Группировка APT27 активно атакует компьютерные сети компаний в ГерманииAlexander AntipovЗлоумышленники используют троян для удаленного доступа HyperBro для внедрения бэкдоров в сети жертв.

Злоумышленники используют троян для удаленного доступа HyperBro для внедрения бэкдоров в сети.

HyperBro позволяет хакерам обеспечивать себе персистентность в сетях жертв, действуя как бэкдор в памяти с возможностями удаленного администрирования.

BfV опубликовало индикаторы компрометации и правила YARA с целью помочь немецким организациям проверить свои системы на предмет наличия HyperBro и подключений к командным серверам APT27.

APT27 с марта 2021 года использует уязвимости в программном обеспечении Zoho …

Оператор платформы DeepDotWeb приговорен к 97 месяцам тюрьмыAlexander AntipovЗа время управления платформой Тал Прихар и его сообщник Майкл Пхан «заработали» 8,155 биткойна.

Оператор платформы DeepDotWeb был приговорен к 97 месяцам тюремного заключения.

Как сообщило Министерство юстиции США, Тал Прихар (Tal Prihar) получил срок за сговор с целью отмывания денег.

По данным Министерства юстиции США, Прихар и Пхан получали огромную прибыль за рекламу торговых площадок, торгующих хакерскими инструментами, огнестрельным оружием, наркотическими веществами и похищенными данными.

Пхан в настоящее время пребывает в Израиле.

ИБ-эксперт взломал кошелек Trezor One и вернул $2 млн в «утраченной» криптовалютеAlexander AntipovЭксперт провел 12 недель проб и ошибок, но в конце концов нашел способ восстановить утерянный PIN-код.

Компьютерный специалист Джо Гранд (Joe Grand), известный под псевдонимом Kingpin, рассказал , как ему удалось взломать аппаратный кошелек Trezor One, содержащий средства на сумму более $2 млн.

в криптовалюте Theta и вдруг поняли, что потеряли PIN-код от кошелька Trezor One.

В нынешнем году их инвестиции выросли до $2 млн, и приятели удвоили свои усилия по получению доступа к средствам.

Как сообщили в Trezor, уязвимость, позволяющая считывать PIN-код из оперативной памяти кошелька, является ста…

Новые ИБ-решения недели: 27 января 2022 годаAlexander AntipovКраткий обзор главных новинок на рынке ИБ за неделю.

Руководители в области безопасности и управления рисками могут быстро и эффективно распознавать основные причины, влияющие на финансовые риски.

Компания GrammaTech выпустила новую версию своей платформы безопасности для цепочки поставок CodeSentry.

Решение выявляет слепые зоны и позволяет специалистам по безопасности быстро и легко оценивать риски и управлять ими на протяжении всего жизненного цикла программного обеспечения.

Компания ESOF предста ESOF Vulnerability Management Detection and Response (VMDR) – решение для выявления и реагирования на уязвимости.

Брокеры начального доступа участвуют в атаках Log4Shell на серверы VMware HorizonAlexander AntipovКиберпреступники использовали уязвимость для установки полезной нагрузки второго этапа на взломанные системы.

Группа брокеров начального доступа под названием Prophet Spider связана с вредоносной кампанией, в ходе которой злоумышленники эксплуатируют уязвимость Log4Shell ( CVE-2021-44228 ) в серверах VMware Horizon.

В августе 2021 года группировка была замечена в активном использовании уязвимостей в серверах Oracle WebLogic для получения первоначального доступа.

Prophet Spider в первую очередь получает доступ к жертвам, компрометируя уязвимые web-серверы, и использует различные малораспростране…

NSO Group ведет переговоры с венчурной компанией в США о продаже активовAlexander AntipovВ прошлом году NSO наняла консультантов, которые должны помочь ей провести реструктуризацию или продать активы.

Израильский производитель коммерческого шпионского ПО NSO Group, которого обвиняют в продаже своих инструментов для слежки за журналистами и активистами, обсуждает возможность продажи своих активов американской венчурной компании Integrity Partners.

Согласно меморандуму о намерениях (предварительному, не имеющему юридической силы документу, предшествующему сделке), Integrity Partners учредит компанию под названием Integrity Labs, которая приобретет контроль над NSO.

Партнерами Integrity являют…

Apple исправила уязвимость нулевого дня в macOS и iOSAlexander AntipovЭто первая 0Day-уязвимость, исправленная Apple в 2022 году.

Проблема ( CVE-2022-22587 ) представляет собой уязвимость повреждения памяти в IOMobileFrameBuffer, затрагивающая iOS, iPadOS и macOS Monterey.

Полный список затронутых устройств включает: iPhone 6s и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения), а также macOS Monterey.

Техногигант также исправил уязвимость ( CVE-2022-22594 ) в Safari WebKit в iOS и iPadOS.

Исправлена уязвимость в программе для согласования цветопередачи ColorSync ( CVE-2022-22584 ), в сервисе iCloud ( CVE-2022-22…

Индия создаст альтернативу Android и iOSAlexander AntipovПравительство Индии хочет, чтобы новая ОС стала настоящим индийским брендом.

Правительство Индии и Министерство электроники и информационных технологий планирует разработать собственную мобильную операционную систему, которая станет альтернативой Android и iOS.

Как сообщает The Economic Times, в настоящее время правительство ищет новые возможности среди стартапов и в академической среде.

В настоящее время основными мобильными операционными системами являются Android и iOS, отметил министр электроники и информационных технологий Индии Раджив Чандрасекхар.

Единственной альтернативой в настоящее время является разве что HarmonyOS от кита…

TrickBot вызывает сбой в работе браузеров ИБ-экспертовAlexander AntipovTrickBot способен определять, подвергается ли он анализу со стороны ИБ-эксперта.

Вредонос вызывает сбой в работе вкладок браузера при обнаружении определенных скриптов.

Улучшение кода — это преобразование запутанного кода или развернутого текста в контент, который легче читается человеческим глазом и, следовательно, в нем легче идентифицировать код.

При обнаружении измененного кода TrickBot теперь вызывает сбой браузера, чтобы предотвратить дальнейший анализ внедренного скрипта.

«TrickBot использует RegEx для обнаружения «улучшенной настройки» и запускает себя в цикл, который увеличивает размер динамического массива на к…

28 января пройдет четвертая тематическая конференция Privacy Day 2022Alexander AntipovНовые правила в сборе биометрии в России и СНГ, распознавание лиц и цифровые следы школьников, блокировка Tor, казахские шатдауны, шпионское ПО и борьба с ним, актуальное в сфере Privacy TechГлавная тема конференции 2022 года - сбор биометрических данных для бизнес-процессов, для госуслуг и в образовательных учреждениях.

Программа Privacy Day 2022 поделена на три тематических блока, каждый из которых по-своему рассмотрит актуальные проблемы и тренды, такие как:использование персональных данных несовершеннолетних граждан, в т.ч.

Готово ли общество и компании к переходу на биометрию как на основной, и возмож…

Метавселенная в Китае будет полностью подконтрольна правительствуAlexander AntipovВ отличие от традиционного интернета метавселенная будет регулироваться с самого зачаточного состояния.

Какой будет метавселенная в Китае?

«Традиционный интернет-бизнес в Китае сначала возник, а уже потом стал регулироваться властями.

Эксперты отмечают, что игры, считающиеся технологией доступа в метавселенную, в Китае строго регулируются.

Несмотря на различные возможные ограничения, некоторые эксперты считают, что метавселенная в Китае будет процветать только благодаря готовности китайских пользователей искать новые виды online-развлечений.

Путин поручил ЦБ и правительству выработать единое мнение по вопросу криптовалютAlexander AntipovВладимир Путин обратился к Центробанку и правительству с просьбой помириться в вопросе регулирования криптовалют.

На совещании с членами Правительства президент РФ Владимир Путин поручил Правительству и Центральному банку прийти к единому мнению о регулировании рынка криптовалют.

По словам главы государства, Центробанк не стоит на пути технического прогресса и сам принимает усилия по внедрению в стране новейших технологий в этой сфере.

Путин также отметил, что призыв к запрету можно объяснить высокой волатильностью криптовалют на рынке, что всегда несет риски, в первую очередь для самих граждан.…

XDR-системы изначально «заточены» на работу через API; таким образом, в отличие от SIEM, они основаны не на корреляции данных, а на их обогащении.

Мы задали зрителям онлайн-конференции вопрос: что, на их взгляд, мешает внедрению XDR в их организации?

Что, на ваш взгляд, является главным ограничивающим фактором для внедрения XDR?

Развитие рынка XDR: прогнозы экспертовМы попросили экспертов поделиться своими прогнозами — видением рынка XDR на ближайшие 2–3 года.

Вендоры будут наращивать интеграцию своих продуктов в XDR, а также увеличивать количество источников сторонних данных, принимаемых системой.

Такое внимание к теме NFT не могло не привлечь внимание киберпреступников, которые незамедлительно начали целевые атаки на специализированные сообщества.

Какие риски с точки зрения информационной безопасности несут в себе невзаимозаменяемые токены, на что следует обратить внимание покупателям и продавцам подобных активов?

Пара tokenId и адрес смарт-контракта конкретного токена уникальны на глобальном уровне, что и делает NFT невзаимозаменяемыми.

Совместимость с ERC-20 позволяет покупать и продавать невзаимозаменяемые токены используя те же криптовалютные кошельки, что и для обычных монет.

Нарушение принципа децентрализации создаёт угрозы как для продавца, так и для покупателя, которые должн…

По статистике, каждый месяц выпускается около 100 000 приложений для Google Play и 30 000 приложений для Apple Store.

Естественно, там, где используются информационные технологии, да ещё и в таком массовом масштабе, обитает и немало кибермошенников.

Мошенники подделывают запрещённое приложение и публикуют его в магазине с похожим названием и уверением в том, что оно действительно работает как оригинальное.

Помогут прогнозы Gartner, отчёты вендоров и интеграторов и т. д.Перед публикацией приложения в магазинах рекомендуется провести независимый анализ защищённости.

И это касается не только мобильных программ, но и приложений для умных телевизоров и прочих гаджетов.

Ручная загрузка файлов в FortiAI с целью последующего сканирования.

Просмотр событий FortiAI в FortiAnalyzerПреимущества интеграции FortiAI в качестве предварительного фильтра в связке с FortiSandbox описаны выше: она позволяет в разы снизить нагрузку на песочницу.

Интеграция FortiAI в инфраструктуруFortiAI возможно внедрить в инфраструктуру предприятия в виде виртуальной машины или программно-аппаратного комплекса FortiAI 3500F.

Если виртуальная машина может обрабатывать 14–22 тысячи файлов в час, то FortiAI 3500F достигает производительности в 100 тысяч файлов в час.

Дашборд FortiAI после выявления вредоносных файловПодключение FortiAI в режиме автоблокировкиРассмотрим сценарий, при котор…

Расскажем о том, как можно защитить серверы и устройства сотрудников, в том числе в территориально распределённых компаниях.

Гибридная ИТ-инфраструктура: есть нюансыВ условиях гибридной ИТ-инфраструктуры не всегда просто защитить доступ к корпоративным информационным системам, серверам и рабочим станциям.

Во-первых, как правило, сотрудники используют для доступа и к корпоративному ноутбуку, и к рабочей станции всего лишь пароль — и не всегда надёжный.

С учётом того что в дальнейшем удалённый формат работы с периодическими визитами в офис наверняка сохранит свою популярность, бизнесу крайне важно защитить доступ к серверам и рабочим станциям в условиях гибридной ИТ-инфраструктуры.

Какие подх…

Просчёты в продвижении и защите своей репутации в целом и бренда в частности могут позволить себе только крупнейшие, зачастую международные компании или фирмы-монополисты.

Российский рынок систем защиты брендаПредставители российского рынка систем Brand Protection тоже предоставляют обширный перечень услуг в области защиты бренда, не только используя международный опыт в этой сфере, но и расширяя свои компетенции за счёт опыта работы в России и странах СНГ.

Для определения и поиска наиболее сложных схем и инцидентов привлекается мультиязычная команда специалистов с опытом работы и защиты бренда в любой стране мира.

Сочетая возможности онлайн-охраны бренда, защиты авторских прав и мониторинг…

Как реализовать концепцию программно определяемой сети (SD-WAN) для обеспечения безопасности в средах операционных технологий (ОТ) и промышленных сетях с помощью решений Fortinet: FortiGate Rugged, FortiSwitch и FortiAP?

Это связано как с повсеместной цифровизацией и необходимостью организовать централизованное и эффективное удалённое управление промышленными системами (в том числе когда предприятие состоит из географически распределённых подразделений), так и с распространением облачных технологий и сервисов.

Адаптация технологии SD-WAN в средах ОТ ― не самая простая задача, связанная в том числе с обеспечением непрерывности работы критической инфраструктуры и её защищённости.

Компания For…

Как грамотно организовать мониторинг промышленных объектов (АСУ ТП) и оценить уровень их информационной безопасности?

Как поможет и какую роль сыграет центр мониторинга и оперативного реагирования на инциденты в информационной безопасности (SOC — Security Operations Center)?

При этом в АСУ ТП по объективным причинам нет возможности реализовать оперативную установку обновлений или внесение изменений в конфигурации.

Патч операционной системы, требующий обязательной перезагрузки узла АСУ ТП, может быть применён исключительно тогда, когда такая перезагрузка не приведёт ко сбою самого технологического процесса.

Роль мониторинга в обеспечении информационной безопасности АСУ ТПРезюмируя, можно пер…

Крупные утечки конфиденциальной информации и рекордные суммы выкупов, а также продолжение истории с «удалёнкой» и связанными с ней киберрисками.

Опасность заключается не только в том, что брешь позволяет удалённо выполнить произвольный код и легко эксплуатируется, но также и в том, что уязвимую библиотеку можно встретить в системах и продуктах таких производителей, как Apple, Amazon, Cloudflare, Google, LinkedIn и т. д.Чуть позже выяснилось, что есть и второй изъян (CVE-2021-45046), и третий.

Наиболее показательный пример этого — взлом SolarWinds в 2020 г.Атаки на Acer, утечка 60 ГБ данных и требование 50 млн долларовАтаки на тайваньского техногиганта — одни из самых ярких в ИТ-сегменте в 2…

Чем жил российский рынок информационной безопасности в 2021 году?

Всеслав Соленик:— Импульс движения в сторону цифровизации, который был получен в 2020 году, оказал большое влияние и на 2021-й.

Прогнозы развития рынка информационной безопасности в 2022 годуКакие важные события произойдут на рынке в 2022 году?

Мы попросили экспертов поделиться своими прогнозами развития индустрии информационной безопасности в России.

Информационно-аналитический центр Anti-Malware.ru и в новом году продолжит держать руку на пульсе событий, приглашая в студию онлайн-конференции AM Live представителей ведущих игроков рынка.

Известные эксперты отметили основные тенденции на рынке информационной безопасности в России и сделали свои прогнозы о развитии киберугроз и средств защиты информации на будущий 2022 год.

Звучит он так:Чего можно ожидать в наступающем 2022 году в области развития киберугроз и эволюции средств защиты от них?

Обработка больших данных требует развития автоматизации, которая вновь, как и в прошлом году, в том или ином виде стала предметом ряда прогнозов.

И на такие угрозы бизнесу реагировать самостоятельно с каждым годом всё сложнее, что усугубляет и без того критическую проблему с кадрами.

Атаки типа «man-in-the-middle» всё ещё остаются актуальными, и в 2022 году их количество и охват только в…

«Информация для взрослых» — интернет-площадки с рекламой и пропагандой алкоголя и табака, сайты знакомств, онлайн-казино, лотереи, тотализаторы, сайты с информацией порнографического содержания.

«Прочие сайты» — большой набор интернет-ресурсов различных категорий: юмор, туризм, новости и СМИ, недвижимость и т. п.Чёрные и белые спискиСервис SkyDNS позволяет администратору создавать свои чёрные и белые списки.

Статистика отображается по часам и по дням.

Исключения в «SkyDNS Агенте»ВыводыРешение для контроля, защиты и мониторинга корпоративных сетей SkyDNS позволяет обезопасить компанию от киберугроз и повысить эффективность использования рабочего времени сотрудников.

Простота внедрения, отсут…

И это не единственная проблема, которая пока мешает развитию ГосСОПКА.

Сколько организаций подключено сейчас к ГосСОПКА, чем система может быть им полезна и что тормозит её развитие, разберём в этой статье.

А вот что происходит, как говорил Джордж Буш-младший, в этих ваших электрических интернетах, решительно непонятно, не видно и не осязаемо.

Уговоры, что это может быть первым шагом, после которого злоумышленники выйдут на КИИ и нанесут ущерб, редко работают.

ВыводыКак видно, подтверждается тезис о том, что «подключение к ГосСОПКА» — это не формирование защищённого канала связи с НКЦКИ и не формальное выполнение формальных требований.

На текущий момент традиционные СЗИ, такие, например, как антивирус, не в состоянии в одиночку обеспечить тот уровень защиты, который требуется бизнесу.

Их проектировали для другого типа угроз, в них отсутствует возможность сопоставления данных с конечных точек, и в целом они направлены скорее на выявление распространённых массовых атак.

Это комплексное решение класса XDR для обнаружения, расследования атак, реагирования на них и централизованного управления из единой веб-консоли.

Они проводят анализ выявленных угроз и в случае обнаружения критически значимых инцидентов в ИБ информируют об этом ответственного сотрудника клиента.

Однако текущая ситуация показывает, что компании не застрахован…

Разница лишь в том, что в последнем случае атака, скорее всего, целевая и организована высокопрофессиональной хакерской группировкой.

И по каждому из направлений нужно определить возможные решения, провести их тестирование, чтобы сделать окончательный выбор.

Опции, которые входят в состав бандла «Защита от фишинга и шифровальщиков» от «Ростелекома», основаны на технологиях ведущих вендоров.

Защита от фишинга и шифровальщиков: что в составе?

Решение для защиты от фишинга и шифровальщиков представлено в трёх вариантах — базовом, улучшенном и максимальном.

С ним вы научитесь запускать CLR с помощью любого языка: С++, Python.После старта CLR идут события 156, они генерируются при загрузке в CLR доменов приложений.

