Zimperium: Десятки тысяч приложений для Android и iOS потенциально опасны для пользователейAlexander AntipovПочти 84 тыс.

приложений для Android и 47 тыс.

приложений для iOS не позволяют обеспечить сохранность личных данных пользователей.

приложений для Android и 47 тыс.

Использование публичных серверов Microsoft Azure, Google Cloud, Amazon Web Services создает риски для личных данных владельцев таких смартфонов.

Цели КНР: превосходство в ИИ и квантовых вычисленияхAlexander AntipovИскусственный интеллект и квантовая физика стали одними из семи ключевых областей, которые в стране определили как приоритетные для развития.

Китай намерен увеличить финансирование и всячески стимулировать исследования в области производства микросхем и создания технологий искусственного интеллекта (ИИ) в соответствии со своим последним пятилетним планом, одной из главных целей которого является достижение глобального лидерства в технологической гонке с США.

Премьер-министр Китая Ли Кэцян выделил ключевые области, в которых можно достичь «крупных прорывов в основных технологиях», включая высокотехнологичные полупроводники,…

Уязвимости в Apple Find My могли раскрыть историю местоположения пользователейAlexander AntipovЭксплуатация уязвимостей позволяла получить несанкционированный доступ к истории местоположения пользователей Apple-устройств за последние семь дней.

Устройства Apple поставляются с функцией Find My, которая упрощает пользователям поиск других продуктов Apple, включая iPhone, iPad, iPod touch, Apple Watch, Mac или AirPods.

Функция отслеживания местоположения, получившая название «автономный поиск» и представленная в 2019 году, передает сигналы технологии Bluetooth Low Energy (BLE) с устройств Apple, позволяя находящимся в непосредственной близости другим девайсам передавать свое местоположение на …

De Volkskrant:Русские хакеры украли у BioNTech и Pfizer документы по COVID-вакцинеAlexander AntipovПреступники интересовались стратегией вакцинации в странах Европы и тем, препараты каких производителей приобретают те или иные государства.

За кибератаками на Европейское агентство лекарственных средств (EMA) стоят хакеры из России и Китая.

Преступники интересовались стратегией вакцинации в странах Европы и тем, препараты каких производителей приобретают те или иные государства.

А хакеры из Китая получили доступ к внутренним сетям EMA еще весной 2020 года, пишет De Volkskrant.

И Россия, и Китай отрицают причастность к атакам.

Российские студенты будут сдавать биометрию для допуска к дистанционным экзаменамAlexander AntipovВ следующем учебном году вузы смогут проводить промежуточную аттестацию в дистанционном формате с помощью Единой биометрической системы..Премьер-министр РФ Михаил Мишустин подписал постановление, разрешающее российским вузам дистанционно проводить промежуточную аттестацию с использованием Единой биометрической системы в 2021-2022 учебном году, сообщает пресс-служба правительства.

Единая биометрическая система обеспечивает обработку, сбор и хранение биометрических персональных данных, их проверку и передачу в вуз, отмечается в сообщении на сайте правительства.

Студентам необходимо будет зарегист…

6 способов выгрузки учетных записей из кэша доменаAlexander AntipovВ этой статье будет рассмотрена атака с целью получения учетных записей из кэша домена и различные техники для извлечения хэшей паролей через эксплуатацию пользователя домена.

Автор: Raj ChandelВ этой статье будет рассмотрена атака с целью получения учетных записей из кэша домена и различные техники для извлечения хэшей паролей через эксплуатацию пользователя домена.

Существует две версии MSCASH/MSCACHE (или DCC):MSCACHEV1 или DCC1, используемый до Vista и Server 2003MSCACHEV2 или DCC2, используемый после Vista и Server 2003Переходим к рассмотрению техник для извлечения хэшей.

В PowerShell Empire есть модуль для извлечения M…

Хвастовство стажера обошлось немецкой тюрьме в €50 тыс.

Alexander AntipovАдминистрации тюрьмы пришлось заменить 600 замков в тюремных камерах после того, как стажер опубликовал фото ключей в соцсети.

Стажеру одной из немецких тюрем придется выплатить внушительную сумму из-за собственных неразумных действий, в результате которых администрация пенитенциарного учреждения была вынуждена заменить сотню замков в тюремных камерах.

