже Basic Auth первичной настройки веб-сервера остаётся популярным и по сей день.

Можно сравнить её с рекомендациями зарубежных органов по безопасности и посмотреть, так ли хорошо проработана политика паролей на предприятии, как рекомендуют.

Это правило распространяется и на пароли.

Поэтому Active Directory не предоставляет полного рекомендуемого комплекта защиты в отношении парольных политик даже на Windows Server 2019 c самыми последними обновлениями.

До вступления в силу GDPR на протяжении более чем 20 лет в области защиты персональных данных действовала Директива 95/46/EC.

евро за то, что в системе хранения медицинских записей обнаружилась уязвимость, которая позволяла получить доступ к данным пациентов с помощью фальшивых профилей сотрудников.

Данное положение применяется к обработке персональных данных в контексте деятельности учреждения контролёра или обработчика в Союзе независимо от того, где происходит обработка — в Союзе или нет.

Компания является обработчиком (процессором) по отношению к итальянской компании, и GDPR к ней применим только как к обработчику.

Несмотря на позицию США в данном вопросе, в Европе следует ожидать усиле…

Zero Security: A - уникальные курсы этичного хакинга и тестирования на проникновение от компании Pentestit. Разработаны специально для новичков в области информационной безопасности, которые хотят связать свою дальнейшую деятельность с ИТ-технологиями и развиваться в этом направлении в качестве профессионалов. Читать далее

20 и 21 марта 2021 года прошел хакатон проектов в сфере приватности и открытости информации DemHack 2, организованный Роскомсвободой и Privacy Accelerator. Хакатон собрал интересные идеи и талантливых разработчиков, выявил несколько по-настоящему перспективных проектов и наградил два из них! Некоторые решения были высоко оценены жюри и менторами, что дает им отличные шансы на дальнейшую экспертную поддержку, нетворкинг и дальнейшее сотрудничество с бизнес-инвесторами или профильными НКО. Читать далее

Привет! На связи Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ». В середине прошлого года здесь на Habr мы делились тем, что такое наша система файлового аудита (DCAP-система, если по-умному) FileAuditor. Ледоколом продолжаем разбивать лёд этого относительно нового рынка. В этом посте решил ответить на часто возникающие вопросы о применении системы файлового аудита, а также рассказать, что нового появилось в функционале. В последнем обновлении мы реализовали возможность блокировать доступ к конфиденциальным файлам в хранилищах. FileAuditor теперь соответствует тому, каким и должно быть DCAP-решение. Читать далее

Вступление

Схема разделение секрета, ключа или пароля не новая, но во всех спецификациях, которые я встречал есть главный недостаток — доли и сам секрет различимы по структуре или длине. To есть по каждой доле разделяемого секрета можно было сказать это "доля", а не настоящий секрет.

Хотелось бы посмотреть в другую сторону и сделать совершенную схему, в которой восстановить секрет можно только имея из долей длина доли и секрета была одной и той же

у доли не было бы структуры, то есть доля была похожа на случайную последовательность байт

каждая доля сама по себе были бесполезные. Более того, количество долей меньших тоже были бесполезными и не раскрывали искомого секрета

длина искомого секре…

В четверг 15 апреля компания Codecov опубликовала сообщение о взломе собственной инфраструктуры и потенциальной утечке данных у клиентов. Главный продукт Codecov предназначен для разработчиков ПО и позволяет улучшать покрытие кода тестами. Пострадала утилита Bash Uploader, предназначенная для отправки отчетов на серверы Codecov. В сообщении компании пока нет всех технических деталей взлома, но известно, что атакующие воспользовались уязвимостью в процессе создания образов Docker и через нее смогли модифицировать скрипт Bash Uploader. В свою очередь, зараженный код был доставлен к потребителям, за исключением тех, кто использует особую версию продукта без облачных функций. Модификация кода в…

Анонимность и конфиденциальность — это прекрасные понятия. Но в последнее время создается ощущение, что в сети оба понятия стили недостижимыми. Поэтому даже я, совсем не параноик периодически задумываюсь об инструментах, таких как VPN, Proxy и Tor. Вы наверняка слышали эти слова, а может быть даже регулярно пользуйтесь пользуетесь этими технологиями для сохранения анонимности, обхода блокировок, просмотра американского Netflix или банально для доступа к корпоративной сети. Но как именно работают эти технологии и чем они отличаются? И правда ли что бесплатный сыр только в мышеловке? Сегодня поговорим о том как защитить себя и свои данные в глобально сети. Читать дальше →

Нам часто приходят вопросы о том, как молодому и амбициозному специалисту по информационной безопасности попасть в команду Digital Security. Так вот наша летняя обучающая программа Summ3r 0f h4ck — это отличная возможность. И вы ещё успеваете подать заявку. Читать дальше →

Хвалимся и анонсируем вебинар про аудит файлов в хранилищах Huawei (коротко без злоупотребления вашим вниманием) Читать далее

Было время, когда хакеры промышляли взломом ради удовлетворения собственного любопытства и исследовательского зуда, а вред, который могли причинить вредоносные программы, ограничивался переворачиванием изображения на экране вверх тормашками и доносящимися из динамика компьютера неприличными звуками. Потом времена изменились, и на первое место вышли корыстные мотивы. Киберпреступность взяла на вооружение самые современные методы взлома, и одной из основных целей хакерских атак стали банки. Как говорится, just a business, ничего личного. Читать дальше →

О поисковике Shodan немало написано, в том числе на Хабре (здесь, здесь, здесь и еще вот здесь)Вопросы о том, легально ли использование Shodanа или в каких случаях оно является легальным/нелегальным встречаются в Сети достаточно часто (см., например, тут или тут - в последнем случае так и остался без ответа очень интересный вопрос о легальности подключения через Shodan к незащищенному серверу). И зачастую на них нельзя найти действительно обоснованного и четкого ответа, что делать можно, а чего нельзя.В этой статье мы попытаемся сформировать принципы легальности/нелегальности использования Shodan, общие для большинства юрисдикций. Читать далее

Компания Positive Technologies выпустила новую версию PT Network Attack Discovery 10.1. Рассмотрим новшества системы глубокого анализа трафика подробнее и узнаем, чем они могут помочь в работе. Читать дальше →

Если вы когда-нибудь сталкивались с распределёнными СУБД или системами обработки данных, то слышали о двух теоремах CAP и PACELC, определяющих грани возможных конфигураций этих систем. Споры об их универсальности не утихают до сих пор, однако, альтернативы, способные полностью заместить данные научные изыскания ещё не сформулированы и вряд ли в ближайшее время появятся. Поэтому всем, кто работает с распределёнными системами необходимо, учитывать эти теории. Мы – команда разработки СУБД Jatoba также столкнулись с противоречивостью теорем, детально разобрались и готовы помочь всем, кто только начинает работу с ними. Введение

В 2000 году Эрик Брюер выдвинул гипотезу, суть которой можно описать…

Какие уязвимости можно найти в типичном PHP-проекте? Удивительно, но любые — от слабых мест и уязвимостей в коде никто не застрахован. Чем быстрее мы их найдем, тем меньше риск для компании. Но чем лучше будем понимать, как можно атаковать наше приложение и как взаимодействуют друг с другом наши фичи, тем легче будет защитить код еще на уровне разработки. Тем более, что в PHP есть свои специфичные уязвимости — те же type juggling, insecure deserialization и local file include.Чтобы повысить уровень безопасности кода, полезно думать как хакер и тестировщик одновременно, проверяя все возможные лазейки в коде. Сканеры уязвимостей, SSL-сертификаты, аудиты и прочие многочисленные инструменты защ…

Google недавно объявил о развертывании технологии Federated Learning of Cohorts (FLoC) в рамках инициативы Privacy Sandbox, направленной на замену сторонних файлов cookie новым методом профилирования пользователей, который собирает данные, генерируемые непосредственно браузером.Организация Electronic Frontier Foundation (EFF) выпустила обзор FLoC и связанных с ним угроз, а также разработала полезный инструмент для проверки, используется ли браузер пользователя для сбора данных и снятия цифрового отпечатка устройства. Читать далее

Миллионы запросов в секунду. Сотни серверов с десятками ядер и терабайтами оперативной памяти. Много пользователей и данных. И их становится всё больше. Да, это всё HighLoad. Но HighLoad — не только это.В основе хороших высоконагруженных систем лежит тщательно спроектированная архитектура. Благодаря этому, системы постоянно масштабируются, а их ресурсов хватает для работы с текущими нагрузками. И тогда HighLoad-конференции не превращаются в дискуссии «Как сэкономить на ресурсах при штатно выросшей нагрузке» или «Куда девать все имеющиеся у нас мощности».Но что насчет безопасности и защиты данных при высоких нагрузках? Что думают разработчики и эксперты о внешних угрозах, которые тоже могут …

Ранее в этом месяце компания Google начала тестирование новой технологии отслеживания пользователей под названием Federated Learning of Cohorts (FLoC) , которая объединяет пользователей в анонимные сегменты или «когорты» в зависимости от их интересов и поведения в интернете.

Как заметили журналисты, в Microsoft Edge FLoC выключен, а компонент недоступен в браузере, даже если включить его с помощью командной строки.

Равно как и Google, мы поддерживаем решения, которые позволяют пользователям выразить четкое согласие и не пытаются обойти выбор потребителей.

Именно поэтому мы не поддерживаем решения, которые используют опознавательные сигналы пользователей без их согласия, в том числе фингерпр…

Издание The Record сообщает, что китайская ИБ-компания Qingteng Cloud Security обнаружила атаки на пользователей WeChat, в которых злоумышленники задействовали опубликованный на прошлой неделе эксплоит для Chrome.

Напомню, что на прошлой неделе в сети были опубликованы сразу два таких эксплоита, и о котором из них идет речь, пока неизвестно.

Стоит сказать, что в настоящее время оба бага исправлены Microsoft Edge, а в Chrome устранена только первая ошибка.

А на прошлой неделе исследователи подчеркивали, что их эксплоиты не способны сбежать из песочницы, но могут работать с приложениями, которые используют Chromium в качестве основы, без песочницы.

Специалисты Qingteng Cloud Security сообщили…

Group-IB предупредила Facebook о масштабной атаке на пользователей Facebook Messenger в 84 странах мира, включая Россию.

Специалисты Group-IB Digital Risk Protection обнаружили 5700 мошеннических рекламных публикаций и около 1 000 поддельных профилей социальной сети, которые использовались в данной кампании.

Впервые эксперты зафиксировали данную мошенническую схему летом 2020 года — злоумышленники распространяли ссылки на скачивание несуществующего «обновления» для Facebook Messenger.

В апреле 2021 года число фейковых постов в Facebook, предлагающих установить «последнее обновление» мессенджера, достигло 5700.

В самих рекламных публикациях говорилось о новых функциях мессенджера, как реальн…

На­деж­ность NTFS — это одно, а оши­боч­но уда­лен­ные фай­лы — сов­сем дру­гое.

Фай­ловая сис­тема, даже такая мощ­ная, как NTFS, бес­силь­на защитить поль­зовате­ля от себя самого.

Пакет FILE_DISPOSITION_INFORMATIONIRP_MJ_SET_INFORMATION/ FILE_DISPOSITION_INFORMATION — это пакеты, посыла­емые драй­веру при уда­лении фай­ла (имей это в виду при дизас­сем­бли­рова­нии).

Вмес­то это­го поль­зовате­лю пред­лага­ется счи­тать уда­лен­ный файл и перепи­сать его в дру­гое мес­то, но толь­ко не на сам вос­ста­нав­лива­емый раз­дел.

При работе с боль­шими дис­ками на это ухо­дит от одно­го до нес­коль­ких часов, при­чем это вре­мя фак­тичес­ки тра­тит­ся впус­тую.

В начале 2021 года пользователи и СМИ заметили, что неисправленный баг нулевого дня в Windows 10 (и более старых версиях ОС, включая Windows XP) позволяет повредить структуру файловой системы NTFS с помощью простой однострочной команды.

Срабатывание бага и повреждение NTFS можно было спровоцировать, если просто попытаться получить доступ к атрибуту NTFS $i30 ­определенным образом.

Это позволяло любому пользователю или программе, даже с низкими привилегиями, пометить NTFS-диск как поврежденный, просто открыв определенную папку.

Мы уже писали о том, что в феврале текущего года Microsoft начала тестировать патч для этой проблемы в сборках Windows Insider (для тех, кто не хотел ждать также было…

Напомню, что с августа 2019 года некая хакерская группа взламывает рекламные серверы, чтобы внедрять свои вредоносные объявления на самые разные сайты.

В итоге посетителей таких ресурсов перенаправляют на сайты с загрузкой малвари, мошеннические ресурсы и так далее.

В прошлом году сообщалось, что специалисты обнаружили взлом 60 рекламных серверов.

Правда теперь злоумышленники скомпрометировали уже свыше 120 рекламных серверов, больше нацелены на пользователей мобильных устройств и перенаправляют их на сайты мошенников, торгующих сомнительными продуктами.

Более того, исследователи говорят, что в прошлом году Confiant уведомила владельцев 60 взломанных серверов о проблемах, однако ответ ни от…

Еще в прошлом году мы рассказывали о том, что разработчики Mozilla признали FTP небезопасным протоколом и сообщили, что скоро уберут его поддержку в Firefox.

Таким образом, пользователи более не смогут загружать файлы по протоколу FTP, а также просматривать в браузере содержимое FTP ссылок и папок.

Теперь к вопросу отказа от поддержки FTP по умолчанию вернулись и инженеры Mozilla.

В Firefox 88, вышедшем сегодня, поддержку протокола отключили по умолчанию, и теперь Firefox, столкнувшись с FTP-ссылкой, пытается передать ее внешнему приложению.

То есть в итоге для работы с FTP понадобится отдельный клиент.

Издание Bleeping Computer рассказало о вымогателе NitroRansomware, который шифрует файлы жертв, похищает информацию из браузеров, а затем требует подарочные коды Discord Nitro для оплаты выкупа.

Причем подписку Nitro можно применить как к своей учетной записи, так и купить в качестве подарка для другого человека.

В отличие от других вымогателей, шифровальщик NitroRansomware требует от своих жертв не огромные суммы в криптовалюте, но подарочный код для Nitro за 9,99 долларов.

Когда пользователь предоставляет малвари URL-адрес подарочного кода Nitro, вымогатель проверяет его, используя Discord API, как показано ниже.

Из-за этого жертвам NitroRansomware рекомендуется сразу после атаки сменить …

Из-за этого, в интересах пользователей, авторы WordPress предлагают автоматически отключать FLoC.

WordPress планирует блокировать FLoC с помощью четырех строк кода, в результате чего CMS будет отправлять специальный хэдер HTTP-запроса, сообщающий браузеру, что FLoC следует отключить для данного сайта.

Но также предлагается добавить в WordPress настройку, позволяющую администраторам контролировать, разрешен ли FLoC.

Обновления планируют внести в WordPress 5.8, выпуск которого запланирован на июль 2021 года, но пока разработчики запрашивают у сообщества обратную связь и приглашают всех желающих к обсуждению.

Также рассматривается возможность внедрения блокировки FLoC в более ранние версии CMS.

В конце прошлой недели американский суд приговорил гражданина Украины Федора Гладыря к 10 годам лишения свободы за участие в делах хакерской группы FIN7 (также группировка известна под названиями Carbanak, Navigator и другими).

По данным правоохранителей, в 2013 по 2018 годы FIN7 атаковала более 100 компаний и организаций на территории США, взломав тысячи различных систем.

Сообщалось, что только в США хакеры похитили свыше 15 000 000 платежных карт, скомпрометировав более 6500 PoS-терминалов.

Нужно отметить, что после арестов 2018 года FIN7 не пропала с радаров и не прекратила свое существование.

Исследователи писали, что методы группы усложнились и предполагали, что FIN7 могла увеличить чи…

Разработчики Codecov предупредили, что неизвестные злоумышленники сумели скомпрометирвоать платформу компании и добавить сборщик учетных данных к одному из инструментов.

Компрометация коснулась продукта Bash Uploader, который позволяет клиентам Codecov передавать отчеты о покрытии кода для анализа.

Ситуация усугубляет тем, что скрипт Bash Uploader встроен во многие другие продукты, в том числе actions-загрузчик Codecov для Github, Codecov CircleCl Orb, а также Codecov Bitrise Step.

Теперь клиентам Codecov, которые использовали любой из перечисленных инструментов, рекомендуется изменить все учетные данные, которые они передавали «по воздуху» на платформы Codecov за последние два с половиной …

На при­мере ее про­хож­дения ты научишь­ся экс­плу­ати­ровать уяз­вимость в GitLab для про­изволь­ного чте­ния фай­лов и уда­лен­ного выпол­нения кода.

Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

Точка входаВ реаль­ных усло­виях луч­ше все­го искать экс­пло­иты при помощи Google, пос­коль­ку этот поис­ковик заг­лядыва­ет и в лич­ные бло­ги, и в самые раз­ные отче­ты.

Если ты исполь­зуешь Kali Linux, то эта база у тебя уже есть и для поис­ка мож­но исполь­зовать ути­литу searchsploit .

Соз­дадим два про­екта в GitLab, а потом перей­дем к вклад­ке Issues и выберем New Issue.

Эксперты компании Bolster заметили, что торговая площадка Rarible (rarible.com) стала целью тайпсквоттеров, которые распространяют малварь, занимаются мошенничеством и так далее.

Еще один пример атаки на Rarible — домен wwwrarible[.

]com, без точки между www и rarible.

Одно из браузерных расширений, на которые сайт направлял жертв на днях, внедряет рекламу на все сайты, которые посещает пользователь, а также отслеживает всю активность человека в интернете.

Это могут быть фейковые игры с вращающимся колесом, поддельные сайты знакомств, предназначенные для сбора информации, а также фальшивая техподдержка или сайты, распространяющие пакеты нежелательного и рекламного ПО.

Эксперты Avast обнаружили инструмент для кражи криптовалюты HackBoss, который распространяется в Telegram под видом бесплатной малвари для начинающих.

В основном HackBoss маскируется под бесплатные инструменты для взлома: чаще всего, это подбор паролей от учетных записей банков, сайтов знакомств и социальных сетей.

Независимо от доступных опций, единственная цель вредоноса: расшифровать и запустить в системе жертвы малварь для кражи криптовалюты.

Также это может обеспечить устойчивое присутствие HackBoss в системе: для этого вносятся изменения в реестр или добавляется запланированное задание, которое запускает пейлоад каждую минуту.

Исследователи пишут, что авторы HackBoss продвигают свои п…

Издание The Record пишет, что, по данным Whale Alert и BTCparsers, биткоины, похищенные в 2016 году у биржи Bitfinex, были переведены в другие кошельки десятками транзакций в диапазоне от 1 до 1200 биткоинов за раз.

При этом пришедшие в движение средства составляют лишь около 10% от суммы, украденной у Bitfinex, ведь тогда хакеры похитили 119 756 BTC.

Дело в том, что в 2016 году ущерб оценивался в примерно в 67 000 000 долларов США, но с тех пор курс биткоина значительно изменился, и теперь похищенная криптовалюта стоит уже 7 411 135 986 долларов.

Ранее эти средства и не обналичивались и не конвертировались, так как после взлома Bitfinex другие биржи занесли в черный список адреса злоумышле…

A spear-phishing attack operated by a North Korean threat actor targeting its southern counterpart has been found to conceal its malicious code within a bitmap (.BMP) image file to drop a remote access trojan (RAT) capable of stealing sensitive information.

"The dropped payload was a loader that decoded and decrypted the second stage payload into memory.

The second stage payload has the capability to receive and execute commands/shellcode as well as perform exfiltration and communications to a command and control server."

"The Lazarus threat actor is one of the most active and sophisticated North Korean threat actors that has targeted several countries including South Korea, the U.S., and J…

The concept of "passwordless" authentication has been gaining significant industry and media attention.

That's the premise behind one-time passwords (OTP), biometrics, pin codes, and other authentication methods presented as passwordless security.

While this sounds appealing on the surface, the problem is that, when you dig deeper, these passwordless solutions are still reliant on passwords.

As these emerging authentication solutions are relatively new, a fallback means of authentication will be required for the foreseeable future.

Don't Believe the Passwordless HypeFor now, the promise of a passwordless world remains a mirage.

A Mac malware campaign targeting Xcode developers has been retooled to add support for Apple's new M1 chips and expand its features to steal confidential information from cryptocurrency apps.

XCSSET came into the spotlight in August 2020 after it was found to spread via modified Xcode IDE projects, which, upon the building, were configured to execute the payload.

The malware repackages payload modules to imitate legitimate Mac apps, which are ultimately responsible for infecting local Xcode projects and injecting the main payload to execute when the compromised project builds.

"To adapt to the newly-released Big Sur, new packages for 'Safari 14' were added."

XCSSET's mode of distribution vi…

The development comes after Hladyr pleaded guilty to conspiracy to commit wire fraud and one count of conspiracy to commit computer hacking in September 2019.

Also called Anunak, Carbanak Group, and the Navigator Group, the malware campaign unleashed by FIN7 is estimated to have caused overall damage of more than $3 billion to banks, merchants, card companies, and consumers.

Besides the U.S., FIN7 attackers left their fingerprints in a string of orchestrated intrusions against retailers in the U.K., Australia, and France.

Some of its high-profile victims included Chipotle Mexican Grill, Chili's, Arby's, Red Robin, and Jason's Deli.

At the sentencing hearing, Hladyr said he had "ruined years…

People talk about the cybersecurity job market like it's a monolith, but there are a number of different roles within cybersecurity, depending not only on your skill level and experience but on what you like to do.

In fact, Cybercrime Magazine came up with a list of 50 cybersecurity job titles, while CyberSN, a recruiting organization, came up with its own list of 45 cybersecurity job categories.

Cybersecurity job roles are differentiated by the level of experience required, but also whether or not you're red-team (offensive) or blue-team (defensive).

So what are some of the most common cybersecurity job roles, and how are they different from each other?

Security Engineer: Security engineer…

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) Thursday issued an advisory warning of multiple vulnerabilities in the OpENer EtherNet/IP stack that could expose industrial systems to denial-of-service (DoS) attacks, data leaks, and remote code execution.

The four security flaws were discovered and reported to CISA by researchers Tal Keren and Sharon Brizinov from operational technology security company Claroty.

"An attacker would only need to send crafted ENIP/CIP packets to the device in order to exploit these vulnerabilities," the researchers said.

This is far from the first time security issues have been unearthed in EtherNet/IP stacks.

Last November, Claroty researcher…

The U.S. and U.K. on Thursday formally attributed the supply chain attack of IT infrastructure management company SolarWinds with "high confidence" to government operatives working for Russia's Foreign Intelligence Service (SVR).

In addition, the Biden administration is also expelling ten members of Russia's diplomatic mission in Washington, D.C., including representatives of its intelligence services.

"The scope and scale of this compromise combined with Russia's history of carrying out reckless and disruptive cyber operations makes it a national security concern," the Treasury Department said.

"The SVR has put at risk the global technology supply chain by allowing malware to be installed …

Multiple one-click vulnerabilities have been discovered across a variety of popular software applications, allowing an attacker to potentially execute arbitrary code on target systems.

The issues were discovered by Positive Security researchers Fabian Bräunlein and Lukas Euler and affect apps like Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, Bitcoin/Dogecoin Wallets, Wireshark, and Mumble.

"Desktop applications which pass user supplied URLs to be opened by the operating system are frequently vulnerable to code execution with user interaction," the researchers said.

"Code execution can be achieved either when a URL pointing to a malicious executable (.desktop, .jar, .exe, …) hosted on …

The year 2021 is no exception, as recent trends indicate that several new variants of malware are making their way into the world of cybersecurity.

Evolution of Malware Variants in Q1 2021This year has already seen several new malware variants appear.

Route to Adequate Malware ProtectionIn today's environment of increasing complexity and advances in malware threats, it is imperative to safeguard against malware.

With the proliferation and thinning of network perimeters, WFH has exposed its infrastructure to malware threats.

Regular content and training will assist employees in countering any malware threats they encounter.

The attack works by leveraging searches for business forms such as invoices, templates, questionnaires, and receipts as a stepping stone toward infiltrating the systems.

Users attempting to download the alleged document templates are redirected, without their knowledge, to a malicious website that hosts the malware.

The cybersecurity firm said it discovered over 100,000 unique web pages that contain popular business terms or keywords such as template, invoice, receipt, questionnaire, and resume, thus allowing the pages to be ranked higher on the search results, and therefore, increasing the likelihood of success.

"Another troubling aspect of this campaign is that the SolarMarker group has p…

The NitroRansomware malware strain is shaking up the ransomware norm by demanding Discord Nitro gift codes from victims instead of actual money.

Gift Cards: A Cybercrime GoldmineWhy gift codes?

Obviously this one is a bit dumb, but BEC realised a while ago iTunes gift cards and such are great for money laundering – get victim to buy multiple gift cards, then criminal infrastructure exists for reselling gift cards, laundering to fake ebooks, apps etc.

“In [one] scheme, cybercriminals would use stolen payment cards to purchase gift cards and then sell the gift cards to Cardpool [a carding marketplace],” according to the report.

“If a bank were to determine that the gift card had been purchase…

Making matters worse, is the ever-changing nature of ransomware attacks, complicating the cyber-defender’s job.

For instance, the last 12 months has seen emerging types of extortion attempts on the part of ransomware operators.

It kicks off with our lead story that goes beyond the ransomware status quo, and explores top emerging trends and granular insights like how ransomware code itself is changing.

Inside this eBook, Threatpost also delivers an insider’s view into the real-world toll that ransomware can take.

Download our exclusive FREE Threatpost Insider eBook, “2021: The Evolution of Ransomware,” to help hone your cyber-defense strategies against this growing scourge.

Sivan Tehila, cybersecurity strategist at Perimeter 81, discusses climate change and the cyber-resilience lessons companies should take away from dealing with the pandemic.

While COVID-19 caught many businesses off guard, smart executives are already thinking about the next global crisis and what challenges it might present for IT security.

Climate Change: A Looming CrisisIt’s a good bet that climate change could bring forth the sequel to COVID-19.

Infrastructure Will Force Companies to Look InwardThe internet and climate change are intertwined in an anxiety-producing plot — the internet is at once a cause of climate change and one of its potential casualties.

It might be impossible to plan…

The BazarLoader malware is leveraging worker trust in collaboration tools like Slack and BaseCamp, in email messages with links to malware payloads, researchers said.

The BazarLoader downloader, written in C++, has the primary function of downloading and executing additional modules.

Researchers have been suspecting that BazarLoader could be related or authored by the TrickBot operators.

“From what we could tell, the [BazarLoader] malware binaries running in the lab network bear no resemblance to TrickBot,” according to the posting.

“But they did communicate with an IP address that has been used in common, historically, by both malware families.

A malicious ‘Jungle Run’ app tricked security protections to make it into the Apple App Store, scamming users out of money with a casino-like functionality.

A kids’ game called “Jungle Run” that, until recently, was available in the Apple App store, was secretly a cryptocurrency-funded casino set up to scam people out of money.

He later discovered that the Jungle Run casino also worked when VPNs were set to Italy and Kazakhstan.

The same developer also had “Magical Forest Puzzle” on the app store, which used the same VPN trick to unlock a different casino.

Once people follow the ad, they are taken to this App Store page.

Widely deployed platforms from Citrix, Fortinet, Pulse Secure, Synacor and VMware are all in the crosshairs of APT29, bent on stealing credentials and more.

According to the U.S. National Security Agency (NSA), which issued an alert Thursday, the advanced persistent threat (APT) group known as APT29 (a.k.a.

The five bugs under active attack are known, fixed security holes in platforms from Citrix, Fortinet, Pulse Secure, Synacor and VMware (detailed below) that organizations should patch immediately, researchers warned.

“This can result in the attacker obtaining VPN credentials, which could allow an initial foothold into a target network,” according to Cisco Talos.

CVE-2020-4006And finally,…

Matt Bromiley, senior principal consultant with Mandiant, offers checklists for how small- and medium-sized businesses (SMBs) can identify and clear ProxyLogon Microsoft Exchange infections.

It is rare that software so ubiquitous as Exchange Server suffers a quartet of severe, easy-to-exploit vulnerabilities.

For organizations running Exchange Server but are currently in that “what do I do now?” phase, we’ve designed the following informative checklist.

Although both are official Microsoft products, note that a cloud-hosted Exchange Server is different from Exchange Online, which is an entirely cloud-based solution.

They will likely give you a script that you can run on your Exchange server…

“Vendors will now have 90 days for patch development, and an additional 30 days for patch adoption,” he wrote.

However, technical details of vulnerabilities that remained unpatched during the 90-day period after Project Zero discovers them still will be disclosed immediately after that grace period is up, according to the post.

Project Zero also is applying a similar policy to in-the-wild exploits, which currently are disclosed–along with technical details–seven days after they are identified.

Moreover, vendors whose products are affected by the vulnerability can ask for a three-day grace period before Project Zero reveals technical details.

“In other words, the implied timeline for patch a…

The plan also asks utilities to identify sites which are particularly sensitive to attack and would have the most catastrophic impact, Bloomberg reported.

Power-Grid Cybersecurity OversightBloomberg reported that the final version of the plan could be released as early as this week.

Texas Power Grid Collapse: A WarningThe collapse of the unregulated Texas power grid in February during an intense winter storm was a stark reminder of how deadly the loss of electricity can be.

Early reports from state officials said 57 people died because of the power loss, but ABC News reported that is likely a drastic undercount.

“[Cybersecurity improvement] is something that should be happening across all c…

The IoT-targeted malware has also added new exploits for initial compromise, for Huawei, Realtek and Dasan GPON devices.

Several variants of the Gafgyt Linux-based botnet malware family have incorporated code from the infamous Mirai botnet, researchers have discovered.

Mirai variants and its code re-use have become more voluminous since the source code for the IoT botnet was released in October 2016.

These include a Mirai-copied module for Telnet brute-forcing, and additional exploits for existing vulnerabilities in Huawei, Realtek and GPON devices.

For instance, researchers in March discovered what they said is the first variant of the Gafgyt botnet family to cloak its activity using the T…

Cryptojacking can be added to the list of threats that face any unpatched Exchange servers that remain vulnerable to the now-infamous ProxyLogon exploit, new research has found.

Researchers were inspecting telemetry when they discovered what they deemed an “unusual attack” targeting the customer’s Exchange server.

Sophos researchers Fraser Howard and Simon Porter were instrumental in the discovery and analysis of the novel threat, Brandt acknowledged.

Researchers said they detected the executables associated with this attack as Mal/Inject-GV and XMR-Stak Miner (PUA), according to the report.

Together the flaws created a pre-authentication remote code execution (RCE) exploit, meaning attacke…

“Through this vulnerability, malicious actors could jeopardize any containerized infrastructure that relies on these vulnerable container engines, including Kubernetes and OpenShift,” Sasson said in a Wednesday posting.

CRI-O and Podman are container images, similar to Docker, that are used to perform actions and manage containers in the cloud.

The containers/storage library is used by CRI-O and Podman to handle storage and download of container images.

The impact could be fairly wide: “As of Kubernetes v1.20, Docker is deprecated and the only container engines supported are CRI-O and Containerd,” Sasson explained.

Container Security in the SpotlightCloud container security continues to be …

Not a Gouda situation: An attack on a logistics firm is suspected to be related to Microsoft Exchange server flaw.

An Easter weekend ransomware attack on a food-logistics firm in the Netherlands has caused shortages of prepackaged cheese in supermarkets across the country.

“Due to a technical malfunction, there is limited availability on the prepackaged cheese,” the Netherlands’ largest grocery chain, Albert Heijn, announced on its website.

Microsoft Exchange Server AttacksIn a local media report spotted by Bitdefender, Verhoeven said he suspected the attackers gained a foothold through a Microsoft Exchange server vulnerability.

Microsoft announced in early March it found several zero-day b…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

However, according to its new vulnerability disclosure policy, developers will still have 90 days to fix the vulnerability.

However, Project Zero will give them another 30 days before it publishes details about the flaw, as long as the bug is fixed within that period.

Longer to patchThe new disclosure policy also affects vulnerabilities that are actively exploited in the wild.

If the bug is fixed within seven days, Project Zero will wait 30 days before it reveals technical details about the security flaw.

Project Zero is known for a number of high-profile disclosures; a few months ago, the team reported multiple zero-days affecting Chrome, Windows and Apple.

FBI cleans up compromised Exchange servers – Data of Clubhouse users scraped and posted online – WhatsApp bug alertThe FBI has carried out an operation to remove malicious code from hundreds of servers that were compromised during the recent mass exploitation of vulnerabilities in Microsoft Exchange Server software.

Personal data of 1.3 million Clubhouse users has been scraped and posted on a hacking forum.

Two researchers have found that anybody could suspend your WhatsApp account just by knowing your phone number.

Here are some quick and easy tips to help you clean up your cyber-clutter and keep your digital footprint tidyYou’ve probably heard the phrase “digital footprint” before, but do you really know what it is?

Your social media content, various online payment transactions, location history, emails sent, messages sent through instant messaging platforms, and passport usage – these are just some of the data that makes up your digital footprint.