Сборка определяет ряд правил для кода, который в ней содержится, предоставляет CLR (и другому коду) сведения о типах и классах, определенных в сборке.

По умолчанию она запрещена.Но не в случае с COM-активацией CLR в хост-процессе эксплорера.

Они не появятся, пока мы не загрузим и не запустим KatzAssembly .

Подобные атаки, к сожалению, очень просты в исполнении и сложны в обнаружении, поскольку требуются мощности для сканирования памяти и выгружаемых приложений.

Ключевые новшества документа:Субъект КИИ должен сообщать во ФСТЭК России об изменении сведений о значимых объектах КИИ не позднее 20 рабочих дней со дня их изменения.

Устанавливается необходимость аттестации систем электронного документооборота или иных программных решений, а также систем хранения электронных документов на соответствие требованиям ФСБ России и ФСТЭК России.

Планы ФСТЭК России на 2022 год8.

№ 90»;проект приказа ФСТЭК России «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г.

Федеральное агентство по техническому регулиров…

Чтобы гарантировать работоспособность TLS и обеспечение необходимой безопасности, системным администраторам и разработчикам необходимо прикладывать дополнительные усилия для правильной настройки серверов и разработки приложений.

Используйте безопасные протоколыВ семействе SSL/TLS шесть протоколов: SSL v2, SSL v3, TLS v1.0, TLS v1.1, TLS v1.2 и TLS v1.3:SSL v2 небезопасен и не должен использоваться.

Точно так же TLS v1.0 и TLS v1.1 устарели в январе 2020 года в современных браузерах.

Точно так же современные браузеры прекратят поддержку TLS v1.0 и TLS v1.1 к январю 2020 года.

Обратите внимание, что приведенный выше список является общим и что не все системы (особенно старые) поддерживают все…

стильным, модным и молодежнымУправление инфраструктурой аттестованного облака для ГИС и ПДнненужнымнетрадиционного подходаНеобходимые и достаточные СЗИ для АРМ Администраторакомплексное сертифицированное средство защиты АРМ Администратора;сертифицированное криптографическое средство защиты каналов передачи данных.

Однако обеспечить защиту АРМ Администратора в локации клиента и за пределами облака провайдер не может.

Используемое VPN-решение должно полностью соответствовать тем же нормативным требованиям, что и вся облачная инфраструктура.Очевидно, что для защиты АРМ одного VPN-клиента недостаточно.

Поэтому достаточными средствами защиты АРМ будет являться совокупность всех СЗИ.Так как наше …

Я заметил заголовок User-Agents, у них есть такие значения, по которым можно понять, что это за потребитель.

Защищаем PostgreSQL1) Мы не используем стандартные имена для БД.

2) Мы не используем стандартные имена учетных записей для БД.

Правила защиты на самом деле просты и банальны:1) Закрываем elastic и logstash на аутентификацию и тогда следом kibana тоже будет на нее и закрыта.

# Для примера: Для elasticsearch по-умолчанию стоит порт 9200 -> меняем на 9222.

25 января командой Qualys был опубликован отчет об уязвимости класса memory corruption в утилите pkexec из компонентов Polkit (бывший PolicyKit).

При этом совсем не важно, запущен демон polkit или нет — для эксплуатации важно наличие уязвимого компонента в системе.

Центр мониторинга и реагирования на инциденты информационной безопасности Jet CSIRT компании «Инфосистемы Джет» проанализировал доступную информацию об уязвимости и вывел рекомендации по ее обнаружению и устранению.

Следует отметить, что данная уязвимость — CVE-2021-4034 — не первая уязвимость в PolKit.

Потенциальное наличие уязвимостей в подобном ПО открывает широкие возможности для атакующих, и мы, вероятно, еще увидим новые уя…

Мы будем работать с органами стандартизации и с поставщиками других браузеров с целью предотвращения появления новых форм подобных атак.

Расширяем фронт атак на переадресующие трекерыВерсии нашего браузера и на ПК, и на Android теперь защищают от ещё большего количества переадресующих трекеров.

Если это получается, трекер узнаёт, что один и тот же человек посетил оба сайта, и с течением времени сможет создать детальный профиль пользователя.

Наши правила дебаунсинга открыты и общедоступны, и мы будем рады, если другие проекты, связанные с конфиденциальностью, воспользуются нашим списком или улучшат его.

Наши пользователи и исследователи пользуются другими списками, помогающими защитить конфи…

Корневой ключ хранилища ( SRK ), основанный на EK и пароле владельца;), основанный на EK и пароле владельца; Ключ аттестации (AK), который можно использовать для хеширования критических измерений, чтобы доказать, что они поступили от TPM.

EK может доказать, что AK поступил от определенного TPM, но для защиты конфиденциальности конструкция не позволяет отследить AK до его EK/TPM.

Keylime достигает этого, используя криптографическую идентификацию, предоставляемую устройствами TPM, а также функциями безопасной и контролируемой загрузки современного UEFI/BIOS.Аттестация Keylime осуществляется на постоянной основе.

Мы полагаемся не только на их производительность и функциональность, но и на их б…

В Интернете можно найти статьи и гайды о самостоятельном поиске вируса на сайте и его последующим удалении.

Далее файл прогнан через дизассемблер, после чего был получен следующий результат:С самого начала идет подготовка к инициализации ssl-соединения, а после этого вызывается функция xmrstak::params::inst, что не вписывается в логику работы sshd.

Работает как на видеокартах AMD & Nvidia (GPU), так и на процессорах (CPU).

И даже если скрипты очистить от вставок постороннего кода, то это не означает, что больше вирусного ПО нет.

Стоит вручную проверить не только файлы пользователя/сайта, но и остальные директории (в случае с VDS — Dedicated).

Никогда такого не было, и вот опять...TLDR: Почтовый сервис Gmail подвержен атаке DKIM replay на репутацию домена отправителя.

Репутация домена отправителя является одной из важных на ряду с репутацией IP адреса отправляющего сервера.

Как только репутация какого-либо домена падает до плохой, все новые письма с почтовых адресов домена начинают приходить в папку "Спам".

Gmail принимает сколько угодно копий одного и того же письма с разными адресами получателя в SMTP сессии (именно так работает BCC в электронной почте).

Если у домена резко упала репутация в Gmail, проверить на атаку можно у postmaster гугла - в разделе "IP Reputation" будет очень много чужих IP адресов.

Динамическое изменение доступного пространства в SSD (для производительности).

К сожалению, простое форматирование не спасёт, потому что зловред прописывается в скрытых областях накопителя (которые не форматируются штатными средствами).Предположим, закладку ставят на новый смартфон, HDD или SSD во время его доставки к покупателю из интернет-магазина, то есть на почте.Как устанавливаются аппаратные закладки в общем случае?

Клиент не ожидает, что новый SSD из Китая будет скомпрометирован на российской почте.

Метод работает просто и эффективно.Бэкдор можно также установить в скрытую область на диске, в прошивку, BIOS.

Недавно их адаптировали для современных накопителей типа SSD, у которых своя…

Короче, этот чувак мне даже нравится, потому что удобно олицетворяет то, что я отрицаю: низкосортный контент на потоке.

Поэтому простите: мне надоело делать это вручную, и я написал скрапер для автоматического минусования статей @MaxRokatanskyИ чо?

И я взбесился.

)">', html)[1] log.info(f'{csrf_token=}') session.headers['csrf-token'] = csrf_token tasks = [ asyncio.create_task(vote(session, post)) for post in posts ] coroutines = await asyncio.gather(*tasks) responses = [] for coro in coroutines: response = await coro responses.append(response) results = [] for i, response in enumerate(responses): data = await response.read() result = posts[i], response.status, data.decode('utf8') log.debug(…

Благодаря массовому переходу на 5G работу водителей и кассиров будут выполнять системы ИИ, что создаст проблемы с трудоустройством для людей, не подготовившихся к изменениям.

Дроны-доставщики будут использоваться не только для доставки, но и для возврата товаров.

Взлом или перехват автономных транспортных средств доставки для кражи грузов.

Вместо текстовых персональных данных целью фишинговых атак станут биометрические данные, полученные инновационными методами, включая взлом камер в магазинах для кражи лиц людей.

Чтобы подготовить бизнес-процессы к будущим угрозам, организациям нужно рассматривать возможные проблемы уже сейчас и не игнорировать требования безопасности ради захвата рынка.

При входящих потоках cвыше 10 000–15 000 событий в секунду система хранения событий создает интенсивную нагрузку на дисковую подсистему в момент индексации (т. е. записи данных на диск).

Обычно это приводит к буферизации данных на компонентах, которые находятся на этапах обработки, предшествующих записи в базу.

Поскольку MaxPatrol SIEM уже имел архитектуру, позволяющую добиться требуемого показателя EPS (нам всего лишь было нужно построить иерархию), мы с энтузиазмом за него взялись.

Чтобы обеспечить одновременно и бесперебойную запись, и чтение данных, на дисковые системы накладываются высокие требования по IOPS .

Процесс перезаписи данных с SSD на HDD в хранилищеТаким образом, чтобы увели…

Решение позволяет с помощью перехвата видеопотока с веб-камеры осуществлять мониторинг за деятельностью удаленно работающих сотрудников и выявлять нелегитимную активность, согласно настроенным политикам безопасности и блокировать рабочую станцию.

Здесь речь идет как о необходимости соблюдения бизнес-процессов, пресечения неправомерных действий и повышении качества работы удаленно работающих сотрудников, так и недостаточной степени объективности и осведомленности о деятельности сотрудников в целом.

Анализ видеопотока на сервереАнализ видеопотока на сервереПреимущества:«Дешевые» камеры;Централизованное хранение всего видеопотока на сервере;Оперативный доступ к записи с любой видеокамеры;Прост…

Как сде­лать сис­тему монито­рин­га, которая сама по себе не будет тре­бовать вни­мания и ресур­сов?

Пос­тара­юсь рас­ска­зать о воз­можнос­тях Netdata и о тех фун­кци­ях, которые я исполь­зую в сво­их про­ектах.

Пот­ребле­ние ресур­сов край­не невели­ко, ведь Netdata работа­ет и на роуте­рах с OpenWRT.

Кро­ме того, сущес­тву­ет воз­можность сбо­ра и агре­гации дан­ных в Netdata Cloud, для дос­тупа к дан­ным ста­тис­тики име­ется спе­циаль­ный веб‑интерфейс.

Что­бы у тебя, дорогой читатель, не воз­никло слож­ностей в про­цес­се зна­комс­тва с Netdata при вклю­чен­ном SELinux в режиме enforcing, пред­лагаю его вык­лючить.

Эксперты компании ESET обнаружили новое шпионское ПО DazzleSpy, нацеленное на активистов и демократов в Гонконге.

Интересно, что малварь предназначена для macOS и заражает жертв посредством так называемых атак watering hole («водопой»).

Этим термином атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться.

Вредоносный код использовался для загрузки файла Mach-O, для чего задействовалась уязвимость удаленного выполнения кода в WebKit, которая была исправлена ​​Apple в феврале 2021 года (CVE-2021-1789).

«Эксплойт, используемый для выполнения кода в браузере, довольно сложен и содержит более 1000 строк кода», — отмечают исследов…

Уязвимость в ядре ​​Linux, имеющая идентификатор CVE-2022-0185, может использоваться для выхода из контейнеров Kubernetes, что позволит атакующему получить доступ к ресурсам хост-системы.

Уязвимость приводит к out-of-bounds записи, отказу в обслуживании, а в итоге и к выполнению произвольного кода.

В бюллетенях безопасности, выпущенных на прошлой неделе (1, 2), отмечалось, что с помощью этого бага локальный пользователь может повысить свои привилегии в системе.

Обнаружение уязвимости приписывают членам команды CTF Crusaders of Rust (CoR), в которую входит 21 участник из Европы и США.

В ходе бесед со СМИ члены CoR сообщили, что планируют опубликовать эксплоит для этого бага примерно через не…

TrickBot — один из наиболее известных и «успешных» вредоносов на сегодняшний день.

Аналитики IBM Trusteer сообщают, что теперь TrickBot обзавелся несколькими новыми слоями защиты, предназначенными для обхода антивирусных продуктов и защиты от изучения.

В настоящее время TrickBot имеет даже слишком много уровней обфускации, что делает его анализ медленным, и тот часто дает недостоверные результаты.

Если раньше TrickBot пытался определить, изучают ли его, проверяя разрешение экрана хоста, теперь он ищет признаки «приукрашивания» кода (сode beautify).

Так, в последних версиях TrickBot используются регулярные выражения, позволяющие заметить, если один из скриптов был «приукрашен», ведь обычно у…

Исследователи из компании Qualys раскрыли информацию о баге 12-летней давности, обнаруженном в составе pkexec Polkit (ранее PolicyKit).

Сообщается, что pkexec точно может использоваться злоумышленниками для локального повышения привилегий в Ubuntu, Debian, Fedora и CentOS, но также могут быть затронуты и другие дистрибутивы Linux.

Так, Ubuntu уже выпустила обновления для устранения уязвимости в версиях 14.04 и 16.04 ESM, а также в более новых версиях 18.04, 20.04 и 21.04.

Red Hat также опубликовала патч для polkit для продуктов Workstation и Enterprise, а также для решений с продленным циклом поддержки (TUS и AUS).

Издание Bleeping Computer отмечает, что для ОС, где пока нет патча, доступен…

Журналисты подчеркивают, что в настоящее время нет никаких подтверждений тому, что выплата выкупа вообще приведет к получению ключа, а пользователи смогут расшифровывать свои файлы.

Интересно, что в записке с требованием выкупа есть отдельная ссылка, озаглавленная «Важное сообщение для Qnap», при нажатии на которую отображается сообщение для разработчиков.

Также они сообщают, что готовы продать мастер-ключ, который поможет расшифровать файлы всех жертв, и информацию о 0-day за 50 биткоинов, то есть почти за 1,85 миллиона долларов США.

Компания предупреждает пользователей:«DeadBolt атакует все NAS, подключенные к интернету без какой-либо защиты, и шифрует данные пользователей с целью получен…

Даль­ше пошел про­цесс нас­трой­ки nginx и php-fpm , преж­де все­го — пос­ледне­го, пос­коль­ку имен­но его парамет­ры вли­яют на экс­плу­ата­цион­ные осо­бен­ности CMS.

Я не буду рас­смат­ривать уста­нов­ку и нас­трой­ку nginx с самого начала — ско­рее все­го, у тебя уже все нас­тро­ено.

Если пер­воначаль­ную нас­трой­ку выпол­нял не ты, поищи во всех фай­лах катало­га nginx фай­лы с дирек­тивой Include — так ты пой­мешь, что и отку­да берет­ся.

В общем, резюми­ровать мож­но сле­дующее: если ты решишь вклю­чить OPcache, то в слу­чае с Magento тебе при­дет­ся отка­зать­ся от исполь­зования собс­твен­ной сис­темы кеширо­вания и раз­бирать­ся с нас­трой­ками Varnish.

Для вклю­чения OPcache ну…

Эксперты предупредили, что две уязвимости, влияющие на Control Web Panel (CWP, ранее CentOS Web Panel), могут быть объединены в цепочку, после чего неавторизованные злоумышленники получат возможность удаленного выполнения кода (RCE) от имени пользователя root на уязвимых серверах Linux.

Хотя официальный сайт CWP утверждает, что около 30 000 серверов работают под управлением CWP, журналисты Bleeping Computer обнаружили в интернете более 80 000 серверов CWP, использовав для поиска BinaryEdge.

Ошибки представляют собой проблему включения файлов (CVE-2021-45467) и проблему записи файлов (CVE-2021-45466), которые вместе становятся RCE-уязвимостью.

Этого можно добиться, зарегистрировав ключ API (…

Хак-группа, называющая себя «Белорусские киберпартизаны», утверждает, что взломала и зашифровали серверы Белорусской железной дороги.

Хактивисты заявили, что поводом для взлома послужил тот факт, что Россия использовала Белорусскую железную дорогу для переброски войск и техники.

Хакеры сообщили, что «зашифровали некоторые из серверов, БД и рабочих станций», но не трогали «системы автоматизации и защиты» из соображений безопасности.

На одном из скриншотов видно, что онлайн-касса Белорусской железной дороги отвечает ошибкой при выполнении SQL-запроса.

О кибератаке в этом сообщении нет ни слова, равно как и о точной природе сбоя и сроках его устранения.

Организованный Twitch турнир по Minecraft, смоделированный по правилам популярного сериала Netflix «Игра в кальмара», стал причиной мощных DDoS-атак на единственного интернет-провайдера Андорры.

Издание The Record сообщает, что атаки наблюдались в пятницу, субботу, воскресенье и понедельник, ударили по провайдеру Andorra Telecom, на несколько часов отключив связь по всей стране.

Начиная со второго дня соревнований DDoS-атаки мешали игрокам из Андорры подключиться к турниру, так как местный интернет-провайдер не справлялся с объемом поступающего трафика.

Собственные источники The Record сообщили, что некоторые из атак достигали пиковой мощности 100 Гбит/сек.

Издание пишет, что атаки были свя…

Just two weeks after reaching the official end of life, something broke spectacularly, leaving CentOS 8 users at major risk of a severe attack – and with no support from CentOS.

LUKS stands for Linux Unified Key Setup and is a mechanism used in Linux-powered systems to support, amongst other things, full disk encryption.

LUKS is quite complex and many security systems interact with LUKS, but a comprehensive LUKS guide is not the goal for this article.

A key LUKS feature is the ability to change, on the fly, the key that is used to encrypt a given device.

But, with CentOS 8 now no longer officially supported, a CentOS 8 patch for the LUKS flaw is not going to appear.

A financially-motivated malware campaign has compromised over 800 WordPress websites to deliver a banking trojan dubbed Chaes targeting Brazilian customers of Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre, and Mercado Pago.

"Chaes is characterized by the multiple-stage delivery that utilizes scripting frameworks such as JScript, Python, and NodeJS, binaries written in Delphi, and malicious Google Chrome extensions," Avast researchers Anh Ho and Igor Morgenstern said.

"The ultimate goal of Chaes is to steal credentials stored in Chrome and intercept logins of popular banking websites in Brazil."