По данным немецких СМИ, практикант, проходивший стажировку в тюрьме Хейдеринг близ Берлина, сфотографировал тюремные ключи и ради хвастовства опубликовал снимок в группе в WhatsApp.

В результате администрации тюрьмы пришлось заменить замки в коридорах и тюремных камерах …

Чехия выдала двух граждан Украины, обвиняемых в кибератаках на СШАAlexander AntipovИм грозит до 20 лет лишения свободы.

По данным следствия, преступная группа действовала в нескольких государствах и проводила кибератаки на финансовые учреждения не только США, но и других стран.

Чешская полиция при содействии ФБР США задержала граждан Украины еще в феврале 2020 года.

"Чехия в начале марта выдала в США двух украинцев, подозреваемых в участии в составе ОПГ в проведении кибератак и легализации средств, полученных в итоге этой преступной деятельности", - отметил он.

По данным правоохранителей, украинцы были задержаны еще в феврале 2020 года.

Белый дом обеспокоен масштабом кибератаки на сервера Microsoft ExchangeAlexander AntipovИнцидент можно будет оценить как мировой кризис в сфере кибербезопасности.

Благодаря выявленной уязвимости в программном обеспечении от Microsoft хакеры смогли взломать порядка 60 тысяч организаций, использующих Microsoft Exchange Server.

Число жертв кибератак продолжит расти, а сам инцидент можно будет оценить как мировой кризис в сфере кибербезопасности.

Представитель американских властей сообщил , что на всех уровнях правительства США принимаются меры для «оценки и устранения последствий» действий киберпреступников.

Киберпреступники стремятся заразить как можно больше компьютеров прежде, чем компания …

Индия угрожает арестами сотрудникам Facebook, WhatsApp и TwitterAlexander AntipovУгрозы правительства являются ответом отказ технологических компаний выполнять требования об удалении данных, связанных с протестами.

Правительство Индии пригрозило сотрудникам Facebook, WhatsApp и Twitter тюрьмой в попытке подавить политические протесты и расширить свои полномочия по раскрытию данных пользователей иностранных технологических платформ.

Как сообщили в Facebook, компания «отвечает на запросы правительства о предоставлении данных в соответствии с действующим законодательством и условиями обслуживания».

Индия устанавливает новые правила, предоставляющие правительству власть над online-дискурсом в с…

Через школьный Wi-Fi можно будет просматривать только «верифицированный контент»Alexander AntipovОб этом сообщил министр просвещения РФ Сергей Кравцов в эфире программы «Вести».

До конца года все городские школы должны быть подключены как минимум со скоростью 100 мегабит в секунду, поселковые и сельские школы — 50 мегабит в секунду.

Но Wi-Fi, который будет в школе, как раз настроен на доступ к верифицированному контенту.

Кравцов не уточнил, как будет работать система и что будет расцениваться как «негативная информация».

Также в министерстве создается проверенный в соответствии со стандартами верифицированный контент, который может учитель использовать для преподавания того или иного предме…

Хакеры сорвали презентацию нового болида «Уильямс»Alexander AntipovБританская команда «Формулы-1» хотела представить инновационный FW43B через приложение дополненной реальности.

За час до начала презентации команда «Уильямс» сообщила об отмене части планов по проведению мероприятия.

Показать новую машину планировали с помощью приложения с дополненной реальностью для iOS и Android.

По заявлению пресс-службы «Уильямса», это будет невозможно сделать из-за того, что системы команды были взломаны хакерами накануне вечером.

«Мы хотели поделиться этим опытом с нашими болельщиками, особенно в это сложное время.

Supermicro и Pulse Secure выпустили патчи для защиты от атак TrickBootAlexander AntipovВредоносная программа TrickBoot может получить возможность чтения, записи и удаления прошивок, если на устройстве отключена защита от записи UEFI/BIOS.

Компании Supermicro и Pulse Secure выпустили предупреждения, что некоторые из их материнских плат уязвимы к модулю заражения прошивок UEFI вредоносного ПО TrickBot, известного как TrickBoot.

Представители Supermicro предупредили, что некоторые из материнских плат X10 UP уязвимы к вредоносному ПО TrickBoot, и выпустили обновление BIOS для включения защиты от записи.