Besides helping reduce your digital footprint, it can help prevent old posts coming back to haunt you in the future.

To make things easy, we usually sign up using single sign-on (SSO) options such as social media accounts or our email addresses.

Bonus tips…

Also, 6% admitted that they use “password” as the whole or part of their password.

“We may be a nation of animal lovers, but using your pet’s name as a password could make you an easy target for callous cyber criminals,” said Nicola Hudson, NCSC Director of Policy and Communications.

“I would urge everybody to visit cyberaware.gov.uk and follow our guidance on setting secure passwords which recommends using passwords made up of three random words,” Hudson said.

NCSC also urged everybody to avoid another common password mistake – recycling the same password over and over again.

To avoid the hassle of remembering all those credentials, you should also consider using a password manager.

Authorities step in to thwart attacks leveraging the recently-disclosed Microsoft Exchange Server vulnerabilitiesThe United States’ Federal Bureau of Investigation (FBI) has carried out a court-approved operation to “copy and remove” malicious web shells from hundreds of systems across the US that were compromised through the mass exploitation of zero-day flaws in Microsoft Exchange Server earlier this year.

The Department of Justice (DoJ) said that many IT admins have since cleansed their systems of the malicious web shells, which were used for backdoor access to the servers.

“This operation removed one early hacking group’s remaining web shells which could have been used to maintain and e…

An attacker can lock you out of the app using just your phone number and without requiring any action on your partIf you use WhatsApp, you may want to be wary of an attack where cybercriminals could suspend your account using only your phone number.

For context, when you first go through the process of setting up your WhatsApp account on a device, you’re asked for your phone number to which a verification code is sent.

However, there is no way to prevent anyone from using your number in the verification process.

If an attacker were to do that, you would receive calls and messages from WhatsApp with a verification code, together with a notification urging you not to share the registration co…

Reports of another trove of scraped user data add to the recent woes of popular social media platformsIt seems that threat actors are increasingly setting their sights on extracting vast amounts of data from social media platforms.

Barely a few days have passed and Clubhouse, the popular audio-only social media platform, has experienced a sort of incident of its own.

According to Cybernews, which broke the latest story, an SQL database containing scraped personal data of 1.3 million Clubhouse users is up for grabs on a hacker forum.

The records include user IDs, names, usernames, social media handles, photo URLs, account creation dates, and information about who nominated the user to the ap…

Janeleiro banking trojan takes aim at Brazil – Lazarus deploys Vyveva backdoor in South Africa – The long shelf life of leaked dataESET researchers have been tracking Janeleiro, a newly discovered banking trojan that has been targeting companies operating in various sectors in Brazil.

In another dicovery, ESET experts have uncovered a backdoor that they named Vyveva and that was deployed by Lazarus against a freight logistics company in South Africa.

We also discuss the implications of the recent data leak affecting half a billion Facebook users and highlight the fact that most of the data is timeless and could be used for identity theft and various scams.

This time around, the treasure trove of data originates from LinkedIn, although the social networking site says that the records don’t come from a data leak or a breach of its systems.

“This was not a LinkedIn data breach, and no private member account data from LinkedIn was included in what we’ve been able to review,” reads the statement by LinkedIn.

“We have investigated an alleged set of LinkedIn data that has been posted for sale and have determined that it is actually an aggregation of data from a number of websites and companies,” said LinkedIn.

This includes targeted phishing campaigns and social engineering attacks or the leaked data could even be used to perpetrate identity fraud.

…

Some personal information just doesn’t age – here’s what the Facebook data leak may mean for you‘Half a billion Facebook users’ data breached’, this or something very similar is a headline you may have seen in the media in recent days.

Data that contains rich personally identifiable information data could be used to against the victim in identity theft, targeted phishing, social engineering, account takeover, and other scams that could cause significant disruption and damage.

Whereas passwords, which this data did not contain, are likely to have been changed in the last three years.

I would consider such personal data, even without an email address, to be a compromise of my identity and som…

92F5469DBEFDCEE1343934BE149AFC1241CC8497 msobjs.drx Vyveva backdoorVyveva backdoor BF98EA1326E5F8C351E68C79B5D1E0164C7BE728 taskhosts.exe Win32/NukeSped.HV trojanTechnical analysisUp until now, we have managed to find three of the multiple components comprising Vyveva – its installer, loader and backdoor.

Discovery T1083 File and Directory Discovery Vyveva backdoor can obtain file and directory listings.

T1082 System Information Discovery Vyveva backdoor can obtain system information, including computer name, ANSI code page, OS version and architecture.

T1124 System Time Discovery Vyveva backdoor can obtain system time and time zone.

T1025 Data from Removable Media Vyveva backdoor can notif…

Easy to redeem and hard to trace, gift cards remain a hot commodity in the criminal undergroundA cybercriminal has sold almost 900,000 gift cards and over 300,000 payment cards on a top-tier cybercrime forum on the dark web.

“As the payment cards were stolen from a gift card store and both the payment cards and gift cards were sold by the same actor, Gemini assesses with moderate confidence that the gift cards offered for sale were also stolen during the breach of Cardpool.com,” the company said.

Since they’re easy to redeem and tough to track, gift cards are an increasingly popular target for fraud.

A mere day after selling the gift cards, the same cybercriminal offered to sell 330,000 pay…

How can organizations tackle the growing menace of attacks that shake trust in software?

Cybersecurity is only as good as the weakest link, and in a supply chain this could be virtually anywhere.

If you consider a bottle of mineral water, any malicious contamination introduced through its path to the consumer compromises the entire supply chain.

It’s difficult to be confident that every link in any supply chain is tamper free.

In this environment it’s hard to imagine the supply chain being above suspicion.

In the newest version of Janeleiro, version 0.0.3, the developers introduced an interesting encryption/decryption feature using an open-source library called EncryptDecryptUtils.

Initial Access T1566.002 Phishing: Spearphishing Link Attackers send malicious emails that have a download link for Janeleiro malware.

Execution T1204.001 User Execution: Malicious Link Phishing emails sent by the attackers contain a link to download a ZIP archive that holds an MSI installer with Janeleiro malware.

Defense Evasion T1140 Deobfuscate/Decode Files or Information Janeleiro v0.0.2B is obfuscated and its strings are RSA-encrypted.

T1082 System Information Discovery Janeleiro collects information from the…

PHP source code briefly backdoored – Prevent data loss before it’s too late – The perils of owning a smart dishwasher

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Central to creating trust in a digital world is the ability to prove your digital identity – who you are, whether you are interacting in person, online or in app.

Mastercard took steps to advance its identity verification efforts with the acquisition of Ekata for $850 million.

Digital identity is a foundational part of Mastercard’s multi-layered approach to security.

In 2019, the company introduced a new framework on how digital interactions should evolve, as well as how digital identity will build trust, collaboration and economic growth.

Strong identity technology – Ekata has built a core set of identity verification services that helps to provide the backbone of the safety and security o…

Carnegie Mellon University‘s Software Engineering Institute announced the appointment of Gregory J. Touhill as director of the SEI’s CERT Division.

A federally funded research and development center, the SEI helps government and industry organizations develop and operate software systems that are secure and reliable.

The SEI’s CERT Division is known around the world for its culture of innovation in cybersecurity areas such as cyber incident management, malicious software analysis, cyber resilience, insider threat detection and mitigation, and cyber workforce development.

Touhill was appointed by former President Barack Obama to be the first chief information security officer (CISO) of the U…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

We’ve already explored some of the most useful OSINT browser extensions used by security researchers and pen testers, and today we’ll be adding more functionality to your web browsers by exploring the most popular extensions used by bug bounty hunters.

12 most popular browser extensions for bug bounty huntingBefore we dive into our list, make sure you’re running the latest versions of Mozilla Firefox and Google Chrome web browsers (as we’ll be focusing on them today) to ensure compatibility with these extensions.

This list is in no particular order and shows tools with different functionalities to aid in bug bounty hunting.

FoxyProxyIf you’re a bug bounty hunter, a reliable proxy will allow…

The reason for this is simple: when you’re mapping out an asset space for the first time, you still have the potential to find bugs, but so does everybody else mapping out that asset space with similar approaches.

That’s not to say you won’t find bugs, there’s still plenty to find, but this lacks the nuance of regularly performing the same recon on a target space and comparing results.

Understanding recon from a point of depthJust as important as understanding the need to perform recon over time is the need to discuss recon from a point of breadth, or depth.

Wide reconWide recon essentially dictates the mapping of a company’s external perimeter, but not to a depth of those assets themselves…

Whether it’s bug bounty hunting, content creation, skateboarding, or sustainable fashion, STÖK has always found counterculture as his best friend for expressing his creativity.

As a misfit himself, he is one of the loudest voices in the modern bug bounty hunting and hacker scene.

ST: 2020 was a year where you quit your job to be a full-time bug bounty hunter and content creator.

Final wordsWe’re only two days away from the end of Bug Bounty Hunting Month but we have finished it with a bang!

With only two days left, it’s your last chance to grab the Bug Bounty Hunter’s Toolkit at the amazing 50% discount.

Once it’s on the public internet, an open port is like a door—it can be opened or closed.

Therefore, scanning for open ports on your own networks, or on third-party networks as part of any bug bouty programs becomes essential.

How to get massive port scan data for Bug Bounty HuntingThere are a lot of options when it comes to finding the best port scanners available.

Check out more possibilities with DSLv1 query language at the following links:SummaryQuite simply, finding massive port scan data has never been easier—because the DSLv1 feature now makes port data inspection possible, and nearly instant.

Also, combining tools such as BGPView into the DSLv1 feature provides unmatched benefits in…

Today we’re sharing with you that we raised funding to accelerate growing SecurityTrails and building The Total Internet Inventory™ .

Christopher Ahlberg and Bill Ladd from Recorded Future for challenging us and believing in our team.

Steve Miller, who was a fierce competitor in a previous life, for his infectious enthusiasm.

Up until this point we’ve been bootstrapped and this wouldn’t be possible without your support.

On behalf of Courtney, Fred and our entire SecurityTrails team - we’re very excited about the future and here to serve you.

Bug bounty hunters and hackers are not just helping organizations face unknown challenges in the current threat landscape and making the internet safer for everyone.

Providing resources, mentorship, and support is crucial in gaining trust and building relationships with the next generation of security researchers, bug bounty hunters, and professionals.

ST: How did starting your career off in pentesting and then transitioning to bug bounty hunting go?

ST: All of this talk about bug bounty hunting, but what would you do if you didn’t work in infosec/bug bounty hunting?

Grab your Bug Bounty Hunter’s Toolkit today!

In this blog post, we will learn how to find domain-specific information, in the form of associated domains and IP neighbors, using the SecurityTrails API™ as we expand our collective knowledge of the tool and its many capabilities.

Finding associated domains linked to a specific target is central to the idea of extending the attack surface.

Thus, its importance cannot be overstated given the fact that associated domains can expose a significant segment of ancillary infrastructure and actionable data.

Notwithstanding, when it comes to associated domains, not every enumeration tool out there is as comprehensive, recursively-speaking, as the SecurityTrails API™.

Take this opportunity and rece…

They are guided by a strong sense of community and giving back by creating opportunities, tools, and resources for others.

Ben Bidmead, better known as pry, has long been a part of the online cybersecurity community and has selflessly shared content and tools.

ST: Now the hard questions - do you think finding bugs is easier during pentesting or bug bounty hunting?

Bug bounty community really is all about giving back — what do you enjoy the most about being part of the community?

As part of BBHM, we’re giving bug bounty hunters an epic edge with powerful data resources with the Bug Bounty Hunter’s Toolkit.

IP reconnaissance is often the base and a starting point of any security research or bug hunt.

Some tools like our own SecurityTrails SurfaceBrowser™, actively scan and gather information for you, empowering your security research and IP reconnaissance in literally seconds.

How to perform IP reconnaissance for Bug Bounty HuntingLet’s see how anyone can perform a complete IP reconnaissance using SurfaceBrowser™, our all-in-one surface analysis tool:To begin your IP reconnaissance, first head over to your user area and log into your account.

ASNThis section indicates which autonomous system number (ASN) the IP address belongs to, helping to further trace out associated IP ranges and network u…

Bug bounty platformsWhen it comes to bug bounty programs, organizations can set up their own from scratch and manage them internally, with bugs being submitted to them directly.

Bugcrowd has a unique model that combines a traditional pentest with next-gen crowdsourced bug bounty programs, leading the way as one of the most innovative bug bounty platforms out there.

The most popular bug bounty programsTo help you sharpen your skills, challenge yourself and even earn something, take a look at our curated list of the best and most popular bug bounty programs of 2021:IntelRunning since 2017, Intel’s bug bounty program targets their hardware (microprocessors, chipsets, memory, SSD), firmware (BI…

What subdomain mapping is and why it’s importantAnother aspect of the initial OSINT collection procedure that is closely related to host discovery is domain footprinting.

As previously mentioned, these techniques (host and domain discovery) are not necessarily siloed during the initial stages.

Host discovery and subdomain mapping with SecurityTrails APILet’s take the SecurityTrails API for a spin by creating a number of calls in search for host and domain information as if we were tasked with the preliminary discovery phase.

The SecurityTrails API allows you to programmatically access all IP, DNS, WHOIS, and other company-related information available in the SecurityTrails Web Platform and …

Using humour and cleverness to engage, part of Intigriti’s success comes from their relationship with the bug bounty community.

Meanwhile, I began reaching out to my contacts in cybersecurity, educating them on the benefits of continuous crowd security.

Stijn Jans & Inti De Ceukelaire: The US was the first to embrace crowd security.

Stijn: There are many benefits of bug bounty programs, but I’ll try and summarize them into four main points.

Stijn & Inti: The most common myth is, signing up for a bug bounty platform exposes your business to external security threats.

The wait is finally over—SecurityTrails Bug Bounty Hunting Month has officially started!

In our newly released Bug Bounty Hunter’s Toolkit, you can expect:Subdomain enumerationAssociated domainsDNS and WHOIS historical data…and much moreDuring Bug Bounty Hunting Month only, the Bug Bounty Hunter’s Toolkit will be available at an incredible 50% discount.

You will be able to get an access code distributed through our network of partners and friends in the bug bounty hunting community.

The Bug Bounty Hunter’s Toolkit is available exclusively to bug bounty hunters.

Any commercial use beyond bug bounty hunting is not allowed.

That’s why, in the same way that we recently explored Frontend Security Risks and Best Practices, we’re going to explore some of the most common, yet dangerous, risks within your web application’s backend security.

10 Popular Backend Security Risks and How to Prevent ThemThe complete list of backend security risks can be exhaustive, that’s why we’ve summarized some of the most common backend threats we’ve seen in the past.

Data injection risksJust as injection attacks can affect your web application’s frontend, it’s possible to perform injection attacks against your application’s backend too.

Increasing your backend security with ASRv2Wondering how to mitigate some of the security risks we’…

These trojans are code or programs disguised as legitimate programs but behave in a malicious manner, effectively concealing any such execution.

We’ve put together a non-exhaustive list of some of the more common types of trojans; keep in mind that there are many more types and variants out there.

Trojan-DownloaderDownloaders are trojans that download and execute additional malicious programs, including keyloggers, adware or even other trojans onto the infected device.

Trojan-FakeAVFake antivirus trojans pose as legitimate antivirus software you would willingly download from the internet.

Antivirus and antimalware software can detect trojans, but malware authors are constantly adapting and …

Во-первых, нет средств автоматизации, а использование зарубежных разбивается о нестыковки и несовместимость ТТУ и TTP ФСТЭК и MITRE соответственно.

Я пытался, но с ходу так и не вспомнил ни одного проекта, где кто-либо пытался составить перечень возможных сценариев.

Определить же нужные вам техники вы можете либо по отчетам различных ИБ-компаний, либо по сайту MITRE ATT&CK (по списку группировок/нарушителей или используемому ими инструментарию), либо с помощью инструмента CARET.

В методике оценки угроз написано, что вы вполне имеете право использовать и MITRE ATT&CK в том числе.

В методике оценки угроз написано, что вы вполне имеете право использовать и MITRE ATT&CK в том числе.

Начал я с трансляции 11-го приложения документа ФСТЭК в более привычный по ATT&CK и более удобный Excel-формат для работы с таблицами (результат выложил у себя в Telegram-канале).

Дальше у меня была 2 простых идеи; раз уж я не участвовал в работе над последней редакцией методики.

Во-первых, я подумал смаппировать ТТУ (тактики и техники угроз) по методике ФСТЭК с TTP (tactics, technics and procedures) по MITRE.

В ATT&CK это уже две техники - T1590.002 (сбор сетевой информации о цели - DNS) и T1596.001 (поиск в открытых базах данных - DNS/Passive DNS).