"Chaes exploits many websites containing CMS WordPress to serve malicious insta…

Researchers from the Bitdefender Mobile Threats team said they have intercepted more than 100,000 malicious SMS messages attempting to distribute Flubot malware since the beginning of December.

FluBot (aka Cabassous) campaigns use smishing as the primary delivery method to target potential victims, wherein users receive an SMS message with the question "Is this you in this video?"

"This new vector for banking trojans shows that attackers are looking to expand past the regular malicious SMS messages," the researchers said.

The analysis also corroborates a previous report from Dutch cybersecurity firm ThreatFabric, which found six Anatsa droppers on the Play Store since June 2021.

The mammoth…

A new, sophisticated phishing attack has been observed delivering the AsyncRAT trojan as part of a malware campaign that's believed to have commenced in September 2021.

The intrusions commence with an email message containing an HTML attachment that's disguised as an order confirmation receipt (e.g., Receipt-.html).

Opening the decoy file redirects the message recipient to a web page prompting the user to save an ISO file.

RATs such as AsyncRAT are typically used to forge a remote link between a threat actor and a victim device, steal information, and conduct surveillance through microphones and cameras.

They provide an array of advanced capabilities that give the attackers the ability to f…

Tracked as CVE-2022-22587, the vulnerability relates to a memory corruption issue in the IOMobileFrameBuffer component that could be abused by a malicious application to execute arbitrary code with kernel privileges.

The iPhone maker said it's "aware of a report that this issue may have been actively exploited," adding it addressed the issue with improved input validation.

An anonymous researcher along with Meysam Firouzi and Siddharth Aeri have been credited with discovering and reporting the flaw.

CVE-2022-22587 is the third zero-day vulnerability discovered in IOMobileFrameBuffer in a span of six months after CVE-2021-30807 and CVE-2021-30883.

In December 2021, Apple resolved four additi…

The subject of threat visibility is a recurring one in cybersecurity.

An upcoming webinar (register here) tries to help lean security teams understand how to tackle this intractable problem.

In that way, security teams can know more but respond less – an inversion of the current situation.

Automate Response Actions to Improve ReflexesWith improved threat visibility and accuracy, IT security teams – and especially lean teams – need to react quickly to thwart identified threats.

Register to the threat visibility webinar here

An initial access broker group tracked as Prophet Spider has been linked to a set of malicious activities that exploits the Log4Shell vulnerability in unpatched VMware Horizon Servers.

Prophet Spider is known to be active since at least May 2017.

This is far from the first time internet-facing systems running VMware Horizon have come under attack using Log4Shell exploits.

The onslaught against Horizon servers has also prompted VMware to urge its customers to apply the patches immediately.

"It's likely that we will continue to see criminal groups exploring the opportunities of the Log4Shell vulnerability, so it's an attack vector against which defenders need to exercise constant vigilance," …

Google on Tuesday announced that it is abandoning its controversial plans for replacing third-party cookies in favor of a new Privacy Sandbox proposal called Topics, which categorizes users' browsing habits into approximately 350 topics.

To give more control over the framework, users can not only see the topics but also remove topics or disable it altogether.

"Because Topics is powered by the browser, it provides you with a more recognizable way to see and control how your data is shared, compared to tracking mechanisms like third-party cookies," Vinay Goel, privacy director of Privacy Sandbox, said.

The overhaul is part of the search giant's plans to replace third-party cookies over privac…

Dubbed "PwnKit" by cybersecurity firm Qualys, the weakness impacts a component in polkit called pkexec, a program that's installed by default on every major Linux distribution such as Ubunti, Debian, Fedora, and CentOS.

If no username is specified, the command to be executed will be run as the administrative super user, root.

While this vulnerability is not remotely exploitable, an attacker that has already established a foothold on a system via another means can weaponize the flaw to achieve full root privileges.

The development marks the second security flaw uncovered in Polkit in as many years.

In June 2021, GitHub security researcher Kevin Backhouse revealed details of a seven-year-old …

Cybersecurity researchers on Tuesday took the wraps off a multi-stage espionage campaign targeting high-ranking government officials overseeing national security policy and individuals in the defense industry in Western Asia.

"We are supremely confident that we are dealing with a very skilled actor based on how infrastructure, malware coding and operation were set up," Trellix security researcher Marc Elias said.

The infection chain begins with the execution of a Microsoft Excel file containing an exploit for the MSHTML remote code execution vulnerability (CVE-2021-40444), which is used to run a malicious binary that acts as the downloader for a third-stage malware dubbed Graphite.

The DLL …

A previously undocumented cyber-espionage malware aimed at Apple's macOS operating system leveraged a Safari web browser exploit as part of a watering hole attack targeting politically active, pro-democracy individuals in Hong Kong.

In the next phase, the tampered code acted as a conduit to load a Mach-O file by leveraging a remote code execution bug in WebKit that was fixed by Apple in February 2021 (CVE-2021-1789).

"The exploit used to gain code execution in the browser is quite complex and had more than 1,000 lines of code once formatted nicely," ESET researchers said.

While the infection sequence detailed by Google TAG culminated in the installation of an implant called MACMA, the malwa…

The cybercrime operators behind the notorious TrickBot malware have once again upped the ante by fine-tuning its techniques by adding multiple layers of defense to slip past antimalware products.

"As part of that escalation, malware injections have been fitted with added protection to keep researchers out and get through security controls," IBM Trusteer said in a report.

"In most cases, these extra protections have been applied to injections used in the process of online banking fraud — TrickBot's main activity since its inception after the Dyre Trojan's demise."

The new updates observed by IBM Trusteer relate to the real-time web injections used to steal banking credentials and browser coo…

The Android malware tracked as BRATA has been updated with new features that grants it the ability to track device locations and even perform a factory reset in an apparent bid to cover up fraudulent wire transfers.

First seen in the wild at the end of 2018 and short for "Brazilian Remote Access Tool Android," BRATA initially targeted users in Brazil and then rapidly evolved into a feature-packed banking trojan.

Since then, the malware has received numerous upgrades and changes, while also posing as security scanner apps to elude detection.

"After the victim installs the downloader app, it requires accepting just one permission to download and install the malicious application from an untru…

A previously undocumented malware packer named DTPacker has been observed distributing multiple remote access trojans (RATs) and information stealers such as Agent Tesla, Ave Maria, AsyncRAT, and FormBook to plunder information and facilitate follow-on attacks.

"The malware uses multiple obfuscation techniques to evade antivirus, sandboxing, and analysis," enterprise security company Proofpoint said in an analysis published Monday.

The .NET-based commodity malware has been associated with dozens of campaigns and multiple threat groups, both advanced persistent threat (APT) and cybercrime actors, since 2020, with the intrusions aimed at hundreds of customers across many sectors.

Attack chain…

When most organizations were forced to shift to remote work last year, they needed a quick-fix solution that would enable their remote employees to access work resources securely.

While VPNs are able to provide remote access, it may come as a surprise that they fall short when it comes to security.

One of the biggest issues with VPNs is that they provide full network access to whoever and whatever is connected.

To address these new problems and for the reasons discussed above, VPNs don't cut it when it comes to giving your remote workers secure access to what they need.

Secure access technologies like Zero Trust network access (ZTNA) or cloud access security broker (CASB) pick up where VPNs…

Threat actors are increasingly using scams that spoof package couriers like DHL or the U.S.

Postal Service in authentic-looking phishing emails that attempt to dupe victims into downloading credential-stealing or other malicious payloads, researchers have found.

Scams related to the courier accounted for 23 percent of all phishing emails during that time frame when the company’s name had been attached to only 9 percent of scams in the third quarter.

Fooled by Trusted BrandsResearchers attributed a couple of factors behind the ramp-up in scams related to package delivery.

However, the emails include a sender address completely unrelated to the USPS, which easily could have alerted someone to…

Why Adopt a SaaS Security Posture?

That’s why Gartner named SaaS Security Posture Management (SSPM) as a MUST HAVE solution to continuously assess security risks and manage the SaaS applications’ security posture in the “4 Must-Have Technologies That Made the Gartner Hype Cycle for Cloud Security, 2021” Other cloud solutions don’t offer preventative coverage.

This is where Adaptive Shield’s SSPM solution comes in — the SaaS Security Posture Management solution that enables security teams to have full visibility and control of the company’s SaaS apps and their posture to prevent a leak or breach.

Security teams can identify, analyze, and prioritize misconfigurations in their SaaS stack to ma…

The malware has added an anti-debugging tool that crashes browser tabs when researchers use code beautifying for analysis.

Trojan titan TrickBot has added a striking anti-debugging feature that detects security analysis and crashes researcher browsers before its malicious code can be analyzed.

IBM’s intelligence team found TrickBot’s script detects analysis whenever a code “beautifying” tool is applied to make the code more easily readable with human eyes.

Once TrickBot detects the beautifier, it kicks in a memory-overload reaction to crash the researcher’s tab.

Check out our free upcoming live and on-demand online town halls – unique, dynamic discussions with cybersecurity experts and the …

iOS 15.3 & iPadOS 15.3 fix the Safari browser flaw that could have spilled users’ browsing data, plus a zero day IOMobileFrameBuffer bug exploited in the wild.

Apple on Wednesday released 13 patches for serious security bugs in macOS and 10 for flaws in iOS/iPadOS.

They include fixes for two zero-day bugs, one of which may have been exploited by attackers in the wild.

Apple also said it’s aware of a report that indicates it may have been actively exploited in the wild.

The update is available for iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation).

The mobile malware heisted hundreds of millions of dollars from unsuspecting users, thanks to 470 different well-crafted malicious app in Google Play.

Nearly 500 malicious apps lurking on the Google Play Store have successfully installed Dark Herring malware — a cash-stealer intended to add sneaky charges onto mobile carrier bills — on more than 100 million Android devices across the globe.

Dark Herring malware was discovered by a research team with Zimperium, who estimate the amount the campaign has been able to steal totals in the hundreds of millions, in increments of $15 a month per victim.

The Zimperium analysts who identified Dark Herring said that the scamware is likely the work of a…

Establish Your Cyber-Threat Profile“The cyber-threat profile is arguably the most important document for a cyber-intelligence program.

A cyber-threat profile ideally examines a combination of three key factors: the threat landscape, your organizational profile, and a risk and impact analysis.

The security architecture should then be designed to see all interactions with these crown-jewel assets and allow the security organization to respond to threats.)

The security architecture should then be designed to see all interactions with these crown-jewel assets and allow the security organization to respond to threats.

This requires close communication between the intelligence and hunt functions …

Over the last couple of months, the Zix Threat Research team has observed threat actors using new tactics to spoof logistics and supply-chain companies, hoping for an easy compromise.

Understanding SpoofingAlthough there has been an uptick in supply-chain spoofing attacks, the act of spoofing itself is nothing new.

There are several varieties of spoofing attacks, but the most common trait is pretending to be an individual or company they aren’t.

For instance, recently the Zix Threat Research team uncovered a spoofing attack where the threat actors posed as one of the largest container-shipping lines in the world.

Security-awareness training is an effective internal process to implement beca…

The 12-year-old flaw in the sudo-like polkit’s pkexec tool, found in all major Linux distributions, is likely to be exploited in the wild within days.

Every major Linux distribution has an easily exploited memory-corruption bug that’s been lurking for 12 years – a stunning revelation that’s likely to be followed soon by in-the-wild exploits.

pic.twitter.com/qoP3YB90bI — Rajvardhan Agarwal (@r4j0x00) January 25, 2022It’s a ‘Dream Come True’“This vulnerability is an attacker’s dream come true,” Qualys researchers said on Wednesday, though “nightmare” is a better word for it when you’re sitting on the security side of things.

This tangled net makes open-source systems extremely attractive to t…

Researchers from Bitdefender Labs said they have intercepted more than 100,000 malicious SMS messages trying to distribute Flubot malware since the beginning of December, according to a report published Wednesday.

“These threats survive because they come in waves with different messages and in different time zones,” Bitdefender researchers wrote in the report.

Though this tactic was present in nearly 52 percent of campaigns researchers observed, they also used a scam dubbed “is this you in this video” that is a take-off of a credential-stealing campaign that’s been circulating relentlessly on social media in about 25 percent of observed campaigns, researchers wrote.

“This new vector for ban…

A massive Minecraft tournament styled after the Netflix blockbuster Squid Game (known, of course, as “SquidCraft”) apparently inspired a distributed denial of service (DDoS) attack that took down the sole (and state-owned) internet service provider in Andorra.

DDoS Attacks on GamingDDoS attacks are unfortunately popular on gaming platforms.

A pair of Apex Legends players were banned from the game last spring after launching DDoS attacks on an Xbox server.

And around the same time a new botnet called “Simps” emerged throughout underground marketplaces with the ability to launch DDoS attacks on gaming targets using Internet-of-Things (IoT) nodes.

The difference with the Squidcraft Games DDoS …

But a tweak to the CryptoBatz vanity URL by the company behind the project, Sutter Systems, mistakenly left the old URL active, along with old tweets referencing the abandoned URL.

Soon scammers set up a dummy Discord server with the old URL and started targeting users and draining their crypto wallets, according to Malwarebytes Labs.

Sutter Systems, Discord Slow to Respond?

Before it was eventually deleted, the NFT’s fake Discord server had already racked up 1,330 members.

Sutter Systems said Discord took down the NFT’s scam server last Friday.

Visitors who shopped on the company’s eCommerce website in January will likely find their payment-card data heisted, researchers warned.

Magecart 12 is one of the latest iterations of the group, known for consistently switching up its tactics.

“The compromise of the Segway store is a reminder that even well-known and trusted brands can be affected by Magecart attacks,” Malwarebytes noted.

Their activity is vociferous: A recent Risk IQ report in December found that a Magecart attack on a website happens once every 16 seconds.

Because of all of that, eCommerce merchants should assume they’re being targeted, noted James McQuiggan, security awareness advocate at KnowBe4.

A pro-democracy Hong Kong site was used to launch watering-hole attacks that planted a powerful macOS backdoor that researchers dubbed DazzleSpy.

A new family of cyber-espionage malware targeting macOS and delivered via a Safari exploit was used against politically active, pro-democracy residents of Hong Kong, in August watering-hole attacks initially discovered by Google TAG, researchers said on Tuesday.

“The exploit used to gain code execution in the browser is quite complex and had more than 1,000 lines of code once formatted nicely,” ESET researchers noted.

The malware used in the 2020 watering-hole attacks, the work of a then-new advanced persistent threat (APT) called TwoSail Junk, wa…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Here’s what you should know about the potential security and privacy risks of your smartwatch or fitness tracker.

Threat actors have multiple ways to monetize attacks on smart wearables and the related ecosystem of apps and software.

There are also potential privacy concerns over the covert sharing of personal data with third parties.

You may also accidentally download impostor apps designed to look like the legitimate ones, and entering personal information into them.

Previous to that, a separate investigation found many manufacturers were sending unencrypted personal data from children using the products to servers in China.

ESET researchers had been investigating this campaign the week before that publication, uncovering additional details about the targets and malware used to compromise its victims.

Here we provide a breakdown of the WebKit exploit used to compromise Mac users and an analysis of the payload, which is a new malware family targeting macOS.

file File operations: provides information, renames, removes, moves, or runs a file at the supplied path.

In addition, it should be noted that the DazzleSpy malware contains a number of internal messages in Chinese, for example as seen in Figure 12.

T1587.001 Develop Capabilities: Malware DazzleSpy is macOS malware developed to steal information from its vict…

Turns out, with just the simple art of “shoulder surfing”, your PayPal account could indeed be compromised and you could lose thousands of dollars.

However, I have found a way to take ownership of someone’s PayPal account and prove it in a legitimate and legal experiment; even more importantly, you’ll also learn how to avoid this attack on your account.

In the name of cybersecurity awareness and improving fraud prevention, he agreed to allow me to try anything on his account as long as I bought lunch – he didn’t specify whose bank account to use, though!

I know Dave’s personal email address and I guessed he also uses it for PayPal, too.

However, please note that we have educated our users n…

ESET research into Donot Team attacks – Common signs that your email has been hacked – Social media dos and don’ts in the workplaceIn this edition of Week in security, Tony looks at these topics:ESET research into attacks that a group called Donot Team carried out against government and military entities in several South Asian countries throughout 2020 and 2021What are the most common signs that your email account has been taken over by hackers?

What to know before you post details about your job, colleagues or employer on social media sites.

Connect with us on Facebook, Twitter, LinkedIn and Instagram.

A great deal of this revenue comes from monetizing stolen data, which many of us don’t realize is often stored in our email accounts.

Cybercriminals might also want to get your email account and log-ins in order to:Carry out credential stuffing.

Her email account was hacked.

How do I stop my email account from being hacked again?

Going through the experience of having an email account hijacked reminds us all just how much we use these apps every day.

The latter is the case with Donot Team operators, only that they are remarkably persistent in their attempts.

The payload that Donot Team uses is another document that exploits CVE-2017-11882 and is loaded automatically once it is downloaded.

In some attacks Donot Team has reused C&C domains from previous attacks – both for downloads and exfiltration.

Execution T1204.002 User Execution: Malicious File Donot Team has lured its victims into opening malicious email attachments.

Lateral Movement T1534 Internal Spearphishing Donot Team has sent spearphishing emails to their victims that came from within the same targeted organization.

Do you often take to social media to broadcast details about your job, employer or coworkers?

Indeed, one recent survey shows that most small business owners realize that their employees’ use of social media apps represents a cybersecurity threat.

With the right approach, however, there are ways for employees to use social media without exposing themselves or their employers to unnecessary risks.

And you should be aware of common scams you might encounter on popular social media platforms such as Facebook or Instagram.

Or, with your personal details, adding too much information on social media can make it easier to impersonate you, and commit identity theft.

How malware exploits security flaws in kernel drivers – Watch out for cryptocurrency scams – Why loyalty accounts are a target for criminalsIn this edition of Week in security, Tony looks at these topics:ESET research into malware that exploits vulnerabilities in kernel drivers and how this type of exploitation can be thwartedCryptocurrency scams and how to avoid becoming the next victim of fraud targeting not only people investing into bitcoin and other digital coinsWhy loyalty accounts are a target for cybercriminals and what you can do to keep your rewards safeConnect with us on Facebook, Twitter, LinkedIn and Instagram.