Pulse Secure также выпустила рекомендации, поскольку устройства Pulse Secure Appliance 5000 …

Целый ряд авиакомпаний стали жертвами атаки на цепочку поставокAlexander AntipovХакеры взломали организацию SITA, предоставляющую авиакомпаниям телекоммуникационные и IT-услуги.

Киберпреступники взломали швейцарскую многонациональную информационную организацию SITA, предоставляющую телекоммуникационные и IT-услуги в авиационной отрасли, в рамках атаки на цепочку поставок.

SITA предоставляет IT- и телекоммуникационные услуги 400 организациям, покрывая порядка 90% от всей мировой отрасли.

Как сообщила компания, злоумышленники скомпрометировали данные пассажиров, хранящиеся на серверах SITA Passenger Service System.

Предполагается, что в результате атаки на SITA произошла утечка данных авиаком…

Обзор инцидентов безопасности за период с 27 февраля по 5 марта 2021 годаAlexander AntipovКраткий обзор главных событий в мире ИБ за неделю.

Об этих и других событиях в мире ИБ за период с 27 февраля по 5 марта 2021 года читайте в нашем обзоре.

Связанный с ПО Accellion FTA инцидент безопасности также расследует американская железнодорожная компания CSX Corporation.

Другая китайская группировка, TA413, в начале 2021 года пыталась атаковать учетные записи Gmail организаций в Тибете с помощью вредоносного расширения для браузера.

Обсуждая взлом, одни пользователи выражают намерение найти другой форум, а другие утверждают, что данные в утечке устарели и не являются полными.

Платформа «Антифишинг» позволяет проводить высокоэффективное обучение сотрудников и выработку у них навыков безопасного поведения при работе за компьютером, в интернете и с электронной почтой.

Платформа «Антифишинг» позволяет проводить обучение сотрудников с помощью курсов в привычном SCORM-формате и тренировать навыки безопасного поведения с помощью имитированных атак.

Визуализация показателей по ключевым процессамПервая группа показателей, которые мы рекомендуем контролировать, — показатели охвата процессов обучения (повышения осведомлённости) и тренировки навыков сотрудников по информационной безопасности: по людям, по обучению, по тренировкам и по мотивации.

Данные для входа берутся из …

Корпоративный межсетевой экран UserGate X1 выделяется из линейки продуктов UserGate уникальными физико-техническими характеристиками.

На сегодняшний день в линейке UserGate таким решением является ПАК UserGate X1, который обеспечивает весь спектр необходимой киберзащиты критически важных объектов в самых суровых эксплуатационных условиях.

Технические параметры и основные функцииДля обеспечения бесперебойной работы межсетевого экрана UserGate X1 в экстремальных условиях (на открытом воздухе, в горячем цехе) или в режиме постоянных динамических нагрузок (например, в транспорте) применяются простые и эффективные инженерные решения.

Следует отдельно отметить нововведения, добавленные в UserGate…

В целом же сумма выкупа зависит от категории данных, от целей заказчика и от компании.

Техники защиты от ransomwareПрежде всего постараемся ответить на вопрос: возможно ли защититься от программ-вымогателей только техническими средствами?

Оптимальный эшелон защиты от программ-вымогателей в 2021 годуВсе эксперты сошлись во мнении, что в основе такой защиты должен быть автоматизированный EDR / XDR, потому что скорость всегда помогает сократить ущерб.

Специалисты считают, что что EDR необходимо заниматься, должен работать квалифицированный специалист.

Идеального решения для полной защиты от программ-вымогателей не существует, и вряд ли оно появится в будущем.

В нашем «Обзоре рынка платформ и сервисов киберразведки (Threat Intelligence) в России и в мире» представлена краткая информация по решениям различных вендоров, в том числе — Group-IB.

Для эффективной работы с ними создана платформа сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution (далее — «Платформа TI&A»).

Функциональные возможности платформы Group-IB Threat Intelligence & AttributionДанные киберразведкиКлиенты платформы TI&A могут получать технические индикаторы, оперативные и стратегические данные.

Клиент обращается с запросом в Group-IB о необходимости получения доступа к данным TI&A и формирует требования к данным киберразведки.

Используя полученные данные, клиен…

McAfee DLP представляет собой комплекс продуктов, направленных на предотвращение утечек конфиденциальной информации.