Правда, что делать российским вендорам, которые активно работают на зарубежных рынках и которые поддерживают в своих решениях именно MITRE ATT…

Как важно следовать этому при состалении различных нормативных и нормативно-правовых актов, которые устанавливают обязательные требования и которые не должны допускать двойных и даже тройных толкований.

Вот я и решил попробовать пропустить через проект АНО "Информационная культура" несколько типовых образчика нормативных требований по ИБ, выпущенных из под пера наших регуляторов - ФСТЭК, ФСБ и ЦБ.

Уровень читабельности 716-ПУ ФСТЭК ситуация тоже далека от идеала.

Например, уровень читабельности приказа 196-го по требованиям к средствам ГосСОПКИ выглядит так:А есть примеры абсолютно читабельного текста?

Все-таки читабельность текстов и в их интересах - меньше критики, меньше вопросов, меньше…

На прошедшем эфире AM Live, посвященном киберучениям, о котором я написал отдельно, но в Фейсбуке, в рамках проводимого опроса четверть респондентов ответило, что хотело бы получить набор готовых сценариев для проведения киберучений.

После увольнения бывший админ (разработчик) входит в ИТ-системы бывшего работодателя и крадет информацию, нарушая целостность всех баз данных и их резервных копий.

Сложно в том, что вам придется выйти за рамки службы ИБ и ИТ и проверять взаимодействие между разными подразделениями, да еще и общаться с их руководством, а не техническими специалистами.

Проще в том, что не нужны никакие серьезные полигоны, - достаточно просто разработать сценарий и перенести его в…

Страна просыпается от изоляции, организаторы мероприятий выходят из онлайн-спячки и начинают планировать очные мероприятия по ИБ.

Пришло время и мне вернуться к ведению списка значимых мероприятий по ИБ, о которых уже известно, что они будут проходить в очном формате в этом году.

Сразу отмечу, что список носит сугубо субъективный характер и не претендует на полноту (многие региональные мероприятия в нем вообще отсутствуют).

Кроме того, мне известны планы по запуску еще нескольких конференционных проектов, которые могут стать знаковыми и повторяющимися для России, но говорить о них пока рано.

Однако, как только сведения о них станут доступны, я сразу внесу их в список.

В документе отсутствует переходный период и вопрос, как быть если модель угроз сейчас на согласовании в ФСТЭК, никто ответить не может.

Упоминаемый по тексту методики STIX - это язык описания угроз, а не их база/источник, как CAPEC и т.п.

Вот что мешало ФСТЭК проект новой методики натянуть на какую-либо систему и сделать частную модель угроз?

Классификация источников угроз противоречит ранее выпущенным ГОСТам ФСТЭК и в методике вообще нет отсылок ранее принятых ТК362 ГОСТов.

Мы проделали кучу работы, результаты которой мы не используем и которые ни на что не влияют.

ФСТЭК разрабатывает сейчас (на финишной прямой) руководящий документ к таким средствам, который будет ориентирован только на разработчиков и испытательные лаборатории.

Сначала надо принять РД, потом поправки в 17-й приказ, а потом уже и в методичку внести изменения.

Все требования будут едины и применяться, что к ГИС 3-го класса, что к ГИС 1-го, что к ЗОКИИ 3-го уровня, что 1-го.

из зала, как защищать "информацию ДСП" и в соответствие с чем, от представителя ФСТЭК последовал очевидный ответ - "в соответствие с 17-м приказом".

ТАРМ размещается в ГЕОПе (гособлако) и доступ к нему как раз обеспечивается с помощью сертифицированного в ФСТЭК средства безопасной удаленной работы.

Если изменилась информация о лице, эксплуатирующем ОКИИ, то об этом надо оповестить ФСТЭК в 30-тидневный срок.

Аналогичная ситуация и в случае выведения из эксплуатации значимых и незначимых объектов - уведомлять ФСТЭК надо как и при любом изменении объекта КИИ.

Если организация принимает решение о переводе незначимого ОКИИ в значимые, то необходимо направить информацию об этом в ФСТЭК, в которой должно быть соответствующее обоснование.

На конференции "Актуальные вопросы защиты информации" Шевцов Д.Н., отвечая на вопросы из зала, отметил, что ФСТЭК постепенно переходит на отечественное ПО и оборудование, следуя курсу на импортозамещение.

Конечно, с оговорками на то, как эту пользу понимает …

Диалог получился конструктивным, хотя и не на все вопросы были получены четкие ответы, что объяснимо и ниже я попробую про это написать.

Хотя мне кажется, что это позволило бы снять остроту многих проблем и наладить диалог регулятора не с узким кругом лицензиатов и экспертов, а с отраслью.

Привлечение экспертов для экспертизы документов никто не отменял и ФСТЭК планирует и дальше привлекать специалистов для такой работы.

Контролем использования отечественного ПО и отечественных средств защиты на объектах КИИ, как и вообще импортозамещением, ФСТЭК заниматься не будет.

Как минимум, ФСТЭК видит необходимость поправить терминологию в части того, кого считать субъектом КИИ и что такое объект КИИ…

Ой, что это я, мы же про безопасность говорим.

Думаю именно поэтому я не так часто вижу хорошо реализованные проекты по измерению и визуализации ИБ (да и плохо тоже).

Не любят у нас показывать результаты своей работы, которые в ИБ не всегда такие уж и положительные.

Но вернемся к измерениям своего "плохого поведения" (в еде ли, или в ИБ).

Решил я тут поддаться модному поверью, называемому гитхабизации ИБ (на русском), и запустить новый Telegram-канал по метрикам ИБ (Cyber Security Metrics).

Я бы хотел посмотреть на эту проблему немного с иной стороны, а именно с точки зрения информационной безопасности и соблюдения госорганами требований законодательства по ИБ.

Обратите внимание, в первой части этой статьи говорится о любых информационных системах, а не только о государственных ИС.

По сути код такого трекера напоминает чужой контейнер или библиотеку, которую мы используем в своем ПО.

Тот же Google Crashlytics, который используется многими государственными мобильными приложениями собирает не только уникальный идентификатор устройства, геолокацию, данные об использовании приложения, но и в ряде случаев e-mail.

Интересно, что скажут на этот счет регуляторы, призванные следить за …

Почему ФСТЭК по примеру зарубежных регуляторов по ИБ не запишет бесплатные курсы для дистанционного самостоятельного изучения и не выложит их на свой сайт?

Если ФСТЭК в процессе надзора найдет нарушения правил эксплуатации КИИ, будет ли информация об этом передаваться следователям для возбуждения уголовного дела?

Когда будет обновлена БДУ ФСТЭК и в описания угроз будут включены техники, тактики и процедуры реализации угроз?

Но это явно далеко неполный перечень того, что "болит" у специалистов по ИБ и на что могла бы дать ответа ФСТЭК.

Мне приятно сообщить, что ФСТЭК в лице ее замдиректора, Лютикова Виталия Сергеевича, готова ответить на вопросы отрасли.

Если вы не знаете, что вы будете делать в какой-либо из пяти ситуаций, то можно прочитать какую-нибудь умную книжку или пройти на курсы по промышленной ИБ.

Собравшись в команды, вы сможете сообща найти ответы на эти и многие другие вопросы, с которыми службам ИБ приходится сталкиваться ежедневно.

Но свято место пусто не бывает и в хорошем месте пройдет другое мероприятие по ИБ, организуемое медиа-группе Авангард.

Если же вы знаете, что вы будете делать в описанных выше пяти кейсах (а на киберучениях будет представлено больше разных реальных ситуаций), то отлично.

Надеюсь, что и соответствующие регламенты по реагированию на них у вас подготовлены и протестированы.

В мае я уже писал про проекты двух примечательных по своей значимости и некомпетентности проектов нормативных актов, которые обязывают всех субъектов КИИ перевести все свои объекты КИИ на отечественное ПО и железо.

Требования касаются не только нового ПО и железа, но и уже установленного на объектах КИИ.

На все про все осталось 5 с небольшим (!)

Знаю кейс, когда именитому вендору отказали во включении в реестр Минцифры именно по причине отсутствия сертификата (хотя предыдущая версия ПО в этом реестре была).

Нет, все не так печально.

На выходных обновил и дополнил свои тулкиты (набора документов) по внедрению СУИБ и соответствию требованиям GDPR, которые собираю на Патреоне.Посмотреть их состав и скачать документы можно тут:GDPR Implementation Toolkit, v.3.0 - https://www.patreon.com/posts/41151893GDPR Intro Toolkit, v.2.0 - https://www.patreon.com/posts/47803689ISMS Implementation Toolkit, v.2.1 - https://www.patreon.com/posts/47806655Auditor's Toolkit, v.1.0 - https://www.patreon.com/posts/44215838Поддержите этот проект и подписывайтесь на мой Патреон!

Я уже больше года выкладываю свои документы по ИБ на Патреон (доступ по платной подписке), и вот список самых лучших из них:Дорожная карта по внедрению СУИБ, https://www.patreon.com/posts/34193352Рекомендации по внедрению СУИБ и подготовке к аудитам, https://www.patreon.com/posts/30627529Большая и подробная майндкарта по аудиту СУИБ, подготовленная по итогам прохождения курса ведущего аудитора по ISO27001, https://www.patreon.com/posts/44005904Перечень документов и процессов СУИБ, https://www.patreon.com/posts/30651713Майндкарта по стандарту ISO 19011, https://www.patreon.com/posts/32391752Одностраничный документ с основными положениями GDPR, https://www.patreon.com/posts/30623162Дорожная к…

На праздничных выходных я прочитал и законспектировал официальный мануал для подготовки к экзамену CDPSE (Certified Data Privacy Solutions Engineer) от ISACA, и сегодня расскажу вам о нем.1. Книга стоит 105$ для членов ISACA и 135$ для всех остальных.2. Это совсем свежая книга, ее опубликовали примерно месяц назад. Но до этого ISACA уже выпускала несколько больших книг по privacy. Например, "Implementing a Privacy Protection Program: Using COBIT 5 Enablers With ISACA Privacy Principles".3. Странно, но этот учебник ISACA предлагает не в формате pdf, который удобно читать на любом устройстве, а выдают лишь ссылку, которую можно открыть лишь в защищенном формате в Adobe Digital Edition. Каких-…

Начало года отмечено новым рекордным штрафом за нарушение требований GDPR при использовании систем видеонаблюдения (CCTV): 10,4 млн.евро штрафа для notebooksbilliger.de. Для себя составил вот таблицу со всеми известными мне штрафами по этой теме. Нарушения стандартные: нарушение баланса интересов, слишком длительное хранение данных, несоответствие обработки целям и избыточный сбор данных.Ссылки на все штрафы выложены на моем Патреоне - https://www.patreon.com/posts/gdpr-fines-video-46114870Там же есть и мои детальные рекомендации по использованию CCTV (и легализации этого процесса) - https://www.patreon.com/posts/39537997И большая презентация "Employee Monitoring and Privacy" - https://www.…

Целью этой стратегии является укрепление коллективной устойчивости Европы к кибер-угрозам и обеспечение того, чтобы все граждане и предприятия могли в полной мере воспользоваться преимуществами надежных и заслуживающих доверия услуг и цифровых инструментов.

А также положения об объединенном сообществе (Joint Cyber Unit) для обмена информацией об угрозах и оказания помощи в реагировании.

Планы по перезапуску и усилению CERT-EUВ отдельное приложение выделены меры по безопасности сетей 5G.

На ближайшие 7 лет запланировано очень много важных и полезных изменений...А вот, кстати, официальный QnA по стратегии - https://ec.europa.eu/commission/presscorner/detail/en/QANDA_20_2392P.S.

Помимо этого с…

Сегодня я посетил вебинар - встречу с новым финским Омбудсменом по защита персональных данных (the Data Protection Ombudsman) и после этого решил в очередной раз сравнить европейский подход (GDPR и ePrivacy) с подходом российского РКН (152-ФЗ). Для этого я пересмотрел запись публичного семинара для операторов ПДн от РКН, который прошел 26 ноября 2020.Меня очень порадовало, что Контемиров Юрий Евгеньевич (начальник Управления по защите прав субъектов ПДн) в этот раз отдельно рассказал про отношение РКН к GDPR. Приведу текст выступления практически полностью, чувствую, что он еще пригодится:1. GDPR к деятельности российских компаний может применяться в исключительных случаях. 2. Российский оп…

Пару недель назад я прошел 5-дневное обучение по курсу ISMS ISO 27001:2013 Lead Auditor (Ведущий аудитор систем управления информационной безопасностью по стандарту ISO 27001) и сегодня расскажу вам о нем.Что это такое и зачем это надо?По сути, это обучение является обязательным шагом для получения статуса ведущего аудитора по ISO 27001. Соответствующий статус необходим аудиторам для проведения сертификационных аудитов СУИБ (это может быть довольно неплохой работой / подработкой для специалистов по ИБ), а также часто требуется для внутренних аудиторов, внешних аудиторов (при аудитах второй стороны (подрядчиков и партнеров)) или внешних консультантов. Однако он заточен именно на стандарт ISO…

Попробовал свести в одну майндкарту важные управленческие модели, которые могут быть полезны руководителям департаментов и консультантам по информационной безопасности, а также инспекторам по защите персональных данных (DPO). На удивление, получился очень большой перечень. Держите майндкарту и общий список.Вот общий список:Strategy1. Governance by COBIT2. SWOT3. GAP analysis and Benchmarking4. Hype Cycle5. Components by COBIT (ex.Enablers)6. McKinsey 7-S FrameworkObjectives, KPIs and metrics7. Balanced Scorecard (BSC)8. Goal Cascade by COBIT9. ISO 27001 for IS objectives10. SMART11. Metrics12. Metric Life CycleProcesses13. PPT Triangle14. RACI chart CI Cycles15. PDCA16. OODA17. COBIT Implem…

Некоторые европейские надзорные органы, например, Финский DPA, не рекомендуют совмещать роли CISO и DPO из-за возможного конфликта интересов. Посветил этой проблеме 1 слайд в своей новой презентации "Employee Monitoring and Privacy", которую выложил на Патреон:

Выложил на Патреон детальную майндкарту для ИТ стартапов, которые планируют работать в ЕС и соответствовать GDPR - https://www.patreon.com/posts/43224350Кратко она выглядит так:

Недавно была опубликована свежая статистика по выданным сертификатам ISO, ISO Survey 2019. Выбрал самое важное.Общее количество выданных сертификатов на 31.12.2019, рост на 3.8% по сравнению с 2018 годом:Количество сертификатов по ISO 27001 выросло за год на 14%.Топ 10 стран по количеству сертификатов ISO 27001:China - 8356Japan - 5245United Kingdom of Great Britain and Northern Ireland - 2818India - 2309Italy - 1390Germany - 1175Spain - 938Netherlands - 938United States of America - 757Turkey - 729В России - 81, в Финляндии - 66.Больше всего сертификатов в отрасли ИТ - 8562.

Подготовил небольшую таблицу с ответом на вопрос "какие стандарты и лучшие практики использовать для защиты персональных данных". Есть из чего выбрать...Все ссылки и pdf-файл доступны мои подписчикам на Патреон - https://www.patreon.com/posts/42520555

Обновил и выложил на Патреон (платная подписка) все свои майндкарты по стандартам и "лучшим практикам", которые использую в своей работе. Держите весь список:ISMSISO 27001:2013 - https://www.patreon.com/posts/32914010The ISF Standard of Good Practice for Information Security 2020 (SoGP) - https://www.patreon.com/posts/36496886NIST SP 800-53 rev.5 "Security and Privacy Controls for Federal Information Systems and Organizations" - https://www.patreon.com/posts/42255805AuditISO 19011:2018 Guidelines for auditing management systems - https://www.patreon.com/posts/32391752Data Protection and PrivacyGDPR - https://www.patreon.com/posts/30623884One-page document with key points of GDPR - https://w…

У меня на Патреоне (платная подписка) опубликованы 2 документа, раскрывающие требования и рекомендации по легитимному использованию систем видеонаблюдения в контексте защиты персональных данных и выполнения требований GDPR (в частности, ограничения по размещению камер, необходимые уведомления, ограничения по длительности хранения и все такое). В принципе, на них стоит ориентироваться и при обработке ПДн по 152-ФЗ.CCTV and GDPR (checklist) - https://www.patreon.com/posts/39537997The 12 guiding principles in the Surveillance Camera Code of Practice - https://www.patreon.com/posts/41607308

Привет! Этим летом я пересмотрел и обновил все документы, входящие в мой комплект GDPR Implementation Toolkit, а также разработал несколько новых. Теперь все документы выровнены друг с другом, оформлены в одном стиле и актуализированы с учетом новых рекомендаций надзорных органов. Скачать их могут мои подписчики на Патреоне (платная подписка) - https://www.patreon.com/posts/gdpr-toolkit-2-0-41151893

Снятая в 2020 году блокировка Telegram, видимо, положительно сказалась на популярности чатов и каналов - отрицательной динамики за прошедший год практически ни у кого нет за редким исключением.