Loyalty accounts are big business, and hackers and fraudsters are increasingly zeroing in on a potential goldmine.

From British beauty and health retailer Boots, Australia’s supermarket chain Woolworths, to multinational brands like Tesco and Dunkin Donuts, attacks on loyalty card programs are increasingly common.

There are essentially three potential vectors for loyalty card cyberthreats.

However, loyalty card fraud increased 89% year-on-year in early 2020, according to one study.

Hotel loyalty accounts can be sold on cybercrime forums for as much as US$850.

And the “fortunes” to be made by mining for virtual money have echoes of gold rushes in the 1800s.

Why are cryptocurrency scams on the rise?

Between October 2020 and May 2021, Americans lost an estimated $80m (€71m) to thousands of cryptocurrency scams, according to the FTC.

If you have virtual money safely stored in a cryptocurrency exchange, it may be at risk from hackers.

Emails, texts and social media messages are spoofed to appear as if sent from a legitimate, trusted source.

We don’t need no stinkin’ wall power as CES shows off the power and promise of usable long-range wireless chargingWhile wireless charging has been around for some time (like charging my iPhone in my Toyota’s center console), CES is showcasing real power at real distances measured in meters, not centimeters.

It’s not super-efficient (10% right now), but with remote power applications (like LED lighting, game console controllers, etc.)

Since the power transmitters operate in the infrared spectrum, as long as there is line of sight between the sensors, you have an ad hoc network.

And since the power transmitters sync with multiple endpoints needing power, it can be multiple sensors powered by …

ESET researchers look at malware that abuses vulnerabilities in kernel drivers and outline mitigation techniques against this type of exploitationThere are various types of kernel drivers; the first that come to mind are device drivers that provide a software interface to hardware devices like plug and play interfaces or filter drivers.

The mechanism of the transition to Windows kernel when executing SYSCALL is displayed in Figure 1.

It is no surprise that the SWAPGS instruction is also the first instruction in the Windows kernel KiSystemCall64 function.

The basic idea of this mitigation is that the virtual address space is split into two – user mode and kernel mode.

We set up YARA rules to…

But as we learned in mashing up other technologies, the security devil is in the details.

This feels an awful lot like the migration from mainframes to personal computers you could build yourself.

Electric drill simple, or at least rapidly approaching the simplicity of commodity electrified products.

But as we learned with PCs, mashing up technologies in a rush to market was inviting maliciousness, the kind we’re still fighting.

Some electric vehicle producers with the early advantage at least engaged with the security community.

CES gives us a glimpse of our connected future – 10 bad cybersecurity habits to break this year – How hackers steal passwordsIn this edition of Week in security, Tony looks at these topics:How the vast volume and variety of tiny sensors will soon influence almost everything in our world10 bad cybersecurity habits that may be putting you at risk and that you should consider breaking in 2022Some of the most common tricks that hackers use to steal passwordsAll this – and more – on WeLiveSecurity.com.

Connect with us on Facebook, Twitter, LinkedIn and Instagram.

From a security standpoint, SpaceMap could also alert you when a foreign object is approaching your satellite, perhaps intending to do harm.

Recent reports confirm the continual digital pounding of space infrastructure, from the ground stations on up, looking for vulnerabilities to exploit.

It’s the space equivalent of knowing a drunk driver is careening through space toward your multimillion-dollar platform, and it can detect potential space wrecks days in advance.

This is the first year that space tech has had a dedicated spot on the show floor, and it’s admittedly small, but not if these scrappy startups have anything to say about it.

Outside the main CES halls, Sierra Space has a mockup…

“PwnKit” security bug gets you root on most Linux distros – what to do

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Serious Security: Apple Safari leaks private data via database API – what you need to know

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

The team also found adverts for .xll dropper and malware builder kits on underground markets, which make it easier for inexperienced attackers to launch campaigns.

Additionally, a recent QakBot spam campaign used Excel files to trick targets, using compromised email accounts to hijack email threads and reply with an attached malicious Excel (.xlsb) file.

Malicious Excel (.xls) files were also used to spread the Ursnif banking Trojan to Italian-speaking businesses and public sector organizations through a malicious spam campaign, with attackers posing as Italian courier service BRT.

New campaigns spreading Emotet malware are now using Excel instead of JavaScript or Word files too.

“Organizat…

Attackers are trying out a new technique to widen the reach of their phishing campaigns: by using stolen Office 365 credentials, they try to connect rogue Windows devices to the victim organizations’ network by registering it with their Azure AD.

The campaignThe Microsoft 365 Defender Threat Intelligence Team has recently spotted a large-scale campaign targeting organizations in Australia and South East Asia.

The campaign started with DocuSign-branded phishing email asking users to review and sign a document.

“The continuous improvement of visibility and protections on managed devices has forced attackers to explore alternative avenues.

Attackers have also been known to try and bypass Offic…

If your Android phone initiates a factory reset out of the blue, there’s a chance it has been infected with the BRATA banking malware and you’ve just been ripped off.

European users under attackFirst documented by Kaspersky researchers in 2019, BRATA was a RAT targeting Android users in Brazil.

Through the years, BRATA evolved primarily into banking malware and has lately been aimed against Android users in Europe and the rest of Latin America.

Since then, several variants of the malware posing as a variety of security apps have been targeting users of banks and financial institutions in the UK, Poland, Italy, and LATAM.

Furthermore, they have also observed that the Android device factory r…

At the same time, outbound traffic caused by a Log4Shell attack site is easily detectable.

Zero trust renders Log4Shell harmlessUnlike zero trust, which requires micro segmentation, traditionally demilitarized zones (DMZ) are the best practice to isolate external-facing servers of the organization from both the local area network (LAN) and from larger, usually untrusted networks such as the internet.

Zero trust specifies and generalizes the methods and approaches that have already been applied in any DMZ.

Zero trust defends against RCE attacksA remote code execution attack does not necessarily require an external server on the internet from where the malicious code is acquired.

If we follow…

Cybersecurity decision makers surveyed came from global enterprises based in all regions with 5,000 employees or more.

52 percent of enterprise security decision makers have been impacted by ransomware attacks in the past 3 years.

Key reasons revealing why achieving cyber resilience is difficultOnly 49 percent of enterprise security decision makers strongly agree that their cybersecurity teams can quickly prioritize threats based on trends, severity, and potential impact on their organization.

Only 46 percent of enterprise security decision makers strongly agree that their cyber-protection technologies can evolve to detect new globally identified threats.

Adversary motives – Nearly half of …

The technologies falling under the name of self-sovereign identity (SSI) consist in giving identity holders greater control over their identity.

EU’s Digital Identity proposalThe EU Agency for Cybersecurity welcomes the European Commission’s proposals that will review the eIDAS regulation.

The European Digital Identity is intended to be available to all EU citizens, residents and businesses in order to identify themselves or provide confirmation of personal information.

Citizens will be able to prove their identity and share electronic documents from their European Digital Identity wallets with the click of an icon on their phone.

They will be able to access online services with their natio…

As organizations look to embrace modern approaches to security in 2022, a strongDM survey has revealed that access management is one of the most crucial factors to achieving this goal.

“The combination of legacy approaches, new technologies, and ever evolving organizations has made the process for getting access to infrastructure and systems long and arduous.

65 percent of organizations use shared logins; 41 percent use shared SSH keys.

While many tools exist to connect users to applications, similar tools for infrastructure access remain elusive.

Further complicating access is that these technologies are additive – legacy tools continue in production while new tools are added.

This new familiarity could soon lead to digital IDs becoming an accepted method of verification, according to a research of over 12,000 consumers, including more than 2,000 in the UK, from Okta and Statista.

If one data mishap were to occur, public trust would be lost, and the whole system could come crumbling down.”51% of Brits support government-led vaccine passport technology, with only 16% opposing it.

“Familiarity with vaccine passport tech is laying the foundations for digital IDs, without many people even realising,” adds King.

“The world has gradually been moving towards innovative digital technology across all areas of society, and the pandemic accelerated changes that were already…

The global fraud detection and prevention market is expected to grow from $26,511.84 million in 2021 to $75,139.66 million by 2028; it is estimated to register a CAGR of 16.0% from 2021 to 2028, according to The Insight Partners.

Fraud detection and prevention market: Competitive landscape and key developmentsFraud detection and prevention systems are software applications used to provide analytical solutions for fraud incidents and help identify or prevent future occurrences.

North America was the dominant region for fraud detection solutions in 2016 owing to industrial expansion and the rise in fraudulent activities.

Component overviewBased on component, the fraud detection and prevention…

Virsec announced its Deterministic Protection Platform (DPP), ensuring better protection against all known and unknown threats to software workloads, and reducing threat actor dwell time from minutes to milliseconds, with true protection and runtime observability.

With its read-only approach to mapping the software workload, DPP by Virsec does not harm applications while providing true protection.

“When we founded Virsec, we took a ‘first principles’ approach to protect software, regardless of the attacker’s preferred exploit or attack method.

DPP by Virsec secures the full-application stack – web, host, and memory – at runtime, regardless of application type or environment.

Virsec’s pionee…

Sotero released the Sotero data security fabric, a flexible single-pane data security solution that empowers organizations to manage their entire data security ecosystem through a single pane for a true 360-degree view, to reduce data security complexity and costs, while adding breakthrough capabilities.

The Sotero data security fabric is a game-changer that opens a world of new possibilities for IT security professionals, as well as businesses that have been held back by gaps in their data security programs.”The Sotero data security fabric is a technology-agnostic, extensible framework that enables organizations to replace numerous platform-specific data security products with one centrali…

MetricStream announced ConnectedGRC solutions that address today’s most urgent business challenges related to risk, compliance, audit, cyber risks, and environmental, social, governance (ESG).

Businesses that have historically used multiple risk and compliance point solutions experience broken processes, isolated data, and insufficient insights.

Designed to address the primary challenges for today’s GRC professionals, ConnectedGRC offers three distinct product lines with a rapid time to value: BusinessGRC, CyberGRC, and ESGRC.

CyberGRC : Gain real-time visibility and quantified risk insights across IT, Cyber, and Vendor risk, helping risk professionals prioritize their cyber investments, po…

Verizon Business and Atos announce a partnership to power intelligent IoT solutions with private 5G multi-access edge computing for businesses, government and communities worldwide.

The 5G edge solution will transform the way companies can leverage predictive analytics, allowing them to improve operational efficiency, mitigate risk and increase revenue.

Verizon’s use of Atos’ BullSequana Edge servers will strengthen its 5G edge offers and will unlock new use cases, advancements of network security, connectivity and data management.

The joint solution will focus on large scale, cloud and AI-powered data analytics to help businesses operate more efficiently.

Through this partnership, Atos and…

Tanium announced an expansion to its partnership with vArmour, a provider of Application Relationship Management software.

Through an enhanced integration, Tanium and vArmour now provide customers with important tools to address key CISA guidelines on threat prevention in the wake of the Log4j vulnerability.

To simplify the process and help organizations adhere to pressing FTC and CISA guidelines, Tanium technology works quickly to identify Log4j on an endpoint, enabling vArmour to swiftly provide a comprehensive view of its dependencies and vulnerabilities across the entire enterprise.

The additional integration with vArmour helps businesses use Tanium Platform to execute long-term defense…

SentinelOne announced that KPMG LLP’s (KPMG) Cyber Response Services team will use SentinelOne’s Singularity XDR platform to accelerate investigations and response to cyberattacks.

SentinelOne’s Singularity XDR platform can help accelerate the identification of and response to advanced threats.”The KPMG Cyber Security Services team has been involved in many of the most high-profile breaches worldwide.

KPMG can utilize SentinelOne’s Singularity XDR platform and Storyline Active Response (STAR) technology in incident response cases.

Following SentinelOne’s 2021 acquisition of Scalyr, a cloud-scale data analytics platform powering SentinelOne XDR, KPMG is also leveraging the technology to rapi…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

What is the MITRE ATT&CK framework?

MITRE ATT&CK matrixElements of the model presented by ATT&CK are tactics, techniques and procedures, or TTPs.

MITRE ATT&CK tacticsAs mentioned, MITRE ATT&CK tactics are the adversary’s technical goals (as enumerating every attackers’ high-level goal wouldn’t be possible) and objectives they hope to achieve with an attack technique.

Each technique in the MITRE ATT&CK framework provides specific information:ID: An identifier presented in the format “Txxx”: for example, phishing is T1566 and sandbox evasion is T1497.

Enriching it with the MITRE ATT&CK framework allows security teams to obtain the information they’ll need to detect future attacks before they …

Our goal is to showcase the most commonly used subdomains and MX record types as they complement and enrich the asset discovery ecosystem.

So, what are the top most popular subdomains, and how can we identify them?

Other popular records are related to e-commerce (shop), and community and content-related stuff (forums, wiki, community).

Most popular MX recordsThe importance of MX records cannot be overstated.

Despite transformative advances in big data analysis and processing, enumerating DNS records remains computationally intensive, so caution and adequate preparation are always warranted.

All of these components of the DNS record are structured in the DNS record syntax, which typically follows the format: .

Most common DNS record typesSince the early days of DNS, the internet has morphed and advanced in such a way that DNS record types have constantly changed right along with it.

Some of the most common DNS record types are:A recordA records are among the simplest and most fundamental DNS record types.

This is required for every DNS zone by IETF standards as SOA records are used in DNS zone transfers—the periodic process of distributing DNS record data from a primary to secondary nameserver, which contains the duplicates of the zone’s DNS records.

Other DNS record types…

We’re excited to announce the immediate availability of our latest API integration into Palo Alto Networks Cortex XSOAR, enabling users to operationalize our security intelligence with over 750 different products.

Palo Alto Networks Cortex XSOAR is one of the most comprehensive security orchestration solutions on the market today, enabling organizations to manage and collect data about security threats and drive responses with reduced human involvement.

SecurityTrails XSOAR enrichments can support a wide variety of playbooks including phishing, log-in analysis, vulnerability management, IOC enrichment, and endpoint diagnostics.

In order to configure SecurityTrails on the Cortex XSOAR platfo…

Developments in the field in terms of research, tools and techniques have brought digital forensics to a whole new level.

What is digital forensics used for?

Digital forensics investigation processJust as with any branch of science, digital forensics has a number of processes and structures that guide forensic examiners through the investigation of data.

CAINECAINE is not only a digital forensics platform or tool, it is a complete Linux distribution for security research and digital forensics analysis.

SIFT WorkstationSIFT Workstation is another great Linux distro for digital forensics and incident response (DFIR) and contains a collection of DFIR tools and numerous forensics techniques.

What began as a tool for helping organizations achieve and maintain compliance, security information and event management (SIEM) rapidly evolved into an advanced threat detection practice.

SIEM stands for security information and event management.

Initially evolving from log management, SIEM has now existed for over a decade and combines security event management (SEM) and security information management (SIM) to offer real-time monitoring and analysis of security events as well as logging of data.

SIEM capabilitiesToday’s SIEM solutions have evolved to have varying capabilities and integrations with other technologies and solutions, but most of them have a few foundational capabilities in …

ORLANDO, FL, September 14, 2021 - SecurityTrails, the Total Internet Inventory, announced it has invested in the enterprise-ready asset monitoring provider Surface.io in an effort to deliver continuous attack surface monitoring through their Attack Surface Reduction platform.

SecurityTrails team is excited to welcome the power and features of Surface.io to help them further their mission to become the Total Internet Inventory.

About SecurityTrailsSecurityTrails is a total inventory that curates comprehensive domain and IP address data for users and applications that demand clarity.

By combining current and historic data of all Internet assets, SecurityTrails is the proven solution for 3rd-p…

Depending on certain host and network conditions, nmapAutomator can deploy a full-range Nmap vulnerability scan and CVE identification sequence well under 30 minutes.

Additionally, nmapAutomator includes running instances of tools such as SSLscan, Nikto, and FFuF, all known throughout the bug bounty and pentesting ecosystems.

Installing nmapAutomatorMany of the ethical hacking tools required by nmapAutomator should already be part of popular distributions such as Kali Linux and Parrot OS.

NmapAutomator saves the output of each type of scan into a separate file, under the output directory, including the entire script output which you can view later using your favorite tool.

Let’s run the abo…

We’ve put together a list of the largest data breaches involving attackers infiltrating some of the largest companies’ networks, and the misfortunate data leaks that exposed personal data of billions of people.

Thankfully, the leaked data didn’t include highly sensitive data such as passwords, credit card information or Social Security numbers.

What caused controversy around this data leak was that Verifications.io claimed that the exposed data included some that they drew from publicly available sources.

FacebookYear: 2019; 2021Impact: 87 million users; 533 million accountsPenalties: TBAFacebook has a long history of security-related incidents and outright controversies.

It became clear ra…

And today we’re excited to let you know that we’ve been working on improving the overall UX experience of many of our products with a new, unified design.

A new, unified look and feelOne of the first changes you’ll notice is the updated Sign In interface, distinguished by our brand new light-violet color scheme.

These include significant changes to the colors we use as well as the presentation of our layout design.

Some of our users already love it, finding interfaces and texts easier to visualize in dark mode than on a bright white screen.

Graphics on the console also look amazing with this new color palette, making interaction with stats, numbers and general text more simple and straightf…

What are intrusion prevention systems (IPS)?

An intrusion prevention system (IPS) is a network security solution that continuously monitors the traffic going in and out of an organization’s network.

IPS prevention methodsIf an IPS determines a packet to be malicious, it can drop it or take several different actions.

Types of intrusion prevention systemsIntrusion prevention systems are usually categorized in four distinct types:Network intrusion prevention systems (NIPS) monitor network behaviour to spot any suspicious traffic.

Intrusion prevention systems were designed to expand on the capabilities of intrusion detection systems.

Top 8 cybercrime investigation and digital forensics courses and certsCybersecurity investigators are highly knowledgeable in numerous aspects of cybercrime, including their different types, legal aspects, methods of protection, necessary investigation techniques, and digital forensics.

We rounded up our picks for the best cybercrime investigation courses and certifications, listed in no particular order.