McAfee MVISION Cloud (CASB) и McAfee Network DLP используют единые модули для реализации политик и работы с инцидентами.

McAfee DLP Endpoint состоит из двух следующих компонентов: расширение McAfee DLP (устанавливается в McAfee ePO, определяет правила и политики, отслеживает и анализирует инциденты и рабочие события, управляет проблемами) и клиент McAfee DLP Endpoint (устанавливается как модуль в McAfee Agent на сетевых конечных точках, принудительно применяет правила и политики, собирает подтверждения).

Установленные, как правило, на всех рабочих станциях почтовые клиенты мо…

Основные группы необходимого контроля, исходя из требований руководящих документов, можно сгруппировать следующим образом:Контроль машинных носителей, стороннего ПО и состава автоматизированного рабочего места (АРМ).

Регистрация и просмотр событий — набор функций, необходимый как для выявления инцидентов в информационной безопасности, так и для сбора доказательств произошедшего.

В эту группу входят не только функции по контролю изменения параметров защитной системы или её отключения, но и возможность удалённого контроля / перехвата управления.

Разобраться в большом количестве неагрегированных данных зачастую весьма сложно и затратно, как по времени, так и по усилиям, поэтому необходимо, что…

Платформа ePlat4m Orchestra (ePlat4m Security GRC) предназначена для автоматизации процессов ИБ и их интеграции в систему управления организацией.

Основным направлением деятельности компании является разработка, внедрение и сопровождение информационно-аналитических систем, автоматизирующих работу в области ИБ и ИТ.

Карточка события в модуле «УИИБ» ePlat4mПосле заполнения карточки она будет передана сотруднику, выбранному в разделе «Ответственный за событие».

Так же как и в случае работы с другими модулями платформы, каждый пользователь работает в заданном контексте роли.

Интеграция ePlat4m с внешними системамиИнтеграция ePlat4m с внешними источниками данных возможна за счёт использования по…

Сергей Халяпин: SASE — это комбинация сетевых сервисов и сервисов безопасности.

Концепция SASE призвана объяснить ИБ- и ИТ-специалистам, какими технологиями необходимо пользоваться, чтобы сделать работу с облачными сервисами комфортной и безопасной.

Ряд других решений, таких как DLP-механизмы, песочницы, сервисы изоляции веб-приложений и страниц в браузере, защита сегментов Wi-Fi и другие элементы, являются опциональными и приобретаются заказчиком по необходимости.

Одно из главных преимуществ концепции — возможность быстро обеспечивать новые офисы, магазины и другие площадки качественным и безопасным доступом к облачным и корпоративным ресурсам.

Как лицензируется SASEПо просьбе модератора п…

Эти и другие вопросы обсудили практикующие специалисты, эксперты и представители заказчика на «Баттле IdM-интеграторов», организованном компанией One Identity.

, руководитель группы внедрения IdM компании УЦСБ.

Итог обсуждению подвёл Александр Едриванов: первый этап внедрения должен включать небольшое количество систем, обеспечивающих максимальный эффект для заказчика.

Небольшой охват с ключевыми системами несёт больше выгод для бизнеса, для пользователей и для администраторов.

Это обеспечит хороший старт внедрения IdM и быстрое получение первого результата.

В основу интегрированного решения «Лаборатории Касперского» для защиты рабочих мест положены классическое EPP-решение Kaspersky Endpoint Security и EDR-комплекс Kaspersky Endpoint Detection and Response «Оптимальный».

Различия между Kaspersky EDR «Оптимальный» и Kaspersky EDRДалее в обзоре будет рассматриваться только Kaspersky EDR «Оптимальный».

Программа Kaspersky Endpoint Agent должна быть установлена в составе Kaspersky Endpoint Security 11 для Windows (версии 11.4 или 11.5) или Kaspersky Security 11 для Windows Server.

Управление через веб-консоль Kaspersky Endpoint Agent и Endpoint Protection Platform находятся под управлением веб-консоли Kaspersky Security Center.

Базовые инструменты…

ВведениеТехнология SSL VPN не нова — она рассматривалась на портале Anti-Malware.ru ещё в 2008 году как альтернатива подключению VPN IPsec.

При этом SSL VPN можно рассматривать как средство не только удалённого доступа к ресурсам своей компании, но и подключения к сервисам, предоставляемым интернет-порталами.