В рейтинге самых популярных чатов на первом месте теперь RouterOS Security, набрать аудиторию которому сильно помог недавний нашумевший пост на Хабре. На втором месте - многострадальный КИИ 187-ФЗ, потерявший администраторов и живущий теперь по принципам полной самоорганизации, страдая периодически от спама и ботов. При этом участники не спешат его покидать, хотя альтернатива есть и состав модераторов там вполне адекватный: @FZ187KII.

Отсечку в 100 пользователей менять не стал, так что итоговый списо…

Традиционно с началом нового года начинают действовать и новые изменения в законодательстве. Ниже собрал основные нововведения, так или иначе касающиеся информационных технологий. Ссылки на первоисточники - в конце поста.

Молодым специалистам «откроют» только электронные трудовые книжки

Россиянам, впервые поступившим на работу, больше не будут оформлять бумажные трудовые книжки. Переход на электронные трудовые книжки начался в России в 2020 году. До 31 декабря этого года каждый работник должен принять решение — хочет ли он оставить бумажную трудовую книжку или перейти на электронную, и в письменном виде проинформировать о сделанном выборе отдел кадров. Если сотрудник откажется от бумажной т…

Нестандартный по формату проводимых мероприятий 2020 год под конец ознаменовался целой чередой попыток провести что-то большее, чем очередной типовой вебинар по информационной безопасности, в коих и в прошлые годы недостатка не было.

Пишу попыток, так как далеко не все мероприятия можно признать удачными. Ниже кратко перечислю те, в которых принял участие (не как слушатель), и отмечу их особенности.

Безопасная среда

30 сентября принимал участие в проекте “Безопасная среда” коллег из ЭКСПО-ЛИНК, где прочитал короткий доклад про особенности мониторинга информационной безопасности для АСУ ТП.

Чем отличалось от типового вебинара? доклад предварялся разговором на заданную тему нескольких приглаш…

Вышел в свет свежий выпуск журнала «CONNECT. Мир информационных технологий», с темой номера “Защита КИИ в отраслевом разрезе. О практической реализации требований № 187-ФЗ в отраслях”.

Открывает раздел моя статья: Субъекты КИИ: торопитесь не торопясь!

Правда, изначально тема звучала как “Общее состояние дел с выполнением требований законодательства в области защиты КИИ”, но редактору виднее =)

По приведённой выше ссылке на сайте издательства CONNECT качество иллюстраций в статье не самое лучшее, что особенно обидно для схемы, так что вот отредактированный авторский вариант: pdf, speakerdeck.com, slideshare.net.

Текст, к слову, подвергся минимальным правкам, но за время, пока публикация гото…

Рейтинг CNews Security: Крупнейшие компании России в сфере защиты информации публикуется с 2003 года, но только по итогам 2006 года, правда, сразу две компании, перешагнули годовую выручку в 1 миллиард рублей. Этими двумя компаниями были Информзащита и Лаборатория Касперского, которая в то время в свой отчёт ещё включала выручку ИнфоВотч.

Следующими в клуб миллиардеров вступили тоже сразу две компании: ЛЕТА и Эр-Стайл, но сделали они это только два года спустя. Обе эти компании в рейтинге CNews Security больше не участвуют. О причинах (наблюдая со стороны) можно только догадываться, но, видимо, дело в не самых ярких показателях.

Аналитики CNews не раскрывают состав стоящих за брендами юриди…

На организованной Гротек в сентябре онлайн-конференции “Кибербезопасность АСУ ТП критически важных объектов” одним из докладчиков выступил Алексей Валентинович Кубарев, заместитель начальника управления ФСТЭК России.

Доклад его мне представляется важным - как минимум с той точки зрения, что понятным человеческим языком сформулированы основные тезисы и даны ответы на многие вопросы и конкретную критику в адрес ФСТЭК России.

Взял на себя смелость в связи с этим улучшить монтаж исходного ролика, заодно заменив изображения слайдов на более качественные из публично доступной презентации. Впрочем, так как формат видео не слишком удобен для последующего оперативного поиска нужного ответа, решил вы…

По приглашению коллег из ЭКСПО-ЛИНК принял участие в их проекте “Безопасная среда” и прочитал короткий доклад про особенности мониторинга информационной безопасности для АСУ ТП.

Постарался перечислить основные сложности практического создания систем мониторинга для промышленных сегментов, а также варианты их (сложностей) нивелирования.

Запись велась и после обработки будет выложена на YouTube, а пока делюсь своей презентацией. Другие записи моих выступлений можно посмотреть здесь: https://zlonov.com/speeches/.

Знаете ли вы, что сегодня создать поддельное (deepfake) видео можно буквально за полчаса, не обладая при этом никакими специальными знаниями и не имея в своём распоряжении никаких особых вычислительных мощностей?

Само преобразование выполняется с помощью Wav2Lip, онлайн-демо которого можно протестировать на этой странице: https://bhaasha.iiit.ac.in/lipsync/.

Правда, у меня так и не получилось подобрать нужные исходные файлы, не приводящие к появлению ошибки: 413 Request Entity Too Large .

Так что пришлось воспользоваться чуть более сложным, но зато сработавшим вариантом на базе Google Colab.

Ну, и не могу не воспользоваться случаем процитировать вот этот свой твит:

Знаете ли вы, что сегодня создать поддельное (deepfake) видео можно буквально за полчаса, не обладая при этом никакими специальными знаниями и не имея в своём распоряжении никаких особых вычислительных мощностей?

Вот пример наложения слов персонажа Глеба Жеглова на выступление глубоко уважаемого мной Виталия Сергеевича Лютикова, который, надеюсь, не будет в обиде за этот невинный ролик =) Не самый впечатляющий результат, но зато единственные специальные утилиты, которые потребовались для создания этого видео - это браузер и простейший видеоредактор (и то только для нарезки исходных материалов). Всё остальное было сделано онлайн.

Само преобразование выполняется с помощью Wav2Lip, онлайн-демо…

Помню, как на заре становления темы ИБ АСУ ТП в России на меня произвело впечатление решение от одной компании, предлагающей специализированные промышленные межсетевые экраны с встроенной функцией VPN.

Экран как экран, VPN как VPN, но особенностью решения был аппаратный (физический) ключ, поворот которого исключал возможность удалённого подключения.

Позиционировалось этот как некая гарантированная защита от злоумышленников/разгильдяев как с легальным доступом, но, например, получающих доступ вне рамках установленной процедуры, так и от внешних злодеев (читай — хакеров).

Оперативно на сайте производителя подобных решений в современной линейке его оборудования найти не удалось, так что ссылок…

Помню, как на заре становления темы ИБ АСУ ТП в России на меня произвело впечатление решение от одной компании, предлагающей специализированные промышленные межсетевые экраны с встроенной функцией VPN.

Экран как экран, VPN как VPN, но особенностью решения был аппаратный (физический) ключ, поворот которого исключал возможность удалённого подключения.

Позиционировалось этот как некая гарантированная защита от злоумышленников/разгильдяев как с легальным доступом, но, например, получающих доступ вне рамках установленной процедуры, так и от внешних злодеев (читай - хакеров).

Оперативно на сайте производителя подобных решений в современной линейке его оборудования найти не удалось, так что ссылок…

Традиционный обзор новинок Государственного реестра сертифицированных средств защиты информации (СрЗИ) в этот раз будет не квартальным, а сразу полугодовым.

Средства сетевой защитыМежсетевые экраны (МЭ) — традиционно самый широко представленный тип средств защиты информации в реестре ФСТЭК России.

:№4228 — модуль доверенной загрузки Numa Arce Соответствует требованиям документов: Требования к СДЗ, Профиль защиты СДЗ(базовой системы ввода-вывода четвертого класса защиты.

ИТ.ОС.А2.ПЗ)№4220 — операционная система Аврора Соответствует требованиям документов: Требования доверия(4), Требования к ОС, Профиль защиты ОС(А четвертого класса защиты.

ИТ.ОС.А4.ПЗ)Корпоративнные и офисные приложения№4211…

Традиционный обзор новинок Государственного реестра сертифицированных средств защиты информации (СрЗИ) в этот раз будет не квартальным, а сразу полугодовым. Так что и новых сертификатов (выданных на серию) сегодня больше обычного - 50 штук.

Вот они, разбитые на отдельные (весьма условные, правда) подгруппы.

Средства сетевой защиты

Межсетевые экраны (МЭ) - традиционно самый широко представленный тип средств защиты информации в реестре ФСТЭК России. При этом отдельные решения (Check Point, FortiGate, Dionis DPS) одновременно совмещают в себе ещё и функции систем обнаружения вторжений (СОВ), а, например, Trend Micro Deep Security 10 дополнительно к МЭ и СОВ является сертифицированным средством…

На Rusprofile.ru (независимый источник информации о российских организациях) размещена бухгалтерская отчетность компаний за 2019 год.

Так что можно, не дожидаясь очередного отчёта CNews 100 или рейтинга TAdviser, бегло оценить, как обстоят дела у подрядчиков/конкурентов/партнёров с финансовым положением.

Например, если взять юридические лица, упомянутые в отчёте Anti-Malware.ru Сравнение токенов с аппаратной поддержкой алгоритмов ГОСТ и сертификатом ФСБ, то можно получить некоторое представление о тенденциях и перспективах отечественного рынка аппаратных токенов. Юрлицо

Токен

Выручка 2018, млн руб

Выручка 2019, млн руб

Дельта АО «Актив-софт»

Рутокен S, РУТОКЕН ЭЦП 2.0

1168

1231

5 % ISBC Gro…

На правах рекламы:14 апреля коллеги из Positive Technologies будут показывать свою новую версию песочницы PT Sandbox и разыгрывать бесплатный билет на Positive Hack Days!Фичи PT Sandbox 2.2:• расширили список ПО в виртуалках «из коробки», сделали среду реалистичнее;• завезли «приманки» для злоумышленников;• теперь можно тратить меньше ресурсов на внедрение и поддержку.Помимо этого обещают обзор рынка песочниц, прогнозы на 2021 год с точки зрения кибератак и дискуссию про возможные пути развития технологий в песочницах.Зарегистрируйтесь, чтобы не пропустить мероприятие и, кроме того, принять участие в розыгрыше бесплатного билета на Positive Hack Days!

Article: Новые взломы на Pwn2Own 2021: побеждены Ubuntu Desktop, Windows 10, Zoom и кое-что еще> https://habr.com/ru/company/selectel/blog/550182/

​Делать Infrastructure-as-code (IaC) сейчас модно, главное предварительно ознакомиться с лучшими практиками и не забыть подумать о безопасности. Для последнего существует несколько бесплатных утилит, как для конкретного решения, так и комплексных (например [checkov](https://github.com/bridgecrewio/checkov)). Компания Checkmarx, многим известная своим SAST решением для анализа исходного кода, тоже решила сделать вклад в комьюнити и выпустила собственное opensource решение для статического анализа конфигураций — Keeping Infrastructure as Code Secure (KICS).Поддерживает: Terraform, Kubernetes, Docker, Ansible, Helm и AWS CloudFormation.А еще есть неплохая документация и запланированный на 15 а…

​На правах рекламы: Обучающие вебинары VMware продолжаются.Если вы еще думаете, что VMware это про виртуализацию — вы сильно заблуждаетесь, портфель компании давно включает решения в области сетей, информационной безопасности, мониторингу и запуску приложений, облачных технологий, миграции, организации удаленной работы и пр.Каждый вторник и четверг с 16 марта по 1 июня, в 11:00 по МСК, на вебинарах VMware будут рассказывать:• какие новые технологии в области виртуализации и информационной безопасности нас ждут;• про организацию сети предприяти и подход реализации ИБ в SDDC;• какие инструменты есть у VMware для управления частными и гибридными облаками;• почему важно следить за использование…

​На правах рекламы:VMware приглашает принять участие в обучающих вебинарах.Если вы еще думаете, что VMware это про виртуализацию — вы сильно заблуждаетесь, портфель компании давно включает решения в области сетей, информационной безопасности, мониторингу и запуску приложений, облачных технологий, миграции, организации удаленной работы и пр.Каждый вторник и четверг с 16 марта по 1 июня, в 11:00 по МСК, на вебинарах VMware будут рассказывать:• какие новые технологии в области виртуализации и информационной безопасности нас ждут;• про организацию сети предприяти и подход реализации ИБ в SDDC;• какие инструменты есть у VMware для управления частными и гибридными облаками;• почему важно следить …

На прошлой неделе у PortSwigger вышел неплохой материал для любителей поковыряться в OAuth2 и OIDC. Рассмотрены три новые уязвимости для демонстрации которых используются опенсорсные реализации OAuth и OpenID Connect — ForgeRock OpenAM и MITREid Connect.> https://portswigger.net/research/hidden-oauth-attack-vectorsДля большего погружения в тему работы OAuth/OIDC, их реализации, известных атак и безопасности:https://portswigger.net/web-security/oauthhttps://portswigger.net/web-security/oauth/openidhttps://www.polarsparc.com/xhtml/OAuth2-OIDC.htmlhttps://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1https://maxfieldchen.com/posts/2020-05-17-penetration-test…

001_07.03.21 - Account Hijacking

1. Брутфорс аккаунта- прямой (безлимит)- горизонтальный- cred stuffing2. Брут пинкодов- брут в “лоб” - брут с ротацией IP- запрашиваем от 1+кк аккаунтов код и пробуем один и тот же код3. восстановление акков- подмена хоста на восстановлении- смена пароля или емейла без CSRF- раскрытие токена при восстановлении акка4. oauth- привязка без CSRF (state)5. мобилки- одинаковая схема6. session confusion7. cache deception8. логические баги (слушайте эфир)9. доп скопы в oauth10. юз одного токена к чужому акку

На правах рекламы:MaxPatrol VM: обзор решения нового поколения25 марта Positive Technologies продемонстрирует свой новый продукт ― систему управления уязвимостями MaxPatrol VM. Вы увидите, как MaxPatrol VM помогает специалистам по ИБ решать главную задачу: защитить компанию так, чтобы злоумышленникам стало сложно и невыгодно ее ломать.Эксперты Positive Technologies расскажут:• как с помощью системы оперативно выявить важные IT-активы, правильно приоритизировать уязвимости и контролировать их устранение,• как работать с трендовыми уязвимостями,• чем новое решение отличается от других средств анализа защищенности.Зарегистрироваться на мероприятие

Вчера на хабре вышла неплохая статья про ошибки в конфигурации Nginx без указания авторства, но на самом деле это просто перевод материала годичной давности, написанный командой Detectify, которые и проводили это исследование. Кстати, в феврале этого года Франс Розен, один из исследователей Detectify, опубликовал продолжение, рассмотрев некоторые новые проблемы в конфигурациях веб-серверов и лишний раз напомнил всем об утилитке Gixy для статического анализа мисконфигов Nginx.Раз> https://blog.detectify.com/2020/11/10/common-nginx-misconfigurations/Два> https://labs.detectify.com/2021/02/18/middleware-middleware-everywhere-and-lots-of-misconfigurations-to-fix/Три> https://habr.com/ru/company…

На правах рекламы:Сетевые песочницы: Ваш опытPositive Technologies проводит исследование о том, как ИБ-специалисты используют продукты класса Sandbox (песочница) и просят анонимно ответить на несколько вопросов: какие задачи и каким образом решают, находят ли реальные угрозы и пр.Если вы работаете с сетевой песочницей любого вендора, предлагаю помочь коллегам и поделиться своим опытом по ссылке:https://ru.surveymonkey.com/r/2ZG3MRYОтчет по результатам исследования будет опубликован на сайте Positive Technologies.