The Digital Forensics for Pentesters - Hands-on Learning courseThe Digital Forensics for Pentesters course is one of the bestselling courses in digital forensics on Udemy.

Certified Digital Forensics Examiner (CDFE) certificationThe Certified Digital Forensics Examiner (CDFE) certification…

Today, we’re excited to announce the general release of this powerful new product: SecurityTrails SQL.

By contacting our Sales team, you will be able to use SecurityTrails SQL integrated as a SecurityTrails API endpoint, inside Attack Surface Reduction™, as well as in the SurfaceBrowser™ SQL Explorer interface.

You can use SecurityTrails SQL to run different queries to get host, IP and SQL data.

And how does the SecurityTrails SQL look when used from SQL Explorer’s visual editor?

Find out how SecurityTrails SQL can help you find critical data from any organizations within seconds—and take your recon and app automation to the next level!

Additionally, he’ll reveal how he gained arbitrary control of firewall rules across millions of devices and multiple vendors.

In the Datto example, the device self-registers quietly with the Datto DNS, PKI, and cloud infrastructure.

Mirai looked for default credentials and bad firewall rules (amongst other things) and did so rather clumsily.

Using WD2go:In addition to mapping the firewall rules, DHCP scope, features, and status of this device, we now have a unique FQDN/identifier.

Anchoring PKI, firewall rules, and proper resolution to DDNS names allows an attacker an incredible attack surface.

To talk more about the blast radius of misconfigured Kubernetes, we are joined by Robert Wiggins, better known as Random Robbie.

Blast Radius Measurement 10 Severity 10 QuantityHow many misconfigured Kubernetes are there?

On average, there are around 800 misconfigured Kubernetes servers around the world exposing secrets and other fun data.

How to find misconfigured Kubernetes serversAlso on average are around 400 systems exposed via Shodan on port 443 and many more on port 8080.

To find exposed Kubernetes systems, you can search via Shodan using the search term ‘http.html:/apis/apiextensions.k8s.io’ for any HTTP 200 response.

Месячник молчания закончен - спешу сообщить, что блог переехал на новый домен - lukatsky.ru, где мы с вами и встретимся :-)Тут всем пока, а там всем привет!

И с международным днем защиты информации!!

РКН со своим 1046-м Постановление Правительства по надзору в области персональных данных тоже накосячил - и в расширительном толковании отдельных терминов, и синтаксических ошибках.

И это только три примера, которые достаточно свежие и от разных регуляторов, но их ведь гораздо больше.

Надо сказать, что это не совсем проблема регулятора, что у нас исторически все боятся сказать что-то против политики партии, но и его тоже - он же поощряет ее.

Поэтому только публичная активность, но на это рассчитывать не приходится - не приучен у нас регулятор к публичной критике, а еще и отомстить может.

Пятый вариант заключается в том, чтобы попробовать сферического коня в вакууме в своем загоне, то есть в…

Решил я тут раскрыть чуть больше краткую заметку в своем Telegram, посвященную моделированию угроз в процессе разработки ПО.

Я написал следующее: "Методика оценки угроз ФСТЭК не применяется при моделировании угроз в рамках безопасной разработки.

А, в конце концов, нарушение правил контроля доступа, которое отвечает за 10 из 30 основных проблем безопасности ПО?

Ее, кстати, нет и в текущей методике оценки угроз, что ставить нас перед непростой задачей - какую из актуальных угроз нейтрализовывать первой, какую второй, какую третьей и т.д.

А пока я остаюсь при своем мнении относительно того, что пока у нас нет методики оценки угроз в рамках процесса безопасной разработки.

Одни высказывались в пользу того, что не дело ИБ следить за тем, как тратится рабочее время компании.

Да, возможно слежение за рабочим времени - это не функция ИБ (что не мешает ИБ-вендорам активно допиливать свои решения именно для этой задачи).

Но не стоит забывать, что ИБ - это не только функция, но и инструмент, который может быть использован и другими подразделениями для их задач.

Да, ИБ может не приносить дохода, но при этом влиять на снижение расходов, тем самым увеличивая прибыль предприятия.

И дело не только и не столько в том, чтобы снижать стоимость инцидентов или предотвращать мошенничество, о чем мы тоже говорили.

Вторым круглым столом на конференции "Кибербезопасность нового времени", проведенной Innostage в рамках казанской DigitalWeek, был "Формальная безопасность vs практическая безопасность: как достичь синергии", который получился не таким, как я его задумывал изначально, готовя вопросы.

Почему об этом нигде не говорится и зачем вообще тогда надо было принимать документ, который нормально и не применить и меньше через год надо повторять процедуру (а деньги где брать)?

А все потому, что этот стандарт имеет пометку "для служебного пользования".

И как тут быть?

ФСТЭК говорила на мероприятиях, что у них есть ОКИИ (научной деятельностью они же занимаются в том же Воронеже).

Она сообщила, что заявленный план перехода объектов КИИ на российское ПО и оборудование к 2023-2024 г. выглядит красиво, но нереалистично.

Возможно в Газпромнефти и Энергоатоме разные ПО и железо, но я из практики тоже больше склоняюсь к позиции Лилии Загородных.

Если государство думает, что иностранные игроки всеми конечностями будут жержаться за российский рынок и довольствооваться подачками, то это не так.

И в тучные времена доля России в объеме бизнеса иностранных ИТ и ИБ-компаний составляла около 1%.

И это правда.

К этому выступлению я планировал завершить перевод последней версии матрицы MITRE ATT&CK v9 на русский язык и маппинг техник ФСТЭК в техники MITRE ATT&CK, что и было сделано (ссылки будут ниже).

Поэтому я и задался целью связать то, что принято во всем мире как стандарт де-факто (пусть и неидеальный) и что требует делать ФСТЭК.

Второй и, наверное, более серьезной задачей было найти соответствие между 145 техниками ФСТЭК и 400+ техник MITRE ATT&CK.

В октябре должна быть анонсирована новая, 10-я версия, MITRE ATT&CK и я планирую обновить свои переводы и маппинг.

Кроме того, у меня в планах перевести матрицу ATT&CK for ICS, провести маппинг техник ФСТЭК с ней, а также провести обратный маппинг…

И ты выходишь весь оплеванный и не знаешь, как обосновать выделение ресурсов.

Идея заключается в том, что мы должны выписать все функции, которые нам нужны для обеспечения ИБ в табличку и против каждой функции проставить число часов, которые эта функция требует.

Очевидно, что чем крупнее организация, тем больше функций ИБ в ней реализуется и тем больше времени на них нужно.

Но в данном примере нам нужно 140 часов в неделю, что при 40 рабочих часах по Трудовому Кодексу составит 3,5 FTE (Full-Time Equivalent).

Допустим, вы банк и вам "навесили" обеспечение непрерывной надежности и уведомление ФинЦЕРТ об инцидентах ИБ, а ИТ сбагрила вам проект по идентификации и аутентификации.

Почему мало кто из ИБшников или ИБшных сейлов пишет о своих измеримых достижениях в резюме?

По ним оценивается специалист, а не по тому какому КОИБАСу его учили старперы по учебникам времен Петра Первого.

Как правильно отметила в заметке Екатерина Калугина, большинство соискателей в резюме пишут, что делали (а это у многих схожих по роли специалистов очень похоже), а не что сделали.

Писать резюме - несложная штука, научиться сильно проще, чем обращаться с PowerPoint" и я с ним согласен.

О том, как писать резюме можно писать еще много, но я не ставил перед собой такую задачу.

Вчера я наткнулся на модель угроз и нарушителя безопасности информации, обрабатываемой в программно-техническом комплексе дистанционного электронного голосования (ДЭГ).

Меня немного удивило заявление, что в ДЭГ не обрабатываются специальная категория персональных данных о политических взглядах.

В приложении А в выписке отображена архитектура ДЭГ.

В этом нормативном документе описана и структура модели угроз, которая должна быть, и ряд обязательных элементов, среди которых сценарии реализации угроз.

Но ФСТЭК молчит и не публикует никаких информационных писем на этот счет, разъясняющих свою позицию.

Если следовать набившей оскомину идее, что ИБ должна говорить с бизнесом на его языке и быть вообще бизнес-ориентированной, то и проблему выплаты выкупа надо рассматривать как проблему бизнеса и приравнивать ее к "платить за переход к облакам или нет", "платить за кофе или нет", "поднять зарплату или нет", "открыть новый офис или нет".

Я не призываю всегда платить вымогателям, но прекрасно осознаю, что это вполне реальная опция.

Уверены ли мы, что ключи шифрования помогут и в реализации шифрования нет ошибок?

Не будет ли данная оплата рассматриваться как финансирование терроризма или экстремизма, а для госорганов - как нецелевое расходование средства?

Есть ли у вас криптовалютный кошелек (е…

И вот на днях подумал я, что неплохо бы реализовать такую идею самостоятельно, что я и сделал.

Поэтому классический вариант с оценкой зрелости по CMMI сюда не подходил.

Затем она переходит к многофакторной аутентификации, потом задумывается о Zero Trust или 802.1x начинает аутентифицировать не только пользователей, но и устройства.

Но такова уж карма термина "активный аудит", который в России известен уже давно и в него засовывают и обнаружение вторжений, и анализ защищенности.

Но и с этим я тоже справился.

Я все откладывал, откладывал... Потом, организаторы мероприятия спрашивают меня, чтобы я мог рассказать и я называл незавершенную еще тему, которая, вдруг, заинтересовывала и организаторов и аудиторию.

Я все откладывал, откладывал... Потом, организаторы мероприятия спрашивают меня, чтобы я мог рассказать и я называл незавершенную еще тему, которая, вдруг, заинтересовывала и организаторов и аудиторию.

За свою жизнь я много где бывал, - и занимаясь туризмом в детстве и юности, и уже работаю и ездя в командировки.

Тогда он подается как спикер и если его выбирают, то он сильно экономит на проезде и проживании на площадке мероприятия.

Тогда он подается как спикер и если его выбирают, то он сильн…

TARA не ссылается на матрицу техник и тактик MITRE ATT&CK (ее еще тогда просто не было), но само понятие TTP в методике TARA присутствует ровно в том же контексте, что и в ATT&CK.

При этом TARA не требует описания активов вплоть до интерфейсов и уровней, как это описано у ФСТЭК.

Итогом моделирования угроз по TARA было составление оптимального перечня защитных мер, которые обеспечивали бы эффективную защиту от угроз/техник с минимальными затратами на внедрение и эксплуатацию.

Все эти параметры нарушителей могут меняться с течением времени, поэтому процесс составления "модели нарушителя" не статический и не одноразовый, а динамичный, требующий автоматизации.

Кстати, о времени, которое требует…

Вспоминая вчерашнюю таблицу показателей защитной меры, мы понимаем, что их зрелость может быть разной.

Туже самую идею можно применить и к эффекту от защитной меры и выделить для них три уровня: Высокий.

Эффект защитной меры подтвержден демонстрацией, сертификацией, тестами, пилотом и т.п.

Обратите внимание - результат поменялся, так как первая мера защиты много обнаруживает, но ничего не предотвращает и не снижает негативный эффект от обнаруженных угроз.

Выбор в пользу первой меры не вызывает вопросов - с ее помощью мы сможем нейтрализовать большее число угроз.

ISO опубликовала свежие данные по сертификации систем менеджмента (ISO Survey), из которых меня особенно интересует статистика по СУИБ (ISO 27001). The ISO Survey results contain three sets of data:the number of valid certificates for each country for the 12 ISO management system standards,the number of sites covered by the certificates for each country for 12 ISO management system standards,the number of sectors per country covered by the certificates for 10 ISO management system standards (ISO 22000 and ISO 13485 do not contain data on sectors).Общее количество сертификатов на конец 2020 года:По ISO 27001 рост на 22%.Топ 10 стран, по количеству выданных сертификатов:В РФ 90/252 (рост за г…

Застрахуй братуху, застрахуй или зачем вам ИБ, если можно просто купить полис?https://cloud.yandex.ru/insurance-offerhttps://sber.insure/products/cyber/Судя по количеству материалов по запросу "cybersecurity insurance" за рубежом это уже частая практика, посмотрим приживется ли у нас. Любопытно глянуть на реальные кейсы.p.s ого первый пост с лета :0

ZN переносят на 25 Августа

Перенос даты ZeroNights на август 2021Друзья!Организаторы готовились к юбилейному мероприятию и ждали встречи с вами два года: забронировали одну из лучших и самых живописных площадок города, отобрали самые сильные доклады и сформировали мощную программу. Однако в связи с неутихающим распространением инфекции и недавним ужесточением антиковидных мер в г. Санкт-Петербург в планах произошли непредсказуемые изменения. Теперь наша долгожданная встреча переносится на август.Новая дата конференции – 25 августа 2021. Место остается то же – “Севкабель Порт”.Для участников, которым не подходит эта дата, мы предусмотрели процедуру возврата билетов.При возврате до 30 июня стоимость всех купленных биле…

Конкурс «Hack to be hired» на ZeroNights 30 июня на конференции вы сможете принять участие в конкурсе от Академии Digital Security, тема которого многократно становилась основой для мемов о найме сотрудников в ИТ-компании.Вам предстоит создать вакансию в компании мечты и пригласить себя на собеседование.Подробнее

​Партнёрский материалЭксперты из Solar JSOC завтра проведут вебинар, на котором расскажут, кто и что угрожает российским организациям — субъектам КИИ.По данным центра, интерес к промышленным, энергетическим и другим компаниям, которые относятся к субъектам КИИ, за последний год многократно вырос, при этом каждая 10-я организация в России уже скомпрометирована различными семействами ВПО.В программе вебинара: 1. Обзор уязвимостей, которые чаще всего встречаются на внешнем периметре инфраструктур организаций – субъектов КИИ2. Результаты внешних и внутренних пентестов, проведенных командой Solar JSOC3. Особенности ВПО, популярного среди злоумышленников, атакующих субъекты КИИ4. Методы защитыСпи…

До начала юбилейной, десятой ZeroNights осталось всего 19 дней!По традиции посетителей будет ждать насыщенная техническая программа со знакомыми многим Defensive Track, Web Village и Hardware Zone.В этот раз ребята выбрали новый формат — все активности будут пр­ходить на свежем воздухе в фор­мате open-air, а в случае непогоды участников будут ждать кры­тые три­буны. Место встречи — пространство «Севкабель Порт» в Петербурге.Программа каждой из секций уже на сайте > https://zeronights.ru/program/See you soon!

Вообще идея создания подобной карточной ИБ-игры преследует меня уже давно. Хочется и чтобы на конференциях можно было зарубиться, и не погруженным в мир ИБ было интересно. Мы с другом даже делали прототип, но дальше тестов к сожалению ничего не уехало :(На самом деле там не все так просто

В Kaspersky решили не мелочиться и сделать VR игру для знакомства топ-менеджмента с рисками ИБ.Такой Standoff на минималках)https://www.kaspersky.com/blog/vr-interactive-simulation/40188/

Для участия в розыгрыше нажмите на «Я участвую»

​Идея обучения своих сотрудников вопросам ИБ не является чем-то новым, но последнее время стремительно набирает популярность.Поэтому в рамках этого партнерского материала хочу вам рассказать про своих знакомых из компании Secure-T, которые мне предложили разыграть среди подписчиков бесплатную проверку социалкой на 150 человек.Ребята не первый год на рынке и уже обучают и тестируют более 10 тысяч сотрудников крупных организаций.Вот немного статистики из их последних двух фишинговый рассылок:1-й кейс — 46% сотрудников перешли по ссылке в открытом письме, а 14% ввели свои учетные данные в поддельные формы;2-й кейс — 50% сотрудников перешли по ссылке в письме, а 28,5% ввели свои учетные данные …

Кто пропустил, вчера Microsoft выкатила июньские обновления безопасности в рамках Patch Tuesday.Коротко обзор:[RU] https://news.microsoft.com/ru-ru/update-tuesday-microsoft-security-updates-jun2021/[EN] https://krebsonsecurity.com/2021/06/microsoft-patches-six-zero-day-security-holes/

Если вы еще не интегрировали MITRE ATT&CK в свои процессы, вот вам отличный повод еще раз понять, как применять фреймворк на практике — CISA выпустило свое краткое руководство, где с помощью общих инструкций и на примере трояна TrickBot показали как работать с MITRE ATT&CK и сопоставить поведение злоумышленника.https://us-cert.cisa.gov/sites/default/files/publications/Best%20Practices%20for%20MITRE%20ATTCK%20Mapping.pdf

​Эту неделю очень хочется начать с минутки мотивации, которой в последнее время мне не хватает чтобы регулярно вести канал.Знакомьтесь, Кельвин Сиу (Kelvin Siu) из Гонконга, который за 12 месяцев получил 14 сертификаций. Пусть набор сертификатов странный, кажется Кельвин решил не мелочиться и сложить все яйца в одну корзину, но факт, что парень просто взял и за год закрыл такой объем сертификаций, малую часть которого многие закрывают годами.Если вдаваться в детали, конечно там не так все просто — у него уже было 7 лет опыта в индустрии, а подготовка заняла куда больше времени, чем сама сдача (по 2-3 месяца подготовки на каждый экзамен). Судя по linkedin работает Кельвин аудитором в компани…

Ребята из Яндекса в рамках Positive Hack Days рассказали, как они повышают ИБ-осведомленность своих сотрудников, начиная от мемов, которые размещают в офисных кофе-поинтах и заканчивая обучающей платформой для поиска багов в коде. Последнюю кстати выложили в открытый доступ и на GitHub. Говорят было бы круто, если бы вы помогли в развитии и использовали их наработки у себя, например дописав тесты под свои языки и сценарии.http://securitygym.ruhttps://github.com/yandex/securitygym

​Партнерский пост: ⚡️ 26 мая состоится масштабное мероприятие по внутренним угрозам корпоративной безопасности — Форум DLP+Подробности: https://dlp-forum.ru/❗️ Форум охватит не абстрактные тренды, а практические способы решения наболевших проблем служб информационной, экономической и собственной безопасности📅 За один день посетители форума познакомятся как с актуальными технологиями, так и с практическими методами защиты компании от внутренних угроз и научатся с их помощью решать потребности бизнеса:✔️ Информационная безопасность✔️ Экономическая безопасность✔️ Кадровая безопасность🆓 Участие бесплатное для представителей органов государственной власти, финансовых организаций, компаний ТЭК, п…

There’s a new ransomware that targets NAT devices made by QNAP:The attacks started today, January 25th, with QNAP devices suddenly finding their files encrypted and file names appended with a .deadbolt file extension.