История государственного регулирования SSL ГОСТВеб-сервисы с SSL-сертификатами по ГОСТ не являются чем-то новаторским.

Этот же риск возможен и в отношении сертификатов, выданных зарубежными УЦ.

Также это — системы, непосредственно участвующие в организации взаимодействия: ЕСИА — единая система идентификации и аутентификации, а также СМЭВ — система межведомственного электронного взаимод…

В частности, в конце 2020 года НКЦКИ обновил регламент, расширив спектр способов защищённого подключения к системе (регламент доступен по запросу у регулятора).

Как подключиться к ГосСОПКА?

Изначально для подключения к технической инфраструктуре НКЦКИ организация могла использовать только оборудование ViPNet.

Подключиться к НКЦКИ теперь можно и с помощью ПАК «С-Терра Шлюз» версии 4.1 и выше.

ВыводыВзаимодействие с ГосСОПКА — это требование законодательства, которое владельцы значимых объектов КИИ не могут игнорировать.

Мы попытались разобраться в том, является ли DDP (Distributed Deception Platform, инфраструктура ложных целей) ключевым инструментом системы информационной безопасности или же ложные цели — лишь вспомогательный инструмент защитной инфраструктуры.

DDP не является панацеей от всех атак, но эффективно дополняет другие средства защиты.

Наибольшую эффективность показывают приманки (например, фальшивые учётные записи), которые ведут на trap-серверы и не требуют больших ресурсов.

Александр Русецкий как представитель интегратора заявил, что в его практике использование нескольких DDP-систем в рамках одной компании не встречалось.

Компания видит свою задачу не только в том, чтобы расширить число вне…

Проведём подробный сравнительный анализ современной безопасности пользовательских данных на Apple iOS и Google Android.

Это же относится и к интерфейсу, к настройкам и управлению iCloud по умолчанию.

Рассмотрим, как именно организована защита пользовательских данных в Android, но сначала, как и раньше, оглянемся в прошлое.

В Android 4.4 введена опция шифрования всего диска, а с Android 5.0 шифрование диска стало стандартом по умолчанию.

Единое ядро Linux и Android выгодно обеим платформам: улучшения Linux отражаются на Android и наоборот.

CipherTrust Data Security Platform производства компании Thales представляет собой платформу, сочетающую функции обнаружения, классификации и защиты данных с инструментами гранулированного контроля доступа и централизованного управления криптографическими ключами.

Компания Thales, обладающая обширным опытом разработки решений в области обеспечения информационной безопасности, в сентябре этого года выпустила собственную платформу защиты данных CipherTrust Data Security Platform (далее также — CDP).

Архитектура и функциональные возможности CipherTrust Data Security PlatformПлатформа защиты данных CipherTrust Data Security Platform предоставляет компаниям следующие основные возможности:Прозрач…

Абонентский IP – логический адрес пользователя в сети. В малых сетях обычно используются статические адреса, прописанные вручную, а в более массовых – автоматическое назначение через DHCP. За каждый сегмент локальной или глобальной сети отвечает некое лицо или организация, в чьи обязанности входит управление маршрутизацией и контроль IP-адресов. В большинстве случаев произвольная смена адреса, выданного администратором, не несет абоненту практической пользы, т.к. может отсечь его от сети. Более опытный пользователь знает про коллизию адресов и может этим злоупотребить: назначить своему устройству уже занятый адрес, тем самым лишив изначального хозяина IP-адреса возможности использовать сеть…

ЗАВТРА, в 20:00 в наших соцсетях выступит Омар Ганиев, основатель компании DeteAct

и член российской команды хакеров LC↯BC. Омара можно смело назвать одним из самых лучших хакеров страны. LC↯BC заняла первое место в финале международного турнира по компьютерной безопасности 0CTF в Шанхае в 2016 году. Больше половины жизни Омар занимается взломом компьютерных систем. Для него это в первую очередь увлечение и основной жизненный навык, который постепенно стал работой, а уже затем основой для предпринимательства. Помимо самой работы, Омара очень привлекает исследовательская стороны сторона этой деятельности, а также спортивная — хакерские соревнования (CTF), в которых он много участвовал индиви…