#рекламаЦентрализованный контроль доступа в сеть. Внедрять или нет?В последнее время для подавляющего большинства организаций вопрос сетевой безопасности встал очень остро. Усугубляет эту ситуацию усложняющиеся механизмы и способы проникновения злоумышленников в сеть. Стандартной защиты периметра уже недостаточно! Важно контролировать все типы подключений, а также знать, что за устройства подключены, безопасны ли они и отвечают ли требованиям ИТ-инфраструктуры?Приглашаем посмотреть небольшой 20-минутный вебкаст, где технический директор компании CBS на примере системы Cisco ISE рассказывает, стоит ли внедрять централизованный контроль доступа в сеть.Из вебкаста вы узнаете:🔹 как оценивать со…

Вчера в одном профильном чатике возникла любопытная дискуссия на тему того, нужен ли в современных реалиях WAF. Тема изъезженная, и тем не менее всегда есть, что обсудить. Были озвучены десятки «ЗА» и «ПРОТИВ», и вот пожалуй самые интересные из них:ЗА- Виртуальный патчинг WAF позволяет закрыть что-то экстренное, когда у разработчиков на это нет времени.- Сложно постоянно полагаться на качество кода вашей команды разработки, завтра может произойти что угодно: от ухода всей команды, до каких-то «срочных» нововведений по запросу от менеджмента. - Не стоит забывать, что появление багов и уязвимостей циклично, одного харденинга будет недостаточно.- Какой бы «тупой» WAF не был, он всегда мешает, …

оп

Новые место и дата ZN 2021 📢Ничто не заменит нам энергию живого общения! Поэтому ZeroNights приглашает вас отметить свое десятилетие офлайн в неформальной обстановке эпохи цифровой революции.В этом году конференция пройдет 30 июня в пространстве «Севкабель Порт» г. Санкт-Петербург. Открыта ранняя регистрация. Промокод EARLYBIRD на скидку 20% действует до конца марта.Сайт: https://zeronights.ru/

The Washington Post has published a long story on the unlocking of the San Bernardino Terrorist’s iPhone 5C in 2016.

We all thought it was an Israeli company called Cellebrite.

It was actually an Australian company called Azimuth Security.

[…]Using the flaw Dowd found, Wang, based in Portland, Ore., created an exploit that enabled initial access to the phone ­ a foot in the door.

And then he linked that to a final exploit that another Azimuth researcher had already created for iPhones, giving him full control over the phone’s core processor ­ the brains of the device.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

DNI’s Annual Threat AssessmentThe office of the Director of National Intelligence released its “Annual Threat Assessment of the U.S. Intelligence Community.” Cybersecurity is covered on pages 20-21.

Nothing surprising:Cyber threats from nation states and their surrogates will remain acute.

States’ increasing use of cyber operations as a tool of national power, including increasing use by militaries around the world, raises the prospect of more destructive and disruptive cyber activity.

During the last decade, state sponsored hackers have compromised software and IT service supply chains, helping them conduct operations — espionage, sabotage, and potentially prepositioning for warfighting.

T…

Upcoming Speaking EngagementsThis is a current list of where and when I am scheduled to speak:The list is maintained on this page.

Posted on April 14, 2021 at 12:30 PM • 0 Comments

Even if the vulnerabilities were patched, the shell would remain until the network operators removed it.

On Tuesday, the FBI announced that it successfully received a court order to remove “hundreds” of these web shells from networks in the US.

And then if the FBI got a court order to fix all the locks to remove the master passkey capability.

In any case, it’s not what we normally think of when we think of a warrant.

The links above have details, but I would like a legal scholar to weigh in on the implications of this.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Backdoor Added — But Found — in PHPUnknown hackers attempted to add a backdoor to the PHP source code.

It was two malicious commits, with the subject “fix typo” and the names of known PHP developers and maintainers.

They were discovered and removed before being pushed out to any users.

But since 79% of the Internet’s websites use PHP, it’s scary.

Posted on April 9, 2021 at 8:54 AM • 0 Comments

Google’s Project Zero discovered, and caused to be patched, eleven zero-day exploits against Chrome, Safari, Microsoft Windows, and iOS.

They caught the attention of cybersecurity experts thanks to their scale, sophistication, and speed.

[…]It’s true that Project Zero does not formally attribute hacking to specific groups.

But the Threat Analysis Group, which also worked on the project, does perform attribution.

It is not clear whether Google gave advance notice to government officials that they would be publicizing and shutting down the method of attack.

“There’s a palpable difference in the feeling of what it’s like to communicate over Signal, knowing you’re not being watched or listened to, versus other communication platforms,” Marlinspike told WIRED in an interview.

It’s not just the bloating of what was a clean secure communications app.

It’s not even that Signal is choosing to tie itself to a specific blockchain currency.

Secure communications and secure transactions can be separate apps, even separate apps from the same organization.

Combining it with a cryptocurrency means that the whole system dies if any part dies.

Phone Cloning ScamA newspaper in Malaysia is reporting on a cell phone cloning scam.

The scammer convinces the victim to lend them their cell phone, and the scammer quickly clones it.

What’s clever about this scam is that the victim is an Uber driver and the scammer is the passenger, so the driver is naturally busy and can’t see what the scammer is doing.

Posted on April 6, 2021 at 6:05 AM • 0 Comments

The new 802.11bf standard will turn Wi-Fi devices into object sensors:In three years or so, the Wi-Fi specification is scheduled to get an upgrade that will turn wireless devices into sensors capable of gathering data about the people and objects bathed in their signals.

“When 802.11bf will be finalized and introduced as an IEEE standard in September 2024, Wi-Fi will cease to be a communication-only standard and will legitimately become a full-fledged sensing paradigm,” explains Francesco Restuccia, assistant professor of electrical and computer engineering at Northeastern University, in a paper summarizing the state of the Wi-Fi Sensing project (SENS) currently being developed by the Insti…

Last month, Microsoft and FireEye identified that file as a newly-discovered fourth malware backdoor used in the sprawling SolarWinds supply chain hack.

4 concerning a new backdoor found on high-value targets that were compromised by the SolarWinds attackers.

“In August 2020, a U.S.-based entity uploaded a new backdoor that we have named SUNSHUTTLE to a public malware repository,” FireEye wrote.

A search in VirusTotal’s malware repository shows that on Aug. 13, 2020 someone uploaded a file with that same name and file hashes.

It’s unclear what, if anything, NTIA’s IT staff did in response to scanning the backdoor file back in Aug. 2020.

Microsoft today released updates to plug at least 110 security holes in its Windows operating systems and other products.

Microsoft released updates to fix four more flaws in Exchange Server versions 2013-2019 (CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483).

A Microsoft blog post published along with today’s patches urges Exchange Server users to make patching their systems a top priority.

Other Microsoft products that got security updates this month include Edge (Chromium-based), Azure and Azure DevOps Server, SharePoint Server, Hyper-V, Team Foundation Server, and Visual Studio.

Separately, Adobe has released security updates for Photoshop, Digital Editions, RoboHelp, and…

Someone is selling account information for 21 million customers of ParkMobile, a mobile parking app that’s popular in North America.

The stolen data includes customer email addresses, dates of birth, phone numbers, license plate numbers, hashed passwords and mailing addresses.

Included in the data were my email address and phone number, as well as license plate numbers for four different vehicles we have used over the past decade.

We do not collect social security numbers or driver’s license numbers from our users.”ParkMobile says it is finalizing an update to its support site confirming the conclusion of its investigation.

But I wonder how many of its users were even aware of this security…

Ne’er-do-wells leaked personal data — including phone numbers — for some 553 million Facebook users this week.

To my mind, this just reinforces the need to remove mobile phone numbers from all of your online accounts wherever feasible.

Many people may not consider their mobile phone number to be private information, but there is a world of misery that bad guys, stalkers and creeps can visit on your life just by knowing your mobile number.

Phone numbers were never designed to be identity documents, but that’s effectively what they’ve become.

Removing your phone number may be even more important for any email accounts you may have.

If you received this letter, you are a customer, buyer, partner or employee of [victim],” the missive reads.

Several gigabytes of the company’s files — including employee tax and financial records — have been posted to the victim shaming site for the Clop ransomware gang.

Clop is one of several ransom gangs that will demand two ransoms: One for a digital key needed to unlock computers and data from file encryption, and a second to avoid having stolen data published or sold online.

Such as phone, email, address, credit card information and social security number,” the Clop gang states in the email.

Wosar said Clop isn’t the only ransomware gang emailing victim customers.

Ubiquiti’s IoT gear includes things like WiFi routers, security cameras, and network video recorders.

All of a sudden, local-only networks were being connected to Ubiquiti’s cloud, giving rise to countless discussion threads on Ubiquiti’s user forums from customers upset over the potential for introducing new security risks.

The whistleblower also said Ubiquiti never kept any logs of who was accessing its databases.

Such access could have allowed the intruders to remotely authenticate to countless Ubiquiti cloud-based devices around the world.

“Nothing has changed with respect to our analysis of customer data and the security of our products since our notification on January 11.

Dear Readers, this has been long overdue, but at last I give you a more responsive, mobile-friendly version of KrebsOnSecurity.

We tried to keep the visual changes to a minimum and focus on a simple theme that presents information in a straightforward, easy-to-read format.

Hopefully, we achieved that and this new design will render well in whatever device you use to view it.

NB: KrebsOnSecurity has not changed any of its advertising practices: The handful of ads we run are still image-only creatives that are vetted by me and served in-house.

If you’re blocking ads on this site, please consider adding an exception here.

A security professional at Ubiquiti who helped the company respond to the two-month breach beginning in December 2020 contacted KrebsOnSecurity after raising his concerns with both Ubiquiti’s whistleblower hotline and with European data protection authorities.

The source — we’ll call him Adam — spoke on condition of anonymity for fear of retribution by Ubiquiti.

According to Adam, the hackers obtained full read/write access to Ubiquiti databases at Amazon Web Services (AWS), which was the alleged “third party” involved in the breach.

Such access could have allowed the intruders to remotely authenticate to countless Ubiquiti cloud-based devices around the world.

Tags: Ubiquiti breach, Ubiqui…

“web shells”) that various cybercrime groups worldwide have been using to commandeer any unpatched Exchange servers.

These backdoors give an attacker complete, remote control over the Exchange server (including any of the server’s emails).

“We have been testing 367 known web shell paths via scanning of Exchange servers.”OWA refers to Outlook Web Access, the Web-facing portion of on-premises Exchange servers.

The Krebsonsecurity file also installs a root certificate, modifies the system registry, and schedules a task to run in perpetuity.

Shadowserver found more than 21,000 Exchange Server systems that had the Babydraco backdoor installed.

“The unauthorized user also sent potentially malicious emails to some of the SCO employee’s contacts.”The SCO has not responded to requests for comment first sent Monday.

“This isn’t even the full extent of the breach,” said the California state employee, who spoke on condition of anonymity.

And spear-phishing others that frequently interact with the SCO via email could land the bad guys even more access to state systems.

“Meaning, such people will be tested ever again,” the state agency source said.

Tags: California Department of Technology, California State Controller breach, KnowBe4, phishing

Remember Norse Corp., the company behind the interactive “pew-pew” cyber attack map shown in the image blow?

Now the top executives behind Norse Corp. are working on a new venture: A corporate security and investigations company called RedTorch that’s based in Woodland Hills, Calif, the home of many Hollywood celebrities.

Nor did any of the other former Norse Corp. executives mentioned throughout this story.

Grey.” Norse watchers say that would be Tommy Stiansen, the Norwegian former co-founder of Norse Corp. whose LinkedIn profile says is now chief technology officer at RedTorch.

Tags: Cheetah Counter Surveillance, Frigg, Henry Marx, Mr. Grey, Mr. White, Norse Corp., Norse Networks, RedTor…

Vegh could see the message from his bank referenced a curious domain: defaultinstitution.com.

The messages had been sent to an email address for a former client solutions director at Fiserv; the “reply-to:” address in those missives was “donotreply@defaultinstitution.com”.

“We have identified 5 clients for which auto-generated emails to their customers included the domain name “defaultinstitution.com” in the “reply-to” address,” Fiserv said in a written statement.

“After registering that domain I started getting traffic from all around the world from Fortune 500 company devices pinging the domain,” Vegh said.

“This time, I am hoping to actually receive a t-shirt!”Tags: Abraham Vegh, CashEdg…

Security researcher “Lucky225” worked with Vice.com’s Joseph Cox to intercept Cox’s incoming text messages with his permission.

It cost just $16, and there was precious little to prevent someone from stealing your text messages without your knowledge.

But as Lucky225 showed, a user can just sign up with someone else’s number and receive their text messages instead.

In a SIM swap, the attackers redirect the target’s phone number to a device they control, and then can intercept the target’s incoming SMS messages and phone calls.

Removing your phone number may be even more important for any email accounts you may have.

Your email account may be worth far more than you imagine.

Manhunt, a popular gay dating service, has suffered a data breach which may have put members at risk of exposure.

As TechCrunch reports, Manhunt – which was launched in 2001 and claims to be the world’s largest gay chat and dating site – has been hit by a data breach that exposed sensitive information.

There is also the danger that an attacker might exploit the email addresses of Manhunt users to send out phishing attacks.

Unfortunately, Manhunt does not make clear in its data breach notification how it was storing passwords – were they (gulp!)

Perhaps most tragically, the massive breach of adultery website Ashley Madison even resulted in some users taking their own lives.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

And now, with its FREE Cyber Daily email all IT security professionals can access information about the top trending threat indicators – helping you use threat intelligence to help make better decisions quickly and easily.

Which means that you will be able to benefit from a daily update of the following:Information Security Headlines: Top trending news stories.

Infosec professionals agree that the Cyber Daily is an essential tool:“I look forward to the Cyber Daily update email every morning to start my day.

For organizations looking to strengthen their security program with threat intelligence, Recorded Future’s Cyber Daily is the perfect first step that helps to prioritize security actions…

The White House is reportedly moving swiftly forward with a plan to harden the security of the US power grid against hacking attacks.

According to Bloomberg, the Biden administration has a plan to dramatically improve how power utilities defend themselves against attacks from countries considered to be adversaries in cyberspace – such as Russia, Iran, North Korea, and China.

The power grid is considered the most critical infrastructure to defend from attack, as all other public services depend upon it.

When it comes to utilities like the US power grid, however, the overriding concern is “availability” – maintaining a service for the public.

For most organisations, installing a security patc…

All this and much more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault, joined this week by Maria Varmazis.

Hosts:Graham Cluley – @gcluleyCarole Theriault – @caroletheriaultGuest:Maria Varmazis – @mvarmazisShow notes:Sponsor: 1Password With 1Password you only ever need to memorize one password.

Its modern access security is designed to safeguard all users, devices, and applications – so you can stay focused on what you do best.

Follow the show:Follow the show on Twitter at @SmashinSecurity, on the Smashing Security subreddit, or visit our website for more episodes.

Remember: Subscribe on App…

A school janitor has lost her job, and she says it’s because she refused to download a smartphone app that would track her location.

“It was just a blanket statement — ‘Everybody install this app on their phone.

This is how we’re doing things from now on,'” Dionne told CBC.

According to Dionne, when she was fired her failure to install the Blip app on her smartphone was mentioned in her termination letter.

It seems to me that it might be reasonable to insist an employee installs an app onto their personal smartphone if – and only if – that requirement was clearly explained when they were first offered the job.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Maybe a Twitter thread posted this weekend by Zamaan Qureshi of The Real Facebook Oversight Board will help you reconsider your continued membership of the site.

So I decided to download my Facebook data after learning I was a part of the 533m breach.

Clicked on a folder called “your_off_facebook_activity” and was unsurprised to learn that Facebook is following me all over the internet.

This is probably a surprise to many Facebook users.

I suspect many Facebook users think they only have to worry about the data that they personally share about themselves on Facebook, by posting messages on the site, connecting with their friends, and liking posts.

Indian stock trading firm Upstox has revealed to users that it has suffered a serious security breach that may have seen unauthorised criminal access to millions of customers’ personal information.

According to a statement posted by Upstox on its website, it became aware that criminals may have compromised its databases after receiving emails from the suspected hackers.

A breach of KYC data is particularly serious – because it can contain scans of ID cards, passports, photo ID, and other documents that help prove an individual’s address such as utility bills.

Security researcher Rajshekhar Rajaharia told Medianama that the ShinyHunters gang were seeking a ransom payment from Upstox for the …

And now, with its FREE Cyber Daily email all IT security professionals can access information about the top trending threat indicators – helping you use threat intelligence to help make better decisions quickly and easily.

Which means that you will be able to benefit from a daily update of the following:Information Security Headlines: Top trending news stories.

Infosec professionals agree that the Cyber Daily is an essential tool:“I look forward to the Cyber Daily update email every morning to start my day.

For organizations looking to strengthen their security program with threat intelligence, Recorded Future’s Cyber Daily is the perfect first step that helps to prioritize security actions…

Deepfake expert Nina Schick joins us as we discuss synthetic media, Facebook’s latest data fiasco, and some less-than-brilliant April Fool’s tricks.

All this and much more is discussed in the latest edition of the award-winning “Smashing Security” podcast, hosted by computer security veterans Graham Cluley and Carole Theriault.

Hosts:Graham Cluley – @gcluleyCarole Theriault – @caroletheriaultGuest:Nina Schick – @NinaDSchickShow notes:Sponsor: 1Password With 1Password you only ever need to memorize one password.

Its modern access security is designed to safeguard all users, devices, and applications – so you can stay focused on what you do best.