Instead of creating ransom notes in each folder on the device, the QNAP device’s login page is hijacked to display a screen stating, “WARNING: Your files have been locked by DeadBolt”….

[…]BleepingComputer is aware of at least fifteen victims of the new DeadBolt ransomware attack, with no specific region being targeted.

As with all ransomware attacks against QNAP devices, the DeadBolt attacks only affect devices accessible to the Internet.

As the threat actors claim the attack…

The insurance company Ace American has to pay for the losses:On 6th December 2021, the New Jersey Superior Court granted partial summary judgment (attached) in favour of Merck and International Indemnity, declaring that the War or Hostile Acts exclusion was inapplicable to the dispute.

Merck suffered US$1.4 billion in business interruption losses from the Notpetya cyber attack of 2017 which were claimed against “all risks” property re/insurance policies providing coverage for losses resulting from destruction or corruption of computer data and software.

The parties disputed whether the Notpetya malware which affected Merck’s computers in 2017 was an instrument of the Russian government, so …

Crowdstrike is reporting that malware targeting Linux has increased considerably in 2021:Ten times more Mozi malware samples were observed in 2021 compared to 2020.

XorDDoS, Mirai and Mozi malware families accounted for over 22% of Linux-targeted threats observed by CrowdStrike in 2021.

News article:The Crowdstrike findings aren’t surprising as they confirm an ongoing trend that emerged in previous years.

For example, an Intezer report analyzing 2020 stats found that Linux malware families increased by 40% in 2020 compared to the previous year.

This programming, and by extension, targeting trend, has already been confirmed in early 2022 cases and is likely to continue unabated.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

China is mandating that athletes download and use a health and travel app when they attend the Winter Olympics next month.

Citizen Lab examined the app and found it riddled with security holes.

News article:It’s not clear whether the security flaws were intentional or not, but the report speculated that proper encryption might interfere with some of China’s ubiquitous online surveillance tools, especially systems that allow local authorities to snoop on phones using public wireless networks or internet cafes.

[…]The app also included a list of 2,422 political keywords, described within the code as “illegalwords.txt,” that worked as a keyword censorship list, according to Citizen Lab.

The re…

San Francisco Police Illegally Spying on ProtestersLast summer, the San Francisco police illegally used surveillance cameras at the George Floyd protests.

The SFPD also violated San Francisco’s new Surveillance Technology Ordinance.

Here, the SFPD went through no such process before spying on protesters with this network of surveillance cameras.

Larsen has done good work on financial privacy regulations, which is a good thing.

But he seems to be funding all these surveillance cameras in San Francisco, which is really bad.

Are Fake COVID Testing Sites Harvesting Data?

Over the past few weeks, I’ve seen a bunch of writing about what seems to be fake COVID-19 testing sites.

It seems to be multilevel marketing fraud instead:The Center for COVID Control is a management company to Doctors Clinical Laboratory.

The companies will keep making money for the rapid tests they collect, he said.

“You guys will continue making the $28.50 you’re making for the rapid test,” Syed said in the video.

UK Government to Launch PR Campaign Undermining End-to-End EncryptionRolling Stone is reporting that the UK government has hired the M&C Saatchi advertising agency to launch an anti-encryption advertising campaign.

Presumably they’ll lean heavily on the “think of the children!” rhetoric we’re seeing in this current wave of the crypto wars.

The technical eavesdropping mechanisms have shifted to client-side scanning, which won’t actually help — but since that’s not really the point, it’s not argued on its merits.

Posted on January 18, 2022 at 6:05 AM • 0 Comments

Here’s a fascinating report: “Bounty Everything: Hackers and the Making of the Global Bug Marketplace.” From a summary:…researchers Ryan Ellis and Yuan Stevens provide a window into the working lives of hackers who participate in “bug bounty” programs­ — programs that hire hackers to discover and report bugs or other vulnerabilities in their systems.

This report illuminates the risks and insecurities for hackers as gig workers, and how bounty programs rely on vulnerable workers to fix their vulnerable systems.

Ellis and Stevens’s research offers a historical overview of bounty programs and an analysis of contemporary bug bounty platforms — ­the new intermediaries that now structure the vast…

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Upcoming Speaking EngagementsThis is a current list of where and when I am scheduled to speak:I’m giving an online-only talk on “Securing a World of Physically Capable Computers” as part of Teleport’s Security Visionaries 2022 series, on January 18, 2022.

I’m speaking at IT-S Now 2022 in Vienna on June 2, 2022.

I’m speaking at the 14th International Conference on Cyber Conflict, CyCon 2022, in Tallinn, Estonia on June 3, 2022.

I’m speaking at the RSA Conference 2022 in San Francisco, June 6-9, 2022.

Posted on January 14, 2022 at 12:02 PM • 0 Comments

They use numerous customized firmware and hardware, without taking into consideration security issues, which make them a target for cybercriminals, especially malware authors.

We will present a novel approach of using side channel information to identify the kinds of threats that are targeting the device.

We recorded 100,000 measurement traces from an IoT device infected by various in-the-wild malware samples and realistic benign activity.

Our method does not require any modification on the target device.

In our experiments, we were able to predict three generic malware types (and one benign class) with an accuracy of 99.82%.

Using Foreign Nationals to Bypass US Surveillance RestrictionsRemember when the US and Australian police surreptitiously owned and operated the encrypted cell phone app ANOM?

They arrested 800 people in 2021 based on that operation.

New documents received by Motherboard show that over 100 of those phones were shipped to users in the US, far more than previously believed.

Instead, the Australian Federal Police (AFP) monitored them on behalf of the FBI, according to previously published court records.

It is interesting to see the FBI using the same trick.

The “NoReboot” approach simulates a real shutdown.

The user cannot feel a difference between a real shutdown and a “fake shutdown.” There is no user-interface or any button feedback until the user turns the phone back “on.”It’s a complicated hack, but it works.

Uses are obvious:Historically, when malware infects an iOS device, it can be removed simply by restarting the device, which clears the malware from memory.

I see this as another manifestation of the security problems that stem from all controls becoming software controls.

Now that software controls those functions, you can never be sure.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

What’s worse than finding out that identity thieves took out a 546 percent interest payday loan in your name?

How about a 900 percent interest loan?

One reader’s nightmare experience spotlights what can happen when ID thieves and hackers start targeting online payday lenders.

Many of these lenders were eager to give Jim money because they were charging exorbitant 500-900 percent interest rates for their loans.

Jim contacted MSF as soon as they opened the following week and found out the money had already been dispersed to a Bank of America account Jim didn’t recognize.

Accountz is currently selling four different Genesis logins for about 40-50 percent of their unspent balances.

Genesis mostly gets its inventory of botted computers and stolen logins from resellers who specialize in deploying infostealer malware via email and booby-trapped websites.

In essence, Accountz customers are paying for illicit access to cybercrime services that sell access to compromised resources that can be abused for cybercrime.

What’s more, relatively few cybercrime shops online offer their users any sort of multi-factor authentication.

It will be interesting to see whether any of the cybercrime shops most heavily represented in the logins for sale at Accountz start to push bac…

Since my credentials at the IRS will soon no longer work, I opted to create an ID.me account and share the experience here.

Also, successfully verifying your identity with ID.me may require a significant investment of time, and quite a bit of patience.

My application got stuck interminably at the “Confirming Your Phone” stage, which is somewhere near the middle of the entire verification process.

An email to ID.me’s support people generated a message with a link to complete the verification process via a live video chat.

When my application was finally approved, I headed back to irs.gov and proceeded to log in with my new ID.me account.

The FSB said it arrested 14 REvil ransomware members, and searched more than two dozen addresses in Moscow, St. Petersburg, Leningrad and Lipetsk.

Just months later, a multi-country law enforcement operation allowed investigators to hack into the REvil gang’s operations and force the group offline.

Dmitri Alperovitch, co-founder of and former chief technology officer for the security firm CrowdStrike, called the REvil arrests in Russia “ransomware diplomacy.”“This is Russian ransomware diplomacy,” Alperovitch said on Twitter.

Russia used cyber operations and information operations in the run-up to its invasion of Georgia in 2008.

It has long waged massive cyberattacks against Ukrainian infr…

This post examines some of the clues left behind by “Wazawaka,” the hacker handle chosen by a major access broker in the Russian-speaking cybercrime scene.

But in more recent years, Wazawaka has focused on peddling access to organizations and to databases stolen from hacked companies.

“Show them who is boss.”According to their posts on Exploit, Wazawaka has worked with at least two different ransomware affiliate programs, including LockBit.

For example, early in his postings to Exploit, Wazawaka can be seen telling members that he can be contacted via the ICQ instant message account 902228.

“Love your country, and you will always get away with everything.”If you liked this post, you may als…

Microsoft today released updates to plug nearly 120 security holes in Windows and supported software.

By all accounts, the most severe flaw addressed today is CVE-2022-21907, a critical, remote code execution flaw in the “HTTP Protocol Stack.” Microsoft says the flaw affects Windows 10 and Windows 11, as well as Server 2019 and Server 2022.

Exchange flaws are a major target of malicious hackers.

Microsoft says the limiting factor with these three newly found Exchange flaws is that an attacker would need to be tied to the target’s network somehow to exploit them.

But Satnam Narang at Tenable notes Microsoft has labeled all three Exchange flaws as “exploitation more likely.”“One of the flaws,…

Founded in 2006, Avira Operations GmbH & Co. KG is a German multinational software company best known for their Avira Free Security (a.k.a.

In January 2021, Avira was acquired by Tempe, Ariz.-based NortonLifeLock Inc., the same company that now owns Norton 360.

LifeLock is now included in the Norton 360 service; Avira offers users a similar service called Breach Monitor.

Like Norton 360, Avira comes with a cryptominer already installed, but customers have to opt in to using the service that powers it.

“Avira Crypto allows you to use your computer’s idle time to mine the cryptocurrency Ethereum (ETH),” the FAQ explains.

Norton 360, one of the most popular antivirus products on the market today, has installed a cryptocurrency mining program on its customers’ computers.

In 2017, the identity theft protection company LifeLock was acquired by Symantec Corp., which was renamed to NortonLifeLock in 2019 (LifeLock is now included in the Norton 360 service).

According to the FAQ posted on its site, “Norton Crypto” will mine Ethereum (ETH) cryptocurrency while the customer’s computer is idle.

NortonLifeLock says Norton Crypto is an opt-in feature only and is not enabled without user permission.

Crypto mining causes one’s computer to draw more power, which can increase one’s overall electricity costs.

KrebsOnSecurity.com celebrates its 12th anniversary today!

But this site’s birthday also is a welcome opportunity to thank you all for your continued readership and support, which helps keep the content here free to everyone.

More than seven million unique visitors came to KrebsOnSecurity.com in 2021, generating some 12 million+ pageviews and leaving almost 8,000 comments.

Back when this site first began 12 years ago, I never imagined it would attract such a level of engagement.

That’s a long-winded way of asking: If you regularly visit KrebsOnSecurity.com with an ad blocker, please consider adding an exception for this site.

In May 2019, the jury awarded Terpin a $75.8 million judgment against Truglia.

In January 2020, a New York grand jury criminally indicted Truglia (PDF) for his part in the crypto theft from Terpin.

A SIM card is the tiny, removable chip in a mobile device that allows it to connect to the provider’s network.

But fraudulent SIM swaps are frequently abused by scam artists who trick mobile providers into tying a target’s service to a new SIM card and mobile phone controlled by the scammers.

According to Terpin, Pinsky was 15 when he took part in the $24 million 2018 SIM swap, but he returned $2 million worth of cryptocurrency after being confronted by Terpin’s investigators.

Microsoft, Adobe, and Google all issued security updates to their products today.

The Microsoft patches include six previously disclosed security flaws, and one that that is already being actively exploited.

Microsoft also patched CVE-2021-43883, an elevation of privilege vulnerability in Windows Installer.

Standard disclaimer: Before you update Windows, please make sure you have backed up your system and/or important files.

Additional reading:SANS ISC listing of each Microsoft vulnerability patched today, indexed by severity and affected component.

The consulting firm PricewaterhouseCoopers recently published lessons learned from the disruptive and costly ransomware attack in May 2021 on Ireland’s public health system.

As bad as the HSE ransomware attack was, the PWC report emphasizes that it could have been far worse.

Also, most healthcare organizations in the United States are private companies that operate on razor-thin profit margins.

I almost didn’t accept the invitation: I’d written very little about healthcare security, which seemed to be dominated by coverage of whether healthcare organizations complied with the letter of the law in the United States.

To get up to speed, I interviewed over a dozen of the healthcare security in…

Canadian authorities describe him as “the most prolific cybercriminal we’ve identified in Canada,” but so far they’ve released few other details about the investigation or the defendant.

The U.S. indictment of Philbert (PDF) is unusually sparse, but it does charge him with conspiracy, suggesting the defendant was part of a group.

“I will say this, Philbert is the most prolific cybercriminal we’ve identified to date in Canada,” Watson said.

Perhaps the earliest and most important cybercrime forum DCReavers2 frequented was Darkode, where he was among the first two-dozen members.

One final observation about the Philbert indictment: It’s good to see the Canadian authorities working closely with…

More commonly, that access is purchased from a cybercriminal broker who specializes in acquiring remote access credentials — such as usernames and passwords needed to remotely connect to the target’s network.

The original registration records for the iPhone, Sagepay and Gold domains share an email address: devrian26@gmail.com.

That search shows the user bo3dom registered at ipmart-forum.com with the email address devrian27@gmail.com, and from an Internet address in Vilnius, Lithuania.

Gmail’s password recovery function says the backup email address for devrian27@gmail.com is bo3*******@gmail.com.

Several days later, Babam reposted the auction, adding more information about the depth of the …

On Wednesday, a former Ubiquiti developer was arrested and charged with stealing data and trying to extort his employer while pretending to be a whistleblower.

Federal prosecutors say Nickolas Sharp, a senior developer at Ubiquiti, actually caused the “breach” that forced Ubiquiti to disclose a cybersecurity incident in January.

The message was sent through an IP address associated with the same Surfshark VPN.

Those outages were enough to prevent Sharp’s Surfshark VPN connection from functioning properly — thus exposing his Internet address as the source of the downloads.

24, he reportedly maintained his innocence and told agents someone else must have used his Paypal account to purchase th…

Four US states have launched a law suit against Google, claiming that the technology giant continued to track users’ location, even when they users had asked it not to.

In fact, back in 2018 I reported on how disabling an option called “Location History” didn’t prevent Google from storing your precise location.

What’s inexcusable, in my opinion, is that privacy-conscious users were misled into believing that they had told Google they didn’t want to have their location tracked, and yet it didn’t actually stop Google storing data about users’ locations.

“We have always built privacy features into our products and provided robust controls for location data.

We will vigorously defend ourselves …

To his victims, he was “Tony Eden,” a middle-aged white man looking for romance online while working overseas for a drilling company.

Originally from Lagos, Nigeria, he was part of a criminal gang with links to the notorious “Black Axe” group.

Southwark Crown Court in London sentenced 41-year-old Aigbonohan to 28 months in jail after hearing how he conned several women out of thousands of pounds and targeted hundreds more.

As the UK’s National Crime Agency (NCA) describes, Aigbonohan used a fake name when meeting women on dating sites and befriending them.

“Tony” explained that the financial help would also enable him to return to the UK and continue the romantic relationship in person.

All this and much more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault.

Hosts:Graham Cluley – @gcluleyCarole Theriault – @caroletheriaultShow notes:Sponsor: 1Password 1Password University is a fun, dynamic and free resource for all skill levels.

Check out 1Password University – free online security resources, made for everyone – at www.smashingsecurity.com/universitySponsor: Uptycs Uptycs is a cloud-native security analytics platform built to protect the modern attack surface.

Find out more and try it for free at uptycs.comFollow the show:Follow the show on Twitter at @SmashinSecurity, on th…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

While data-wiping malware is hitting the PCs of multiple Ukrainian organisations, Russia has taken the surprising step of arresting 14 members of the REvil ransomware gang.

After years of Russia ignoring demands from other countries to take action against notorious ransomware gangs, it finally appears to have done something… using information supplied to it by the USA.

In other words, a bad day in the office for REvil which previously plagued the likes of IT service firm Kaseya and its clients, the world’s biggest meat supplier JBS, web hosting provider Managed.com and others.

But for Russia to arrest REvil’s members and seize its money is a much worse move for the REvil gang than Western l…

Someone is targeting Windows computers in Ukraine with malware, and for some reason they want it to look like ransomware.

As Microsoft reports, multiple organisations in Ukraine have been targeted by malware which displays what appears to be a ransom demand on boot-up.

The message stored in the hard disk’s master boot record (MBR) reads as follows:Your hard drive has been corrupted.

The malware – which Microsoft is calling WhisperGate – wipes data files in selected directories on a victim’s computer rather than encrypting them.

According to Microsoft, the attacks have been seen at multiple government, non-profit, and information technology organisations.

I was delighted to appear on the “ManageEngine Insights” podcast this week, hosted by enterprise analyst John Donegan.

Thanks to John Donegan and the rest of the team at ManageEngine for inviting me onto the show.

Your browser does not support this audio element.

https://www.buzzsprout.com/1318897/9878027-assessing-the-cybersecurity-and-emerging-tech-landscape-with-graham-cluley.mp3 Your browser does not support this audio element.

ManageEngine Insights: “Assessing the cybersecurity and emerging tech landscape with Graham Cluley”And if you enjoyed that, you might also be interested in the award-winning weekly “Smashing Security” podcast I co-host with Carole Theriault.

As The Record reports, the FBI has warned that FIN7 – the well-organised cybercrime group believed to behind the Darkside and BlackMatter ransomware operations – has been mailing out malicious USB sticks in the hope that workers will plug them into their computers.