В настоящее время — в эпоху развитого интернета — мы настолько привыкли к хорошей информационной безопасности протоколов передачи информации, что тема создания новых протоколов несколько ушла в тень. Зачем что-то еще изобретать? Просто выбери из имеющихся. Но Интернет вещей поднимает эту тему заново. Читать дальше →

Однажды мой хороший друг сказал мне: «вся индустрия аудита основана на том, что люди друг другу врут». Это как нельзя лучше отражало истинную причину почему банкам и другим финансовым институтам нужно получать заключение внешних аудиторов каждый год – для того, чтобы другие институты верили их финансовой отчетности. Похожая ситуация в ИТ. Любая компания может сказать: «мы защищаем свои системы и следим за безопасностью передачи данных. Но так ли это? И насколько хорошо защищают? Cертификация ISO 27001 отвечает на эти вопросы за вас, и позволяет сэкономить время на доказательствах. Под катом пример подготовки к сертификации ISO 27001 одной маленькой, европейской ИТ компании. Читать дальше →

Существенное слабое место сети I2P заключается в необходимости обращения к одному из стартовых узлов через обычный интернет при первом запуске. Пакет с начальным рисунком сети в виде нескольких случайных роутеров и узел, который его отдает, называются ресидом. Стартовые узлы держат энтузиасты, их список имеется в общем доступе и нередко претерпевает изменения в силу обычных человеческих обстоятельств. Бутылочное горлышко заключается в возможности на стороне провайдера идентифицировать большинство обращений к ресиду через мониторинг DNS-запросов, а также в блокировке доменов стартовых узлов, что затруднит первый запуск для неопытного пользователя, т.к. потребует использование прокси или VPN.…

В статье на примерах будет рассмотрено, почему приложения на языке программирования С++ стоит разрабатывать с особым вниманием. Сегодня язык программирования С++ существует в нескольких параллельных реальностях: C++98, C++11, C++14, C++17, C++20. Существует как минимум один источник, где можно немного разобраться со всем этим набором мультивселенных. Однако, когда дело дойдет до написания кода использования stackOverflow, вопрос «а точно эта строка написана безопасно", будет мучать разработчика из релиза в релиз. Кстати, на момент написания статьи готовится новый стандарт С++23 =). Читать далее

Атаки новой китайской АРТ-группировки на сервера Exchange, признание Malaysia Airlines об утечке данных на протяжении девяти лет и уязвимости, из-за которых Qualys стала жертвой вымогателя Clop — главные ИБ-события первой недели марта по версии Jet CSIRT.Подробности расскажем под катом. Узнать подробности

2 марта 2021 г. Microsoft выпустила срочное обновление, чтобы закрыть 4 критичные уязвимости в Exchange Server 2010, 2013, 2016, и 2019.

Наша команда реагирования на инциденты и форензики активно включилась в расследования инцидентов, возникших из-за этих новых угроз. Мы наблюдали злонамеренное использование этих уязвимостей для получения удалённого доступа к серверам Exchange и последующей выгрузки критичных данных, включая почтовые ящики целиком. Читать дальше →

Недавно я вернулся к мысли о возможности совершения битсквоттинга. В статье по ссылке эта тема рассматривается очень глубоко, поэтому здесь я объясню в очень общих чертах: Когда вы пытаетесь получить доступ к сайту по его домену, этот домен хранится в памяти вашего компьютера, устройства и т.д. в структуре, выглядящей примерно так: 01110111

01101001

01101110

01100100

01101111

01110111

01110011 w

i

n

d

o

w

s Теперь представим, что компьютер перегрелся, произошла вспышка на Солнце или космический луч (вполне реальная штука) инвертировал в компьютере значение одного бита. 01110111

01101000

01101110

01100100

01101111

01110111

01110011 w

h

n

d

o

w

s О нет! Теперь в памяти хранится значение whndo…

Привет! Меня зовут Гриша, я работаю application security инженером в компании Wrike и отвечаю за безопасность наших мобильных приложений. В этой статье я расскажу про основы безопасности iOS-приложений. Текст будет полезен, если вы только начинаете интересоваться безопасностью мобильных приложений под iOS и хотите разобраться, как все устроено изнутри. Читать далее