Follow the show:Follow the show on Twitter at …

Cybercriminal extortionists have adopted a new tactic to apply even more pressure on their corporate victims: contacting the victims’ customers, and asking them to demand a ransom is paid to protect their own privacy.

At the end of March, Bleeping Computer reported that the Clop ransomware gang had not stopped at threatening hacked companies and contacting journalists, but had taken the additional step of direct emailing victims’ customers whose details had been found in stolen data.

Organisations whose customers and commercial partners have been contacted include a hacked bank, a manufacturer of business jets, an online maternity clothing store.

The company has been hacked, data has been s…

Chances are that you’ve heard the story about how the phone numbers and personal data of over half a billion Facebook users has been leaked online.

Facebook’s initial response to media queries was curt and dismissive:“This is old data that was previously reported on in 2019.

Clearly Facebook has now had some second thoughts about its initial “it’s old data, please don’t think it’s news” approach, and is trying again.

In a blog post Facebook describes what it says are “the facts on news reports about Facebook data”.

Nowhere in Facebook’s post will you find the word “sorry.” Nowhere in Facebook’s post will you see an apology.

Например, под видом продажи дефицитного оборудования мошенники выманивают у покупателей криптовалюту, используя популярный сервис Google и клон сайта производителя оборудования для майнинга.

Сервисы Google — Формы, Таблицы, Календарь, Фото и другие — мошенники давно и активно используют для фишинга и спам-рассылок.

Поскольку письма приходят не от самого автора, а от легитимных и популярных сервисов аж самого Google, они обычно легко проходят спам-фильтры.

Злоумышленники предлагают отправить платеж на криптокошелек и предупреждают, что транзакцию нужно осуществить в течение двух часов — в ином случае «заказ» отменят.

Как не стать жертвой мошенниковЧтобы избежать неприятностей, в первую очере…

Мы изучили сайт этой группировки, DarkSide Leaks, и обнаружили, что она пытается вести себя как полноценный провайдер онлайн-сервиса, используя традиционные маркетинговые приемы.

На самом деле понятно, что настоящая цель операторов DarkSide — получить как можно больший резонанс в Сети, раздуть шумиху.

Многим государственным компаниям запрещено вступать в переговоры с вымогателями, а вот с компанией, оказывающей услуги по расшифровке, взаимодействовать вполне можно.

Благотворительная деятельностьОператоры шифровальщиков из DarkSide часть своих доходов перечисляют на благотворительные нужды — и публикуют информацию об этом на DarkSide Leaks.

Как реагировать на то, что шифровальщики превращают…

Я пока не встречал ни одного ребенка, которому бы не нравились мультфильмы.

Поэтому многие сюжетные повороты построены на базе вполне реалистичных инцидентов, которые могут произойти и в нашем мире.

Если бы он использовал надежный алгоритм шифрования сообщения, то:Не имея ключа, десептиконы не узнали бы, что он успел передать, и не смогли бы организовать столь эффективную ловушку.

Десептиконы не смогли бы выдать себя за Ультра Магнуса — ведь уникальный ключ, помимо сокрытия информации, удостоверяет личность отправителя.

Десептиконы не понимают сути информации Альфа Триона, но могут найти ее и все серверы, имеющие ее следы.

Исследователи «Лаборатории Касперского» обнаружили уязвимость нулевого дня CVE-2021-28310 в Диспетчере окон рабочего стола (Desktop Window Manager), одном из компонентов Microsoft Windows.

В Microsoft Windows за всю эту красоту — тени, прозрачность и так далее — отвечает компонент под названием Desktop Window Manager, тот самый Диспетчер окон рабочего стола.

Собственно, это один из ключевых сервисов в Windows, он существует еще со времен Windows Vista, а начиная с Windows 8 его невозможно отключить.

Именно тут и кроется уязвимость, о которой мы уведомили Microsoft еще в феврале.

Что делать, чтобы избежать эксплуатации CVE-2021-28310Поскольку уязвимость в Диспетчере окон рабочего стола уже э…

Что такое APKPure и зачем он нуженСамый-самый официальный магазин Android-приложений — Google Play.

Что случилось с APKPure?

Безопасен ли сейчас APKPure8 апреля мы связались с представителями APKPure и сообщили им о проблеме.

А чтобы не столкнуться с чем-то подобным в будущем:Не скачивайте приложения из неофициальных источников, а лучше — вовсе запретите установку приложений из сторонних источников в настройках Android.

Своевременно обновляйте все приложения и саму операционную систему.

В Lightshot можно зарегистрировать аккаунт, чтобы хранить историю своих загрузок.

Однако судя по тому, что утечки ценной информации через Lightshot регулярно попадают в новости, далеко не все внимательно читают пользовательское соглашение.

Как слить данные в Lightshot: вредные советы«Подумаешь, какие-то там скриншоты попадут в общий доступ — кому вообще интересны мои рекорды в играх или шуточки из переписки с коллегами?» — скажете вы.

Копейки, конечно, относительные: речь идет о комиссии порядка 0,001–0,0015 BTC, что по нынешнему курсу составляет примерно 4–6 тысяч рублей.

И Lightshot — яркий тому пример.

Вы случайно кликнули на рекламное объявление, но вместо сайта с товаром появилось предупреждение: «Если покинуть страницу, то внесенные изменения не сохранятся».

Для пользователя все выглядит так: на экране — окно браузера, сверху — настоящий адрес сайта МВД, а на самой странице — обвинение в правонарушении и требование заплатить штраф в несколько тысяч рублей.

Если подумать, не очень понятно, зачем полиции шифровать ваши файлы, но в панике такую несостыковку можно и не заметить.

Настоящего на экране в этот момент нет ровным счетом ничего.

Что делать, если браузер заблокированИзбавиться от блокировщика, будь то копия сайта МВД России или любая другая страница, обычно не так уж трудно.

Скажем, исполняемые файлы EXE по умолчанию считаются небезопасными вложениями, как и офисные документы DOCX или XLSX, в которых могут быть зловредные макросы.

Существует как минимум одна уязвимость (на данный момент уже закрытая), которую можно было использовать для атаки через файл TXT.

Потому что важно не то, что в файле, а то, как он обрабатывается соответствующими программами.

Уязвимость в macOS CVE-2019-8761Исследователь Паулош Йибелло (Paulos Yibelo) привлек внимание к достаточно интересному варианту атаки на компьютеры под управлением macOS через текстовый файл.

Как и многие другие защитные решения, встроенная система безопасности macOS, Gatekeeper, считает файл TXT вполне доверенным…

От массовых заражений они перешли к целевым, что, несомненно, уменьшило «покрытие», поэтому теперь они не готовы спокойно переносить отказы платить.

Как Darkside пытается повлиять на решение платить или не платитьПреступники решили обратиться напрямую к школам, данные учеников которых были похищены.

В противном случае они «не могут гарантировать», что данные конкретной школы, включая персональные данные детей, не будут опубликованы в даркнете.

Этими данными потенциально могут воспользоваться какие-нибудь педофилы и напечатать себе пропуска в школы, что поставит под угрозу безопасность детей.

Они никак не могут доказать, что действительно удалят похищенные у вас данные и не воспользуются ими…

Если вы следите за миром информационной безопасности, то в последние годы наверняка много слышали о программах-вымогателях.

Чтобы вы не запутались, но и не отвлекались от сюжета на сноски, мы решили собрать и разъяснить их прямо в начале.

Симметричное шифрование — способ шифрования данных, при котором один и тот же ключ используется и для шифрования, и для расшифровки информации.

Получателям предлагали установить программу, ответить на вопросы и получить информацию о том, как лично им минимизировать риски заражения.

ЗаключениеЗа тридцать лет программы-вымогатели из относительно безобидных игрушек трансформировались в серьезную угрозу как для пользователей всех платформ, так и для бизнеса.

Неизвестные злоумышленники попытались провернуть масштабную атаку через цепочку поставок, загрузив вредоносный код в официальный GIT-репозиторий PHP.

Если бы разработчики PHP не заметили бэкдор, то он мог бы оказаться на множестве веб-серверов по всему миру — и это стало бы крупнейшей в истории атакой на цепочку поставок.

Программисты, работающие над развитием языка PHP, добавляют изменения в коде в общий репозиторий, построенный на базе системы контроля версий GIT.

Что за бэкдор в коде PHP и чем он был опасенДобавленный в репозиторий бэкдор мог позволить злоумышленникам удаленно запустить вредоносный код на веб-сервере, использующем данную версию PHP.

После этого инцидента команда, занимаю…

Чем уникально вредоносное ПО, «заточенное» под Apple M1?

То есть старые вредоносы не работают на компьютерах с Apple M1?

Грубо говоря, она переводит код старых программ, написанных для Intel x86, в удобоваримый для M1 вид.

Но без переводчика работать удобнее, поэтому некоторые вирусописатели и адаптировали свои творения под Apple M1.

Тоже нет: все известные на сегодня свежие вредоносы для Apple M1 — это не принципиально новые программы, а модификации старых.

Эта уязвимость позволяет злоумышленнику, которому удалось подключить свой компьютер к корпоративной сети или как-то заразить одну из машин, атаковать контроллер домена и в итоге захватить контроль над ним.

Microsoft выпустила патч еще в августе, но всеобщее внимание к Zerologon привлекло подробное исследование, опубликованное кибербезопасниками из голландской компании Secura, с подробными объяснениями того, как Zerologon может быть проэксплуатирован.

Zerologon в реальных атакахРазумеется, публично доступные PoC привлекли внимание не только специалистов по безопасности, но и злоумышленников, которым осталось только скопировать и вставить код в свое вредоносное ПО.

Но по факту это давно не яв…

Как избавиться от шума: пассивная звукоизоляцияПротивостоять соседскому шуму можно пассивными и активными методами.

Как избавиться от шума: активное шумоподавлениеАктивные методы предполагают, что вы не отгораживаетесь от нежелательных звуков, а заглушаете или фильтруете их с помощью технических средств.

Эффект от нее, как и в случае со специальным микрофоном, смогут оценить лишь ваши собеседники.

Встроенные средства для борьбы с шумом есть и в самих приложениях для видеоконференций — например, в Zoom и Skype.

Генераторы шумаЕсли звуки, доносящиеся от соседей, мешают не говорить, а, например, уснуть, спасением может стать, как ни странно, генератор шума — не синхронизированного, а практичес…

Tactic; TechniqueInitial Access (TA0001); External Remote Services (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192) Execution (TA0002); Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047) Persistence (TA0003); Registry Run Keys / Startup Folder (T1060), Scheduled Task (T1053), Valid Accounts (T1078) Defense Evasion (TA0005); Code Signing (T1116), Deobfuscate/Decode Files or Information (T1140), Disabling Security Tools (T1089), File Deletion (T1107), Masquerading (T1036), Process Injection (T1055) Credential Access (TA0006); Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056) Discovery (TA0007); Ac…

The cybersecurity industry is hiring.

In November 2018, The New York Times reported that a total of 3.5 million cybersecurity jobs would be available but go unfilled by 2021.

Even so, 3.12 million cybersecurity positions remained open at the end of last year.

This raises an important question: how can someone with no technical experience get started in the cybersecurity industry?

No two cybersecurity professionals have the same origins story, as we learned over the course of compiling our recent eBook, Diversity in Cybersecurity.

IntroductionThe Cisco Telemetry Broker celebrated its release earlier this month on April 1st.

In my previous blog, The Rise of Telemetry Architecture, I discussed how the Cisco Telemetry Broker can help you develop a healthy telemetry architecture.

Sunil: I think it is no coincidence that the vision of Cisco Telemetry Broker is so compelling to our customers at this time.

TK: It has been a real pleasure interviewing you and even more of a pleasure working with you on Cisco Telemetry Broker!

For more information about the Cisco Telemetry Broker, please be sure to visit http://cs.co/telemetrybroker.

CRN has released its list of the Ten Hottest New Cloud Security Tools of 2020 and I am incredibly proud to say that Cloud Mailbox is featured on the list.

The API-based email security market is differentiated from traditional gateway solutions in part by how simple and fast it is to deploy.

As CRN notes, our email security portfolio had previously centered around a gateway solution.

Final thoughtsI want to make sure that I extend congratulations to everyone on the Cloud Mailbox team.

Learn more about Cisco Secure Email Cloud MailboxShareShare:

These are the questions the Cisco Security Outcomes: Small and Midsize Business (SMB) Edition report seeks to answer.

Proven Practices for Security OutcomesThe Cisco Security Outcomes Study shone a light on the security practices which most drive security program success.

Drivers for SMB Security SuccessSuccesses to celebrate are something I look for in reports such as the Cisco 2021 Security Outcomes Study.

Focus is critical to executing any security strategy, but that’s especially true when your IT team is stretched in many directions.

Read the Security Outcomes Study for SMBs to learn how small and midsize organizations are thriving with a strong cybersecurity strategy.

Now we have 75,000 and growing)Today, I lead a global sales team of security sales specialists and have the privilege of sponsoring our Emerging Talent at Cisco: Cybersecurity group.

But along the way, I’ve learned a few things about building a career you love and helping build the next generation of cybersecurity rock stars.

Find Mentors and SponsorsI’ve been fortunate enough to have amazing mentors throughout my career who I lean on for career advice.

In the Emerging Talent Cybersecurity group, we’re actively pairing mentors and mentees and have set a goal for participation from senior leaders.

As sellers, navigating objections and challenges comes with the territory – so apply the same p…

So, your organization’s simplifying Kubernetes management with AWS’s Elastic Kubernetes Service (EKS).

Since Secure Workload’s inception, its agent has always been lightweight, consuming less that 1% of CPU resources.

If you need to off-board, run the same script and it simultaneously, completely, and cleanly removes the Secure Workload agent from all nodes.

Just as EKS is managed by AWS, the Secure Workload infrastructure is fully managed by Cisco, available globally, and supporting European data residency requirements.

As customers “get their feet wet” with Secure Workload’s capabilities, they often begin by addressing one or two use cases, taking advantage of Secure Workload’s flexible, …

The unspoken truth with advanced analytics is that it is dependent upon data that represents change: telemetry data.

It was from this harsh reality that Cisco is bringing to market the Cisco Telemetry Broker.

The Cisco Telemetry Broker continues this, ensuring that telemetry gets to and from analytical platforms!

The Cisco Telemetry Broker is required infrastructure for a healthy telemetry architecture.

Cisco Telemetry Broker is that intelligent river system and I think you will find it essential for your infrastructure’s telemetry architecture.

ISE 3.0 – Control access and contain threats within zones of trustYou wake up to find out that another security incident has occurred.

Our recent Cisco Identity Services Engine (ISE) 3.0 release focused on gaining dynamic visibility and making network segmentation easier to achieve within the workplace.

Three ways ISE 3.0 enables visibility-driven network segmentationExpectation meets reality.

By removing the “complexity barrier,” ISE 3.0 is easing the deployment of network segmentation and allowing customers to take a huge step forward in achieving a zero-trust workplace.

Visit our webpage to learn how ISE can enable your network segmentation initiatives and read ESG’s whitepaper, “Removin…

Our guest this week is Dr. Christine Izuakor (@Stineology).

Plus, we chat about the “opportunity divide” and how we can make the security industry more accessible to more people.

It’s called “Lifting each other up: A celebration of women in cybersecurity and their advocates” and you can access it here.

Play the episodeYou can listen to this podcast on Apple Podcasts, Spotify, Google Podcasts, or wherever you normally get your podcasts from!

You can also listen right here and now:Episode time stamps:02:40 Getting to know Sana07:50 Influential women in cybersecurity history19:12 Interview with Dr Christine Izuakor part 146:05 Threat trends: What DNS Security told us about the past year59:38 I…

Previously, the series explored a framework for continuous security and looked at one aspect of maintaining application security, a software Bill of Materials (BOM,) and associated vulnerabilities.

This blog focuses on application security and how Cisco validates its software based on industry and internal security standards.

CAVE provides Dynamic Application Security Testing (DAST), Secure Sockets Layer/Transport Layer Security (SSL/TLS) validation, and host configuration auditing.

Dynamic Application Security TestingOne of the most prominent and beneficial features of CAVE is its ability to scan web applications for vulnerabilities using its Dynamic Application Security Testing (DAST) sca…

When it comes to the term ‘security platform,’ quite a lot, going by its overuse in the industry.

I covered the first two points in a previous post, where I laid out the requirements for a security platform.

In this post, I will focus on the last point, which is that to truly be effective, a security platform must be open.

Furthermore, in light of trends such as remote working and digital transformation, it’s become imperative that security technologies and teams do not work in a silo.

This week at our virtual Cisco Live conference, we’re taking our open platform and partnership approach to the next level.

This week, we are delivering an experience unlike any other; this comes at an interesting time for Cisco SecureX.

This year at Cisco Live, we are turning it up for Cisco SecureX customers.