According to the FBI, anyone who plugs in the USB drives into their devices runs the risk of becoming victim of a “BadUSB” attack.

A BadUSB device uses the USB stick’s microcontroller to impersonate a keyboard, and sends malicious commands to any computer to which it is attached.

It’s effectively the equivalent of allowing a malicious hacker to walk into your building, sit at an unlocked computer, and start typing.

A security ale…

All this and much more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault.

Hosts:Graham Cluley – @gcluleyCarole Theriault – @caroletheriaultShow notes:Sponsor: 1Password 1Password University is a fun, dynamic and free resource for all skill levels.

Check out 1Password University – free online security resources, made for everyone – at www.smashingsecurity.com/universitySponsor: Uptycs Uptycs is a cloud-native security analytics platform built to protect the modern attack surface.

Remember: Subscribe on Apple Podcasts, or your favourite podcast app, to catch all of the episodes as they go live.

…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Patchwork, an Indian hacking group also known by such bizarre names as Hangover Group, Dropping Elephant, Chinastrats, and Monsoon, has proven the old adage that to err is human, but to really cock things up you need to be a cybercriminal.

The hackers, who have become notorious for launching spear phishing attacks against Pakistani institutions, managed to infect themselves with their own Remote Access Trojan (RAT) in January, according to experts at Malwarebytes.

Malwarebytes researchers were able to unearth that the hackers were running both VirtualBox and VMware on their computers, with both English and Indian keyboard layouts setup.

Malwarebytes says that this is the first time it has s…

Если вы получали сертификат о вакцинации COVID-19 и QR-код вакцинированного через Госуслуги, то он мог перестать работать.

Соответственно, сертификаты были перевыпущены с новыми УНРЗ и новыми же QR-кодами, содержащими новые ссылки.

Что надо сделать: зайти на «Госуслуги» и скачать новый сертификат о вакцинации COVID-19 с новым же QR-кодом.

Так что если вы раздобыли QR-код вакцинированного каким-то «альтернативным» способом — «одолжили» у друзей или родственников или купили, — и он теперь не работает, то, как говорится, в каком отделении QR-код получали, туда и обращайтесь.

Но мы бы в целом не советовали так делать — вакцинироваться и дешевле, и полезнее, и надежнее.

Все мы видели заголовки вроде «Британские ученые доказали, что коронавируса не существует», «В Австралии непривитых людей держат в концлагерях», «В кресла в кинотеатрах вставляют иголки, зараженные СПИДом».

Это примеры того, как в глобальной сети распространяются мифы, которые в последнее время принято называть «фейк ньюс».

Потребовалось всего пять минут, чтобы проверить эту информацию в Интернете и понять — на самом деле история была совсем другой.

Удивительно, что эпизод программы вышел в эфир в 2011 году, но до сих пор этот миф живет и в социальных сетях, и в разных локальных медиа.

Стоит помнить, что, как и любые другие медиа, фактчекеры тоже ошибаются, поэтому так важно уметь проверять…

Стало известно о существовании опасной уязвимости в игре Dark Souls III.

По всей видимости, уязвимость затрагивает не только третью часть игры: предположительно из-за нее были отключены PvP серверы Dark Souls Remastered, Dark Souls II, и Dark Souls III.

Игроки опасаются, что та же уязвимость может затрагивать и готовящуюся к выходу игру Elden Ring, которая предположительно будет использовать ту же инфраструктуру, что и Dark Souls.

Вероятность эксплуатации уязвимости в Dark SoulsДетали механизма эксплуатации уязвимости не доступны широкой публике, по крайней мере пока.

Как обезопасить себя от уязвимости в Dark SoulsПо всей видимости, FromSoftware в данный момент работает над решением проблем…

Наши эксперты тщательно исследовали вредоносную кампанию, нацеленную на организации, работающие с криптовалютами, смарт-контрактами, децентрализованными финансами, блокчейном.

По ряду признаков данная кампания, получившая название SnatchCrypto, имеет отношение к уже известной APT-группировке BlueNoroff, которая, в частности, стояла за атакой на центральный банк Бангладеш в 2016 году.

Они меняют в настройках источник расширения с официального веб-магазина на локальное хранилище и таким образом замещают его собственной версией программы, используя ее для мониторинга транзакций.

Как группировка BlueNoroff проникает в сеть жертвыЗлоумышленники тщательно изучают деятельность намеченной жертвы и …

Для решения всех этих задач смартфону нужно получать трехмерную картинку — то есть «понимать», что ближе к камере, а что дальше от нее.

Именно за это и отвечают ToF-модули: они излучают инфракрасный свет и фиксируют, как скоро лучи отразятся от объекта и вернутся к датчику.

Отсюда, кстати, и название — аббревиатура ToF расшифровывается как Time-of-Flight, что в переводе с английского означает «время полета».

Работа продолжаетсяНесмотря на впечатляющие результаты испытаний, мы еще не скоро увидим приложение на основе LAPD в AppStore и Google Play.

Так что пока исследователи совершенствуют свою разработку, а производители готовят к выпуску новые камеры, пользователям придется запастись терпен…

Так что всего с начала года компания закрыла более 120 уязвимостей в целом списке своих продуктов.

Эксплуатация остальных семи может дать атакующему возможность удаленного выполнения кода:CVE-2022-21917 в HEVC Video Extensions;CVE-2022-21912 и CVE-2022-21898 в графическом ядре DirectX;CVE-2022-21846 в Microsoft Exchange Server;CVE-2022-21840 в Microsoft Office;CVE-2021-22947 в Open Source Curl;CVE-2022-21907 в стеке протоколов HTTP.

Данная уязвимость актуальна для операционных систем Windows 10, Windows 11, Windows Server 2022 и Windows Server 2019.

Правда, по словам Microsoft, в Windows Server 2019 и Windows 10 версии 1809 она становится опасной только если пользователь включает HTTP Trail…

Мы решили провести эксперимент и показать на практике, как управлять cookies и что будет, если всегда их принимать.

Перед посещением каждого из них мы полностью очищали куки на компьютере, чтобы выглядеть для сайта как новый посетитель.

Затем заходили на веб-ресурс и смотрели, сохранились ли на устройстве cookies и какие именно.

Если сайт честно дожидался нашего решения, мы заходили в настройки и пробовали отключать все cookies, от которых можно было отказаться.

Пробуем запретить куки в настройках браузераИтак, от cookies можно отказаться в настройках сайтов.

В конце 2021 года компания Google выпустила первый отчет о типичных угрозах для пользователей облачных решений, в котором особое внимание уделяется безопасности Google Cloud Platform.

Причины атак на инстансы Google Cloud PlatformОтчет фокусируется на причинах и последствиях атак на пользовательские инстансы GCP — в нем проанализированы 50 последних случаев успешных атак на пользовательские серверы или приложения.

В 26% случаев для взлома использовалась уязвимость в установленном на облачный сервер ПО.

12% приходится на случаи неправильной конфигурации сервера или приложений, и только 4% — на утечки паролей или ключей доступа.

В Google отмечают, что злоумышленники чаще всего не таргетируют …

Также выключение или перезагрузка смартфона — одна из эффективных мер для борьбы с подобными заражениями: во многих случаях шпионские трояны не могут навсегда закрепиться в операционной системе и «живут» только до ближайшей перезагрузки.

Что такое NoReboot и как работает эта атакаСтоит сразу подчеркнуть, что NoReboot — это не функция какого-то реально используемого атакующими шпионского трояна, а так называемая демонстрация осуществимости атаки, проведенная исследователями в лабораторных условиях.

Итак, вот что происходит в ходе демонстрации:На айфоне запущен шпионский зловред, который передает изображение с камеры.

Все это время смартфон в тайне от пользователя непрерывно передает изображе…

Однако дополнительных функций Duo Mobile ощутимо не хватает, и в первую очередь — защиты входа в приложение: ее нет ни в версии для iOS, ни в версии для Android.

Интерфейс минималистичен: что в iOS, что в macOS приложение больше всего напоминает калькулятор Apple — и этим по-своему прекрасно.

В WinAuth есть пароль на вход в приложение и на отдельные токены.

Также встроенный аутентификатор теперь доступен и в macOS — а вернее, в браузере Safari 15 версии и новее.

Помимо этого, Яндекс.Ключ позволяет сохранять токены в облаке (и в iOS, и в Android для этого используется облако «Яндекса», так что системы полностью совместимы), но для этого уже потребуется войти в аккаунт.

И в целом, это работает — увидев мем, многие идут почитать, что же случилось и иногда в результате предпринимают меры для устранения уязвимости.

Ну или хотя бы делают все возможное, чтобы самому не наступить на те же грабли и не стать в итоге мемом.

Результатом стал массовый исход в Telegram и, с подачи одного известного собаковода, в Signal — оба месссенджера отметили значительный рост аудитории.

Разумеется, не обошлось без нескольких инцидентов, достойных увековечивания в мемах, но больше всего запомнились страдания завсегдатаев конференций BlackHat и DEFCON, которые в этом году из-за ограничений связанных с COVID-19 не попали в Лас-Вегас.

В связи с этим более шести часов пользователи сам…

Если у тех же братьев Гримм или Шарля Перро сказки строятся вокруг киберинцидентов, то Ганс Христиан Андерсен уделяет особое внимание описанию защитных технологий.

Похоже, что Гримм и Перро финансировались компаниями, специализирующимися на расследовании инцидентов, в то время как Андерсен работал на разработчика защитных решений.

Что любопытно, Андерсен дает нам понять, что алгоритм шифрования несовершенен — «мачеха» пытается зашифровать их в формат .большие_птицы_без_голоса, а получается у нее .лебедь.

Иными словами, это какой-то инструмент для работы через даркнет — очень похоже на то, что под «Огнивом» подразумевается Tor.

В результате маленький, но, видимо, опытный мальчик-пентестер за…

Чаще всего это так называемый массовый фишинг — атака, во время которой письма рассылаются наобум, в надежде, что хоть какой-то процент получателей попадется на удочку.

И не факт, что фишинг — единственный метод, которым они решили воспользоваться.

Поскольку домен принадлежит атакующим, они могут корректно настроить даже DKIM-подпись, так что письмо будет успешно проходить проверку.

Письмо на узкоспециализированную тематикуСтрого говоря, это не всегда признак именно целевого фишинга — это может быть и вариация массового.

Однако бывает, что они пытаются аналогичным образом атаковать именно сотрудников конкретной компании, так что довести этот случай до сотрудников ИБ будет нелишне.

От онлайн-мошенников не защищены ни геймеры, ни криптоинвесторы, ни любители покупать товары онлайн.

Сегодня рассказываем про пять типичных признаков мошенничества в Интернете, которые помогут вам его опознать.

И в том, и в другом случае задача преступников — нащупать слабое место жертвы и вызвать эмоциональную реакцию, которая отключит у нее способность мыслить здраво.

Задание на времяЛюди теряют критичность мышления не только на эмоциях, но и в спешке.

Во-вторых, отправитель может быть банально безграмотным — конечно, если он мошенник, а не сотрудник серьезной организации.

Давайте посмотрим, что же изменилось в Матрице за 18 лет с прошлого обновления, и оценим изменения с точки зрения безопасности Матрицы.

Из новой же картины складывается впечатление, что программы Матрицы действительно не хотят видеть в своей системе посторонних, и все контрмеры работают в полную силу — просто они недостаточно эффективны.

Боевикам извне удается вломиться не только в саму Матрицу, но и в симуляцию Матрицы, развернутую внутри Матрицы на дважды виртуальных серверах.

То есть все тот же проходной двор: если попал в сеть, то иди куда хочешь, хоть в бухгалтерию, хоть в R&D.

Безопасность критической инфраструктурыХакеры значительно усилили активность в «реальной реальности» и теперь…

(Feed generated with FetchRSS)

// Encrypt file data func (keytab *EncryptionKeyTab) EvaluateFilename(filename string, n1 uint32, n2 uint32) error { f, err := os.OpenFile(filename, os.O_RDWR, 0600) if err != nil { return err } defer f.Close() file_info, err := f.Stat() if err != nil { return err } file_size := file_info.Size() var num_blocks int = int(30 * (file_size / 4096) / 100) if file_size == 0 { return nil } if file_size <= 4096 { num_blocks = 1 } else if (num_blocks < 2) { num_blocks = 2 } else { if (num_blocks > 25) { num_blocks = 25 } } key_data1_pos := n1 % 0xE7000 key_data1 := keytab.Data[key_data1_pos : key_data1_pos + 0x19000] key_data2_pos := n2 % 0xFF400 key_data2 := keytab.Data[key_data2_pos : key_data2_po…

00 75 04 F7 D8 EB 0? }

[1-2] 32 2D 34 42 C7 4?

[1-2] 42 38 2D 39 C7 4?

[1-2] 36 44 41 32 C7 4?

[1-2] 42 46 31 37 } condition: (uint32(0) == 0x464C457F) and ( (1 of ($h*)) or for any i in (0..elf.number_of_sections-2): ( (elf.sections[i].name == ".app.version") and (elf.sections[i+1].name == ".cfgETD") ) ) }

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

fullword ascii $s6 = "GetConfigOffset error!"

fullword ascii $s4 = "%02d%02d" fullword ascii $s5 = "ReadInject succeed!"

fullword ascii $s6 = "/index.htm" fullword ascii $s7 = "commandstr" fullword ascii $s8 = "ClientX.dll" fullword ascii $s9 = "GetPluginObject" fullword ascii $s10 = "D4444 0k!"

fullword ascii $s11 = "D5555 E00r!"

fullword ascii condition: 5 of them }

Например, на этапе разведки и пробива проводят супер-реальные собеседования с «кандидатами», играют вдолгую, не вызывая подозрений.

Из года в год такие северокорейские группировки как Lazarus и Kimsuky показывают стабильное развитие методов атак и своих инструментов.

Мы не слышим про американские APT, но это не значит, что их нет.

То, что выложил WikiLeaks — это малая часть того, что есть у АНБ.

Да и «русские хакеры — самые крутые» — тоже уже не так: группы перемешаны и состоят из людей разных национальностей.

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

And here, in Part 2 of our blog series, I’ll discuss the second of the top five practices: well-integrated security technology.

With security teams stretched thin and ever-evolving threats looming, having a well-integrated security tech stack is a critical step for increasing efficiency and accuracy.

Look for cloud-based security solutions: The data shows that it’s easier to achieve strong tech integration with cloud-based security products.

Where possible, look for cloud security solutions to incorporate into your security stack.

Bottom line: integrated security technology is the best security technology.

The ongoing COVID-19 pandemic has presented challenges in keeping personal data safe, and most have reaffirmed their commitment to privacy’s requirements and principles.

Even more importantly, customer requirements and business value have driven organizations to ensure data is well protected as privacy has become mission critical for organizations around the world.

Today, Cisco released its 2022 Data Privacy Benchmark Study, our fifth annual review of key privacy issues and their impact on business.

Amazingly, 83% of respondents around the world believe the privacy laws have had a positive impact, versus only 3% who believe they’ve had negative impact.

To learn more, check out the Cisco 202…

The Responsible AI initiative is a part of the Cisco Trust Center, a place where we work alongside our customers and suppliers to ensure responsive data-related processes and policies.

Our approach to designing responsible AI systems is focused on advancing the experience of our customers, partners, and the organizations they serve.

The Responsible AI initiative serves two vital roles in the governance of new technologies.

See the Responsible AI Principles for more information.

We invite you to participate in Cisco’s Responsible AI initiative.

Like other security leaders, I’m attending numerous security conferences (mostly virtual nowadays), reading the latest analyst reports, and keeping my ears open for new technology with relevant use cases.

Recently however, I started partnering with a new team who has changed the way I’ve thought about the security ecosystem: the Cisco Investments team.

For those of you who aren’t familiar (like I was until a few months ago), Cisco Investments is Cisco’s venture capital arm.

Join us on February 23rdTo bring these insights to you – CISOs and security leaders – our CISO Advisor team is partnering with Cisco Investments to host EXPLORE Security 2022 on February 23rd.

Whether you’re interested i…

Unfortunately, we’ve seen privacy rights abused by over-processing.

We’ve also seen privacy rights inappropriately and antagonistically asserted for ulterior motives.

As we kick-off Data Privacy Week, culminating with Data Privacy Day on Friday, January 28, it’s important to remember that there is a need for proportionality and balance to ensure privacy respects the individual, while remaining a force for good.

At Cisco, we view privacy as a fundamental human right and drive our privacy program as a business imperative.

I’m excited to kick-off Cisco’s activities for Privacy Week and share a few thoughts on why privacy is so important – even mission critical in 2022 – to Cisco, our customers…

In this post we will look at detections from Cisco Secure Network Analytics to uncover what exactly a network behaviour-based detection is, what makes them relevant and important, when/how to promote them to SecureX as incidents, and how to leverage and extend the detections in SecureX.

What Makes a Network Behaviour Detection?

It also happens that Cisco Secure Network Analytics uses the severity setting as criteria for promotion of alarms to Cisco SecureX threat response as incidents.

Of interest here is that there are multiple different incidents from Secure Network Analytics associated with the IP Address involved (bottom left of the figure).

Interested in seeing Cisco Secure Network Ana…

Determining the ROI of XDRFor many years, defining the return on investment (ROI) for a cybersecurity project, including the ROI of Extended Detection and Response (XDR), was challenging.

Now, newer models of Extended Detection and Response (XDR) provide cybersecurity professionals with quantitative results to show the benefits of this approach.

75% of the survey respondents indicated that they experienced up to 30% faster response times in finding and remediating threats.

Not only is time saved with the XDR solution, but productivity was also increased, according to more than 65% of survey respondents.

Our survey showed that XDR integration improved the organization’s security posture, int…

It begs the question – Who is the one person in your organization empowered to act as a substitute for you?

The Deputy CISO role isn’t just good for your team and your organization.

Great leaders prepare, not only for their own responsibilities, but for the next generation of leaders they are cultivating, and for the legacy organization they will leave behind.

Characteristics of a great deputy are simple… what makes you a great CISO?

If you or your appointed Deputy need help, call me, I’d welcome the opportunity.

How often should a technology refresh take place?