Прим. перев.: в конце января стало известно о том, что один из основных доменов языка программирования Perl — Perl.com — был угнан. Это вызвало смешанную реакцию в сообществе как любителей языка, так и его противников. Теперь, когда всё уже позади и справедливость восстановлена, один из самых известных сторонников Perl — brian d foy — рассказал о том, что же произошло и как сообщество добилось положительного исхода событий. Представляем вниманию перевод его заметки. Читать далее

Статья будет разбита на 2 части — теоретический минимум для понимания основных элементов навесных защит исполняемых файлов, и вторая, которая покажет несколько примеров разбора файлов. Все данные не претендуют на полноту. Для полного понимания темы и проведения распаковки файлов, которые были защищены рассматриваемыми защитами, нужно терпение и достаточный бэкграунд в ОС Internals.Disclamer: Вся информация предоставляется исключительно для обучающих целей. Читать далее

4 сентября 1998 года Сергей Брин и Ларри Пейдж основали компанию Google. На заре своего существования Google представляла собой «фирму одного продукта», притом продукт получился настолько крутым и классным, что быстро пошатнул рыночные позиции конкурентов. Однако перенесемся на 23 года вперед. Современный Google — это уже давно не поисковая система. Вернее, не только поисковая система. Это огромная транснациональная и очень эффективная рекламная платформа, целый завод по производству денег, использующий в качестве сырья пользовательские данные. Но стоит ли делиться с этой платформой теми самыми данными? На этот счет есть разные мнения. Читать дальше →

Privacy Accelerator начинает новый - второй! - набор проектов в сфере приватности и доступа к информации для прохождения интенсивной акселерации и подготовки выпуска продукта. Программа первого набора Privacy Accelerator завершилась в конце января 2021 года. Расскажем, чем все закончилось и как будет в этот раз! Читать далее

В одном из новых районов Москвы в домах установлены IP домофоны от Rubetek с возможностью открывать двери из приложения.3 февраля в своем телеграмм канале @blog_ruporsecurite Валерий Комаров опубликовал опрос, является ли IP телефония АСУ. Опрос был достаточно жарким и касался больше пробелов в законодательстве.24 февраля в своем же блоке Валерий поднял вопрос, является ли IP телефония объектом КИИ. Слежу за его лентой, но этот вопрос меня поставил в тупик, поэтому без комментариев. Думал, это мало кого касается.В Москве у каждого нового жилого комплекса имеется закрытый чат, где присутствуют только собственники. Ну, так принято считать. Так произошло и в этом ЖК Грин Парк. Не буду говорить…

Эксперт проводил свои эксперименты на примере домена windows.com, который может превратиться, например, в windnws.com или windo7s.com в случае переворота битов.

Использование битсквоттинговых доменов обычно происходит автоматически, когда с компьютера, на котором произошел переворот битов, делается DNS-запрос.

Причем в исследовании 2010 года уже выясняли, что на компьютере с 4 Гб оперативной памяти есть 96% шанс переворота битов в течение трех дней.

И в среднем он насчитал 3434 ежедневных DNS-запроса к этим доменам.

«Неудивительно, что служба NTP, которая работает на всех Windows-компьютерах в мире с конфигурацией по умолчанию, использующей time.windows.com, генерирует наибольший трафик для…

По данным специалистов, всего за два месяца Android-малварь FluBot заразила более 60 000 устройств, причем 97% ее жертв находятся в Испании.

«В настоящее время с зараженных устройств собрано более 11 000 000 телефонных номеров, что составляет 25% всего населения Испании, — пишут исследователи.

— По нашим оценкам, вредоносная программа способна собрать почти все телефонные номера в Испании за полгода, если не будет предпринято никаких действий».

Если пользователь загружает и устанавливает такое "приложение", игнорируя все предупреждения операционной системы об опасности установки приложений из сторонних источников, происходит заражение FluBot.

Эксперты PRODAFT пишут, что смогли получить дост…

В прошлом году эксперты компании Check Point обнаружили критическую уязвимость в составе Windows DNS Server, получившую кодовое имя SigRed и идентификатор CVE-2020-1350.

Так как баг существовал в коде 17 лет, проблема представляла опасность для всех версий Windows Server, выходивших с 2003 по 2019 год.

Для эксплуатации бага хакер мог отправлять вредоносные DNS-запросы к DNS-серверам Windows, что влекло за собой выполнение произвольного кода и могло привести к компрометации всей инфраструктуры.