At Cisco Live, we have showcased how we are simplifying the user experience for 3rd party configurations.

In the past, 3rd party integrations were made possible by deploying new code in customer environments or by relay modules in supported 3rd party infrastructure.

Cisco Live is happening now!

On a basic level, SASE involves the convergence of networking and security technologies to be delivered together via the cloud – ideally from a single vendor.

It brings together cloud security from Cisco Umbrella, SD-WAN from Cisco Meraki and Viptela, zero trust network access from Cisco Secure Access by Duo, and observability from ThousandEyes to pave the way to SASE.

Cisco SecureX brings together key security technologies considered fundamental for SASE in a way that is simplified, scalable, and flexible.

I’m thrilled with the many improvements we’ve made by choosing Cisco for our SASE architecture.”Do SASE your way with CiscoNo two organizations today are at the same place when it comes …

This drives the need to rethink the traditional network architecture, and the concept of a secure access service edge (SASE) emerged as a result.

Cisco’s vision is to deliver seamless, secure access to any application, over any network or cloud, anywhere users work.

Expanding Cisco SD-WAN Cloud OnRamp: The release of SD-WAN 17.5 powered by Viptela expands Cisco SD-WAN Cloud OnRamp for predictable and secure application experiences.

The release of SD-WAN 17.5 powered by Viptela expands Cisco SD-WAN Cloud OnRamp for predictable and secure application experiences.

New, expanded Cisco SASE offerWe now make it easier than ever to begin your journey with our new SASE offer.

During a pivotal scene, a Cardassian interrogator shows Picard four bright lights and demands that he “see” five lights.

This can confuse people because protection and the right to data privacy are not fundamental opposites.

This shift toward viewing cybersecurity as a cost center has been one of the biggest changes in international business over the last few years.

Some of the most successful cybersecurity departments report up to Risk or Finance and not to Technology.

You can listen to Afternoon Cyber Tea with Ann Johnson on:Apple Podcasts: You can also download the episode by clicking the Episode Website link.

Collaborating closely with AMD, Microsoft is proud to announce our latest Secured-core offering, the all-new Surface Laptop 4 powered by AMD Ryzen™ Mobile Processors.

The TPM 2.0 serves as the hardware root-of-trust for the Surface Laptop 4.

New Surface expands Secured-core PC lineSurface Laptop 4, powered by AMD Ryzen™ Mobile Processors, joins Surface Pro X as the second secured-core PC offering in the Surface portfolio.

DFCI is currently available for Surface Laptop Go, Surface Book 3, Surface Laptop 3, Surface Pro 7, Surface Pro 7+ and Surface Pro X.

Find out more about managing Surface UEFI settings at https://docs.microsoft.com/surface/manage-surface-uefi-settings.

In fact, 60 percent of medical devices are at the end-of-life stage with no patches or upgrades available.

In fact, 60 percent of medical devices are at the end-of-life stage with no patches or upgrades available.

A proliferation of connected devices: More connected devices come into hospitals every year and the trend is only growing.

More than 400 million connected medical devices are already operational worldwide, with another 125 million or so expected to come online in the next year.

They were able to:Gain full discovery of all the connected (managed and unmanaged) devices in their network, whether medical devices, IoT, workstations, mobile and more.

In this blog, Troy shares his insights on the evolution of identity, from the biggest gaps in identity to modern technology solutions.

I’m concerned about SIM swapping because there’s so much identity assurance that is done via SMS.

Organizations rarely dry run what happens when information is leaked that may enable others to take on identities.

Natalia: What’s your advice on securing identities across your employees, partners, and customers?

Even as we get passwordless solutions, the other passwords don’t go away.

These unmanaged devices that are connecting to company networks present a huge opportunity for attackers to compromise these devices and launch broader attacks.

Today, we announce a new set of capabilities that empower organizations to discover and secure unmanaged workstations, mobile devices, servers, and network devices on their business networks.

Therefore, we have added the ability to discover and secure unmanaged endpoints and network devices to Microsoft Defender for Endpoint.

We’re excited to share this news with you today, and we welcome your feedback as we work together to deliver discovery of unmanaged endpoints and network devices to Microsoft Defender for Endpoint.

Once enrolle…

Microsoft 365 Defender defends organizations by using advanced technologies informed by Microsoft Defender for Office 365 and backed by security experts.

However, in this campaign, we observed an influx of contact form emails targeted at enterprises by means of abusing companies’ contact forms.

Contact form attack chain results in the IcedID payloadWe noted a primary and secondary attack chain under the execution and persistence stages.

Samples of contact form emails that use the photographer copyright lure with a sites.gooogle.com linkIn a typical contact form, users are required to input their name, email address, and a message or comment.

For example, Microsoft Defender for Endpoint dete…

Storage account discovery: Adversaries may enumerate storage account names (or leverage an existing enumeration process) to find an active storage account.

Adversaries may enumerate storage account names (or leverage an existing enumeration process) to find an active storage account.

Storage data clone: Storage services offer different types of cloning or backup data stored on them.

Malware distribution: Storage services offer different types of mechanisms to support auto-synchronization between various resources and the storage account.

Storage data clone: Storage services offer different types of cloning or backup data stored on them.

The toolkit uses the Python-based OpenAI Gym interface to allow training of automated agents using reinforcement learning algorithms.

Applying reinforcement learning to securityReinforcement learning is a type of machine learning with which autonomous agents learn how to conduct decision-making by interacting with their environment.

Last year, we started exploring applications of reinforcement learning to software security.

Mapping reinforcement learning concepts to securityIn this project, we used OpenAI Gym, a popular toolkit that provides interactive environments for reinforcement learning researchers to develop, train, and evaluate new algorithms for training autonomous agents.

With Cyb…

Today, we are excited to announce that Microsoft Defender for Endpoint support of Windows 10 on Arm devices is generally available.

This expanded support is part of our continued efforts to extend Microsoft Defender for Endpoint capabilities across all the endpoints defenders need to secure.

Microsoft Defender for Endpoint compliments these security features with an industry leading, unified, cloud powered enterprise endpoint security platform that helps security teams prevent, detect, investigate and respond to advanced threats, while delivering secure and productive end user security experiences.

Microsoft Defender for Endpoint is an industry leading, cloud powered endpoint security solut…

Business email compromise is on the riseEven the oldest tricks of cybercriminals are constantly evolving in techniques to bring more revenue from nefarious customers.

Known as business email compromise (BEC), cybercriminals have responded to technical advancements in detection by developing fast-moving phishing scams that can victimize even the savviest professionals.

And the risk is only increasing—the scale and threat of email phishing attacks are growing.

Take action: Reduce email phishing attacks with MFAEnabling multi-factor authentication (MFA) can be one of the quickest and most impactful ways to protect user identities, and an effective means to reduce the threat and potential impac…

While we’re still a young company, our expertise in delivering Managed Microsoft Security Services to our customers is already well established.

In addition to the existing portfolio of security services we offer today, we are always on the lookout for new ways to provide increased value to our customers who prefer Microsoft-powered security services.

We are excited to announce that we acquired Managed Sentinel, a company specializing in Azure Sentinel and Microsoft 365 Defender deployments.

By acquiring Managed Sentinel, BlueVoyant strengthens its ability to serve Microsoft customers globally.

For more information about our extensive consulting portfolio, implementation, and managed securi…

In this blog we’ll outline a probabilistic graphical modelling framework used by Microsoft 365 Defender research and intelligence teams for threat actor tracking.

Below we discuss an incident in which automated threat actor tracking translated to real-world protection against a human-operated ransomware attack.

The idea is to define a knowledge base such that the approach is generalizable across different threat actor groups.

Let the random variable Y correspond to the indicator variable for a specific threat actor or group of threat actors.

The threat actor tracking model we introduced in this blog is exciting work with real impact in customer protection.

The eBook describes how the Zero Trust security model involves thinking beyond perimeter security and moving to a more holistic security approach.

If Zero Trust had a motto, it would be: never trust, always verify.

Zero Trust strategiesIntroducing Zero Trust into your organization requires implementing controls and technologies across all foundational elements: identities, devices, applications, data, infrastructure, and networks.

In a Zero Trust security model, they function as a powerful, flexible, and granular way to control access to data.

These leaders agreed that developing a holistic strategy to address Zero Trust is critical and that you should start small and build confidence befor…

New data shows that firmware attacks are on the rise, and businesses aren’t paying close enough attention to securing this critical layer.

Yet the Security Signals study shows that awareness of this threat is lagging across industries.

Physical attacks using hardwareIn addition to firmware attacks, respondents identified concerns with attack vectors exposed by hardware.

Other major firmware attacks in the last year included the RobbinHood, Uburos, Derusbi, Sauron and GrayFish attacks that exploited driver vulnerabilities.

Security Signals also found that companies are investing in larger devices to protect against hardware security breaches: more than half are focusing on servers.

In this blog, Tanya shares how to build an AppSec program, find security champions, and measure its success.

For Canada, I did antiterrorism activities, and you better believe that was the strictest security program that any human has ever seen.

For an application security program, I would measure that every app receives security attention in every phase of the software development life cycle.

Inventories are a difficult problem in application security; it’s the toughest problem that our field has not solved.

Some were still not on board because this was their first AppSec program and my first AppSec program.

According to eMarketer, in 2020 users spent over three and a half hours per day using mobile apps.

With so much time spent on mobile devices, ensuring the safety of mobile apps is more important than ever.

Despite the importance of digital security, there isn’t a consistent industry standard for assessing mobile apps.

Over 20 industry stakeholders, including Google, Amazon, and a number of certified labs such as NCC Group and Dekra, as well as automated mobile app security testing vendors like NowSecure collaborated to develop this new security standard for mobile apps.

The standard also serves as a guiding light to inspire more developers to invest in mobile app security.

We joined the Rust for Linux organization, where the community had already done and continues to do great work toward adding Rust support to the Linux kernel build system.

Let’s get into a few examples of how Rust can assist kernel developers in writing drivers that are safe and correct.

fn ioctl ( & self , file: &File, cmd: & mut IoctlCommand ) -> KernelResult< i32 > { cmd.dispatch( self , file) } impl IoctlHandler for FileState { fn read ( & self , _file: &File, cmd: u32 , writer: & mut UserSlicePtrWriter ) -> KernelResult< i32 > { match cmd { IOCTL_GET_READ_COUNT => { writer.write( & self .read_count .load(Ordering::Relaxed))?

In the C example above, and in are protected by , but there i…

Correctness of code in the Android platform is a top priority for the security, stability, and quality of each Android release.

The Android OS uses Java extensively, effectively protecting large portions of the Android platform from memory bugs.

Lower levels of the OS require systems programming languages like C, C++, and Rust.

In comparison, the Rust compiler assists in avoiding stray mutability annotations by offering warnings for mutable values which are never mutated.

In comparison, the Rust compiler assists in avoiding stray mutability annotations by offering warnings for mutable values which are never mutated.

StrongBox is an implementation of the Keymaster HAL that resides in a hardware security module.

It is an important security enhancement for Android devices and paved the way for us to consider features that were previously not possible.

Most modern phones now include discrete tamper-resistant hardware called a Secure Element (SE).

In order to accelerate adoption of these new Android use cases, we are announcing the formation of the Android Ready SE Alliance.

Please visit our Android Security and Privacy developer site for more info.

If we have peaked your interest and you would like to enter the competition for a GCP VRP Prize in 2021, here’s a reminder on the requirements.

If we have peaked your interest and you would like to enter the competition for a GCP VRP Prize in 2021, here’s a reminder on the requirements.

We first announced the GCP VRP Prize in 2019 to encourage security researchers to focus on the security of Google Cloud Platform (GCP), in turn helping us make GCP more secure for our users, customers, and the internet at large.

We also announced that we would reward the top 6 submissions in 2020 and increased the total prize money to $313,337.This trend was reflected in the submissions we received for the G…

Posted by Ryan Hurst, Product Management, Google Trust ServicesI am a website operator that uses Google Trust Services certificates.

Google Trust Services offers certificates to Alphabet products and services including many Google Cloud services.

I use a service or product that uses Google Trust Services.

Does this mean you are no longer using the Google Trust Services roots?

We are still using the Google Trust Services roots, they are simply cross-signed.

Posted by Stephen Röttger and Artur Janc, Information Security EngineersThree years ago, Spectre changed the way we think about security boundaries on the web.

Finally, this post describes the protections available to web authors and best practices for enabling them in web applications, based on our experience across Google.

Demonstrating Spectre in a web browserToday, we’re sharing proof-of-concept (PoC) code that confirms the practicality of Spectre exploits against JavaScript engines.

The demonstration website can leak data at a speed of 1kB/s when running on Chrome 88 on an Intel Skylake CPU.

This allowed us to leak data efficiently even with low precision timers.

Evaluating the security of mobile devices is difficult, and a trusted way to validate a company’s claims is through independent, industry certifications.

When it comes to smartphones one of the most rigorous end-to-end certifications is the Common Criteria (CC) Mobile Device Fundamentals (MDF) Protection Profile.

Over the past few years only three smartphone manufacturers have continually been certified on every OS version: Google, Samsung, and Apple.

At the beginning of February, we successfully completed this certification for all currently supported Pixel smartphones running Android 11.

This specific certification is designed to evaluate how a device defends against the real-world threat…

In addition to her work advancing the fields of security and privacy, she is a fierce advocate for women in the workplace and for elevating the voices of her fellow Black+ practitioners in security and privacy.

Security and privacy are two issues that are core to shaping the future of technology and how we interact with each other over the Internet.

I then moved to Washington D.C. where I initially worked for the State Department while finishing my graduate degree in International Public Policy at George Washington University.

So I switched teams and I've been in the security and privacy field ever since, eventually for Uber and now with Google's Chrome team.At Google, privacy and security …

Jazzer allows users to fuzz code written in JVM-based languages withFuzzedDataProvider for fuzzing code that doesn’t accept an array of bytes.

Jazzer allows users to fuzz code written in JVM-based languages with libFuzzer , as they already can for code written in C/C++.

As discussed inWhen fuzzing memory safe code, you can use the same classic approach for fuzzing memory unsafe code: passing mutated input to code and waiting for crashes.

We will explore this more during our OSS-Fuzz talk at FuzzCon EuropePosted by Jonathan Metzman, Google Open Source Security Team OSS-Fuzz , Google’s open source fuzzing service, now supports fuzzing applications written in Java and other Java Virtual Machin…

Now is a great time to It has been fun collaborating with the folks from Red Hat and the open source community on this project.

sigstore is an excellent example of an open source community coming together to collaborate and develop a solution to ease the adoption of software signing in a transparent manner."

The mission of sigstore is to make it easy for developers to sign releases and for users to verify them.

Just like how Let’s Encrypt provides free certificates and automation tooling for HTTPS, sigstore provides free certificates and tooling to automate and verify signatures of source code.

Our goal is to make it seamless and easy to sign and verify code:

At Google, we implement a model known as Federated Security, where our security teams partner across our Product Areas to enable security program maturity Google wide.

Our Federated Security team believes in harnessing the power of relationship, engagement, and community to drive maturity into every product.

Security and privacy are team sports – it takes business leaders and security leaders working together to secure and protect our digital and physical worlds.

At Google, we implement a model known as Federated Security, where our security teams partner across our Product Areas to enable security program maturity Google wide.

Our Federated Security team believes in harnessing the power of…

Currently, Black Americans make up less than 12% of information security analysts in the U.S.

This initiative has garnered national and international attention and has been a force for educating and bringing awareness to the challenges Black security practitioners face in industry.

Camille is also a cybersecurity fellow at Harvard University, New America and Truman National Security Project.

Users being intentional about their digital security similar to their physical security especially with their mobile devices and apps.

At Google, security is core to everything we do and build, it has to be.

To make this easier, Chrome introduced the Password Checkup feature last year, which notifies you when one of the passwords you’ve saved in Chrome is exposed.

We’re now bringing this functionality to your Android apps through Autofill with Google.

Password Checkup on Android apps is available on Android 9 and above, for users of Autofill with Google.

On Android, you can request password generation for an app by long pressing the password field and selecting “Autofill” in the pop-up menu.

As always, stay tuned to the Google Security blog to keep up to date on the latest ways we’re improving security across our products.

Software written in unsafe languages often contains hard-to-catch bugs that can result in severe security vulnerabilities, and we take these issues seriously at Google.

That’s why we’re expanding our collaboration with the Internet Security Research Group to support the reimplementation of critical open-source software in memory-safe languages.

To date, our free OSS-Fuzz service has found over 5,500 vulnerabilities across 375 open source projects caused by memory safety errors, and our Rewards Program helps encourage adoption of fuzzing through financial incentives.

Open source security is a collaborative effort.

If you're interested in learning more about our efforts, please join us in the…