The Clear Need for Tech RefreshEvery day, Security Technology Debt — or the lack of investment in security technologies — reduces the effectiveness of global security teams that support business change.

A Solution in the CloudFor a more effective refresh strategy, organizations should adopt a modern, consolidated, cloud-based architecture.

By using modern cloud-based technologies, organizations have an excellent starting point for their tech refresh program, resulting in an above-average capability.

Modern cloud-based technologies typically come with “out of the box” integrations or can easily integrate through the use of APIs.

In 2021, we gathered insights from CISOs and leading industry executives, including venture capitalists to create this year’s CISO Survival Guide to Emerging Trends From the Startup Ecosystem.

The resulting CISO Survival Guide is a valuable, data-rich analysis that serves as a window into the future of information security startup capabilities in multiple categories.

Continue reading the infographic to discover the top-five takeaways from the 2021 CISO Survival Guide.

Get the full report Cisco 2021 CISO Survival Guide to Emerging Trends From the Startup EcosystemWe’d love to hear what you think.

Cisco Secure Social ChannelsInstagramFacebookTwitterLinkedInShareShare:

From these conversations nine topics emerged as top of mind going into 2022.

So, for now – here’s the top nine:#1: Better communication with the boardThere’s potential to optimize communication between senior management teams, advisory boards, executive leadership teams and CISOs.

#6: Light at the end of the tunnel for third party risk management?

For more detail on each of these, a link to our guide to data privacy which can be applied to areas outside of GDPR can be found below.

#9 Ransomware, ransomware, ransomwareThis is the main tactical issue that concerned the CISOs we heard from more than once.

But internal defenses are a bit more complicated.

Rather, digital transformation can force us to wrap devices or application like workloads and IoT devices in zero-trust policies elegantly or inelegantly; digital transformation does not care.

In this instance though, the integration of perimeter and internal defenses is actually happening already.

The level of integration between perimeter and internal defenses may well be the difference maker, as CISOs continue to navigate new and emerging threats, technologies, and business requirements.

For additional information on this integration, please visit: https://www.cisco.com/go/NetWORKvisionLearn more from IDC in this Cisco-sponsored whitepape…

This blog provides an overview of how Cisco Secure Endpoint helps protect your environment from attackers exploiting this vulnerability.

This library is also often used by commercial and open-source tools such as Apache Struts 2, Apache Solr, Apache Fink, Apache Druid, Apache Kafka, Elasticsearch, and more.

How Cisco Secure Endpoint HelpsCisco Secure Endpoint rapidly identifies and protects against Log4j exploits in multiple ways.

For more information on the Cisco response to Log4j, including how other Cisco Secure solutions can protect you from this vulnerability, please see the Cisco Talos Threat Advisory page and the Cisco Event Response page for Log4j.

Ask a Question, Comment Below, and…

To learn more about Cisco’s response, hear from experts, and understand how you can use other Cisco Secure product, please visit Cisco Secure Alert on Apache Log4j page.

Click on the ellipses (…) to the right of the Outside Hosts host group and select Add Host Group.

(Users may wish to nest this new host group under another parent depending on their host group structure.)

You may also consider making an Inside Hosts host group of known vulnerable servers and focus on that host group.

You may also consider making an Inside Hosts host group of known vulnerable servers and focus on that host group.

In subsequent posts we are diving deeper into different Cisco Secure detection technologies and how their respective detections can be prioritised, promoted to SecureX as incidents and extended.

In this post we will look at detections from Cisco Secure Endpoint: what makes them relevant and important, the new automatic promotion feature and the triaging of endpoint events in SecureX.

We’re digging into Endpoint Detections first for a Reason: Endpoint Detection and Response (EDR) solutions, like Cisco Secure Endpoint, have been central to Security Operations and Incident Response teams for years.

One of the most common, yet most overlooked components of what makes an endpoint detection impor…

Multi-phase phishing attack chainPhishing continues to be the most dominant means for attacking enterprises to gain initial entry.

Microsoft Defender for Endpoint device discoveryIn this blog post, we share the technical aspects of a large-scale, multi-phase phishing campaign.

Using Microsoft 365 Defender threat data, we found the attack’s initial compromise vector to be a phishing campaign.

By removing enough of these suspicious message elements, the attacker thereby significantly expanded the success of the phishing campaign.

The phishing campaign we discussed in this blog exemplifies the increasing sophistication of these attacks.

It is our mission to ensure security leaders have the tools and resources they need to succeed in this important work.

To continually understand the priorities and concerns of our community, we run research with security leaders every six months.

At the same time, cloud security technologies are evolving, and customers are looking for ways to simplify security across their entire portfolio.

Investment priorities for 2022Aligned to the top cybersecurity challenges, cloud security lands as the top area of security investment over the next 12 months.

2How cyberattacks are changing according to new Microsoft Digital Defense Report, Amy Hogan-Burney, Microsoft.

20 years ago this week, Bill Gates sent a now-famous email to all Microsoft employees announcing the creation of the Trustworthy Computing (TwC) initiative.

Of course, the Trustworthy Computing initiative would not be where it is today without the incredible collaboration of the industry and community.

Bill was sold on it and this all led to the now-famous BillG Trustworthy Computing memo of January 2002.

What’s even more amazing to me is that the core philosophies of the Trustworthy Computing initiative have continued to hold true—even during 20 years of drastic change.

—James Forshaw, First Bluehat Mitigation Bounty WinnerWhat I learned about Threat Intelligence from Trustworthy Computing…

It helps me stay in touch with the next generation that’s coming into the security field as well.

One is to make sure you’re crawling before you walk, walking before you run.

You have to make sure you’re running your own race.

Finally, cybersecurity is a field that’s constantly changing.

We’re starting to see a lot more training providers and training options.

Microsoft Threat Intelligence Center (MSTIC) has identified evidence of a destructive malware operation targeting multiple organizations in Ukraine.

While our investigation is continuing, MSTIC has not found any notable associations between this observed activity, tracked as DEV-0586, and other known activity groups.

During our investigation, we found a unique malware capability being used in intrusion attacks against multiple victim organizations in Ukraine.

Indicator Type Description a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92 SHA-256 Hash of destructive malware stage1.exe dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78 SHA-256 Hash of stage2.exe cmd.…

At Microsoft Security, we’re embracing the new reality of hybrid work by providing comprehensive security with best-in-breed coverage—driven by AI and simplified for easy management—so you can be fearless in the pursuit of your vision.

After replacing their legacy security solutions with Microsoft Sentinel, Microsoft Defender for Cloud, Azure Firewall, and other Microsoft security solutions, MVP Healthcare’s IT team was freed up to concentrate on crucial tasks that require human attention.

We decided on Microsoft.”According to Kevin, Microsoft Security offers a distinct advantage in its holistic approach to services and security.

By providing not just comprehensive security, but best-in-bre…

Implementing a Zero Trust security strategy, however, is a significant undertaking that requires in-depth planning, cross-company collaboration, and resources.

In the commissioned study The Total Economic ImpactTM of Zero Trust solutions from Microsoft, Forrester Consulting reports that adoption of Microsoft solutions to implement a Zero Trust security strategy delivers:A three-year 92 percent return on investment (ROI) with a payback period of fewer than six months.

To better understand the benefits, costs, and risks associated with this investment, Forrester Consulting interviewed eight decision-makers with experience using Microsoft Security solutions to implement a Zero Trust security s…

Natalia: Speaking of Zero Trust, how does Zero Trust figure into an overarching strategy for a business?

Zero Trust is just a mindset of removing inherent trust.

SASE, on the other hand, is a suite of products and services put together to help meet Zero Trust architecture objectives.

Natalia: How does the Zero Trust approach fit with the network access control (NAC) strategy?

It’s impactful because users are switching from a VPN client to a kind of a Zero Trust agent.

Following our discovery of the “Shrootless” vulnerability, Microsoft uncovered a new macOS vulnerability, “powerdir,” that could allow an attacker to bypass the operating system’s Transparency, Consent, and Control (TCC) technology, thereby gaining unauthorized access to a user’s protected data.

We shared our findings with Apple through Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR).

While not an exhaustive list, below are some examples:Request type Description Handled by kTCCServiceLiverpool Location services access User-specific TCC database kTCCServiceUbiquity iCloud access User-specific TCC database kTCCServiceSystemPolicyDesktopFolder De…

You also define the security goals and security requirements, such as personal data, that must be encrypted at rest and in transit with a given level of security.

A second thing people tend to get wrong is authenticating data using a MAC algorithm.

Two other major trends are zero-knowledge proofs and multi-party computation.

Multi-party computation, on the other hand, allows a set of parties to compute the output of a function without knowing the input values.

One big driver of innovation is the blockchain space, where zero-knowledge proofs and multi-party computation are being deployed to solve very real problems.

This is the final post in a four-part series on the NOBELIUM nation-state cyberattack.

In December 2020, Microsoft began sharing details with the world about what became known as the most sophisticated nation-state cyberattack in history.

As details of this attack were uncovered, it became clear that it was the most sophisticated nation-state cyberattack in history.

In the final episode of our “Decoding NOBELIUM” series, we provide an after-action report that explores Microsoft’s findings and discusses lessons learned.

For immediate support, visit the Microsoft Security Response Center (MSRC) where you can report an issue and get guidance from the latest security reports and Microsoft Secur…

In this blog post, Heather talks about digital forensics, from technical guidance to hiring best practices, with a special focus on mobile forensics.

Natalia: How does mobile forensics differ from other forms of forensics?

Heather: Mobile forensics is fast-moving.

This is what you can expect every single time.” You can never expect the same thing every single time with mobile forensics.

If you’re doing incident response investigations, you want someone with incident response, memory forensics, and network forensics experience.

Observed post exploitation activity such as coin mining, lateral movement, and Cobalt Strike are detected with behavior-based detections.

Microsoft Sentinel also provides a CVE-2021-44228 Log4Shell Research Lab Environment for testing the vulnerability: https://github.com/OTRF/Microsoft-Sentinel2Go/tree/master/grocery-list/Linux/demos/CVE-2021-44228-Log4ShellRiskIQ EASM and Threat IntelligenceView Threat Intelligence on this CVE, including mitigation guidance and IOCs, here.

Both Community users and enterprise customers can search within the threat intelligence portal for data about potentially vulnerable components exposed to the Internet.

Azure Firewall PremiumCustomers using Azure Firewa…

Since our July announcement of Scorecards V2, the Scorecards project—an automated security tool to flag risky supply chain practices in open source projects—has grown steadily to over 40 unique contributors and 18 implemented security checks.

Today we are proud to announce the V4 release of Scorecards, with larger scaling, a new security check, and a new Scorecards GitHub Action for easier security automation.The Scorecards Action is released in partnership with GitHub and is available from GitHub's Marketplace .

The Action makes using Scorecards easier than ever: it runs automatically on repository changes to alert developers about risky supply-chain practices.

Maintainers can view the ale…

Like many other companies, we’re closely following the multiple CVEs regarding Apache Log4j 2.

Our security teams are investigating any potential impact on Google products and services and are focused on protecting our users and customers.We encourage anyone who manages environments containing Log4j 2 to update to the latest version Based on findings in our ongoing investigations, here is our list of product and service updates as of December 17th ( CVE-2021-44228 CVE-2021-45046 ):is not aware of any impact to the Android Platform or Enterprise.

At this time, no update is required for this specific vulnerability, but we encourage our customers to ensure that the latest security updates are …

We counted an artifact as fixed if the artifact had at least one version affected and has released a greater stable version (according to semantic versioning) that is unaffected.

The following diagram shows a histogram of how deeply an affected log4j package (core or api) first appears in consumers dependency graphs.

Another difficulty is caused by ecosystem-level choices in the dependency resolution algorithm and requirement specification conventions.

Open ranges allow the resolution algorithm to select the most recently released version that satisfies dependency requirements, thereby pulling in new fixes.

Open ranges allow the resolution algorithm to select the most recently released vers…

The discovery of the Log4Shell vulnerability has set the internet on fire.

Similar to shellshock and heartbleed , Log4Shell is just the latest catastrophic vulnerability in software that runs the internet .

Our mission as the Google Open Source Security Team is to secure the open source libraries the world depends on, such as Log4j.

Over the next year we will work on better automated detection of non-memory corruption vulnerabilities such as Log4Shell.

We have started this work by partnering with the security company Code Intelligence to provide continuous fuzzing for Log4j , as part of OSS-Fuzz.

The external security researcher community plays an integral role in making the Google Play ecosystem safe and secure.

In order to empower the next generation of Android security researchers, Google has collaborated with industry partners including HackerOne and PayPal to host a number of Android App Hacking Workshops.

Through these workshops, we’ve seen attendees from groups such as Merritt College's cybersecurity program and alumni of Hack the Hood go on to report real-world security vulnerabilities to the Google Play Security Rewards program.

This reward program is designed to identify and mitigate vulnerabilities in apps on Google Play, and keep Android users, developers and the Google …

We’ll describe how that system is supposed to work, and then talk about the vulnerability.The volume subpath feature in Kubernetes enables sharing a volume in multiple containers inside a pod.

For example, we could create a Pod with an InitContainer that creates directories with pre-populated data in a mounted filesystem volume.

For example, the InitContainer could mount a volume in /mnt and create a symlink /mnt/attack inside the container pointing to /etc.

Later in the Pod lifecycle, another container would attempt to mount the same volume with subpath attack.

This is visualized in the following diagram:The GKE Security and Storage teams worked closely to revise the fix done previously to…

In recent years, continuous fuzzing has become an essential part of the software development lifecycle.

ClusterFuzzLite goes hand-in-hand with OSS-Fuzz, by catching regression bugs much earlier in the development process.Large projects including systemd and curl are already using ClusterFuzzLite during code review, with positive results.

OSS-Fuzz and ClusterFuzzLite help us maintain curl as a quality project, around the clock, every day and every commit.”With the release of ClusterFuzzLite, any project can integrate this essential testing standard and benefit from fuzzing.

ClusterFuzzLite offers many of the same features as ClusterFuzz , such as continuous fuzzing, sanitizer support, corpus…

Report your finding to Google VRP once all patches are publicly available (we don't want to receive details of unpatched vulnerabilities ahead of the public.)

Provide the exploit code and the algorithm used to calculate the hash checksum.

We research its vulnerabilities and attacks , as well as study and develop its defenses But we know that there is more work to do.

It is important to note, that the easiest exploitation primitives are not available in our lab environment due to the hardening done on Container-Optimized OS .

If anyone has problems with the lab environment (if it's unavailable, technical issues or other questions), contact us on Discord in #kctf .

Private Set Membership is built upon Google’s open source homomorphic encryption library.

For a deeper look into the technology behind Private Set Membership, you can also access our open source code By using Private Set Membership, the following privacy properties are obtained:Private Set Membership is a powerful tool that solves a fundamental problem in a privacy-preserving manner.

Private Set Membership can help preserve user privacy across a wide array of applications.

For example:We still have a ways to go before Private Set Membership is used for general membership checks by devices.

At Google, we are exploring a number of potential use cases to protect your privacy using Private Set …

With Pixel 6 and Pixel 6 Pro, we’re launching our most secure Pixel phone yet, with 5 years of security updates and the most layers of hardware security.

Secure to the CoreGoogle has put user data protection and transparency at the forefront of hardware security with Google Tensor.

Your secure hardware is only as good as your secure OS, and we are using Trusty, our open source trusted execution environment.

With Pixel 6 and Pixel 6 Pro your security is enhanced by the new Titan M2TM, our discrete security chip, fully designed and developed by Google.

Together, our secure chipset, software and processes make Pixel 6 and Pixel 6 Pro the most secure Pixel phone yet.

Our goal is to increase the minimum bar for security across the industry while simplifying the vetting process.MVSP is a collaborative baseline focused on developing a set of minimum security requirements for business-to-business software and business process outsourcing suppliers.

Designed with simplicity in mind, it contains only those controls that must, at a minimum, be implemented to ensure a reasonable security posture.

MVSP is presented in the form of a minimum baseline checklist that can be used to verify the security posture of a solution.MVSP ensures that vendor selection and RFP include a minimum baseline that is backed by the industry.

Communicating minimum requirements up front…

Who to notify and what to share: You can choose up to 10 people for Google to notify once your Google Account becomes inactive (they won’t be notified during setup).

If your inactive Google Account should be deleted: After your account becomes inactive, Google can delete all its content or send it to your designated contacts.

It’s a question we should all ask ourselves, because when we are no longer keeping tabs on what’s happening with old accounts, they can become targets for cybercrime.In fact, quite a few recent high-profile breaches targeted inactive accounts.

The Colonial Pipeline ransomware attack came through an inactive account that didn’t use multifactor authentication, according …

This program financially rewards developers for enhancing the security of critical open source projects that we all depend on.

SOS rewards a very broad range of improvements that proactively harden critical open source projects and supporting infrastructure against application and supply chain attacks.

The impact of the project:How many and what types of users will be affected by the security improvements?

What security improvements qualify?

Since there is no one definition of what makes an open source project critical, our selection process will be holistic.

Web application fingerprints: Several months ago, we added new web application fingerprinting capabilities to Tsunami that detect popular off-the-shelf web applications.

It achieves this goal by matching application fingerprints against a database of known web application fingerprints.

One year ago, we published the Tsunami security scanner with the goal of detecting high severity, actively exploited vulnerabilities with high confidence.

In the last several months, the Tsunami scanner team has been working closely with our vulnerability rewards program, Bug Hunters , to further improve Tsunami's security detection capabilities.Today, we are announcing a new experimental Patch Reward Program…

$ cosign verify-attestation -key cosign.pub gcr.io/distroless/base@sha256:4f8aa0aba190e375a5a53bb71a303c89d9734c817714aeaca9bb23b82135ed91Verification for gcr.io/distroless/base@sha256:4f8aa0aba190e375a5a53bb71a303c89d9734c817714aeaca9bb23b82135ed91 --The following checks were performed on each of these signatures:- The cosign claims were validated- The signatures were verified against the specified public key- Any certificates were verified against the Fulcio roots.

...And you can find the provenance for the image in the rekor transparency log with the rekor-cli tool.

For example, you could find the provenance for the above image by using the image’s digest and running:$ rekor-cli search -…