Теперь ведущий ИБ-специалист компании Grapl Валентина Пальмиотти (Valentina Palmiotti) представила PoC-эксплоит для SIGRed, а также опубликовала подробный отчет о его работе, где она также поясняет, к…

Эту атаку на цепочку поставок приписывают предположительно русскоязычной хак-группе, которую ИБ-эксперты отслеживают под названиями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity).

Про­ник­нув в сеть SolarWinds, зло­умыш­ленни­ки снаб­дили плат­форму Orion, пред­назна­чен­ную для цен­тра­лизо­ван­ного монито­рин­га и управле­ния, вре­донос­ным обновле­нием.

В резуль­тате множес­тво кли­ентов SolarWinds уста­нови­ли заражен­ную вер­сию плат­формы и, сами того не зная, впус­тили хакеров в свои сети.

Использовалась для разведки, с ее помощью злоумышленники идентифицировали интересующие их компании;— малварь, внедренная в обновления Orion в марте-июне 2020 года.

На этой …

Оплата в основном требуется в биткоинах.

«Сделать однозначный вывод, являются ли предложения о продаже вакцин в даркнете скамом или покупатели действительно получают то, что ищут, невозможно.

Нет гарантии и в том, что в ампулах действительно продается вакцина», — отмечает Дмитрий Галов, эксперт по кибербезопасности «Лаборатории Касперского».

Кроме того, в некоторых странах требуется справка об отсутствии COVID-19, например, для похода в офис или командировок, поездок в отпуск.

Напомню, что в прошлом году «Хакер» тоже изучал, чем торгуют на черном рынке в связи с пандемией.

Ssl 0:00 _ /usr/libexec/gnome-terminal-server❶ 30202 pts/1 Ss 0:00 _ bash❷ 30226 pts/1 S+ 0:00 _ man ps30236 pts/1 S+ 0:00 _ pager❶ 30245 pts/3 Ss 0:00 _ bash❷ 30251 pts/3 R+ 0:00 _ ps fx❸ 30315 ?

- 0:05 /usr/lib/firefox/firefox -new-window- -  Sl 0:03 -...- - Sl 0:00 -- - Sl 0:00 -- - Sl 0:00 –В нижес­леду­ющем лис­тинге показа­ны нити про­цес­са в SYSV-фор­мате вывода.

Такое замеще­ние обыч­но исполь­зует­ся прог­рамма­ми, уста­нав­лива­ющи­ми нуж­ные зна­чения свой­ств и атри­бутов про­цес­са и под­готав­лива­ющи­ми ресур­сы про­цес­са к выпол­нению запус­каемой прог­раммы.

Рас­парал­лелива­ние исполь­зует­ся не толь­ко для псев­доод­новре­мен­ного выпол­нения вет­вей парал­лель­ной про…

Форум работает с 2003 года и, как пишут эксперты, его основной контингент – это «самые изощренные киберпреступники и финансовые мошенники, многие из которых начали свою деятельность еще в середине-конце 1990-х годов».

Вчера после успешного взлома они опубликовали на форуме предупреждение, гласящее: «Этот форум был взломан.

Эксперты Flashpoint отмечают, что известие о взломе Maza пришло вскоре после успешной компрометации другого русскоязычного хак-форума, Verified, который взломали 20 января 2021 года.

Новые администраторы заявили, что предыдущие владельцы сайта регистрировали IP-адреса всех пользователей Verified и в общей сложности собрали 3 801 697 адресов.

Предыдущий хак произошел в фев…

Компания сообщает, что в прошлом году количество атак шифровальщиков выросло более чем на 150% по сравнению с предыдущим годом.

Самыми жадными вымогателями оказались группы Maze, DoppelPaymer и RagnarLocker — суммы выкупа, которые они требовали от жертв, составляла в среднем от 1 000 000 до 2 000 000 долларов.

В августе 2020 года жертвой OldGremlin стала крупная компания с сетью региональных филиалов — за расшифровку с нее потребовали выкуп в 50 000 долларов.

Так, 64% всех атак вымогателей, проанализированных в 2020 году, были связаны с операторами, использующих модель RaaS.

Главным вектором атак для большинства банд вымогателей оказались публичные RDP-серверы (52%).

Разработчики Accellion уже выпустили несколько «волн» исправлений, но каждый раз подчеркивали, что FTA уже давно является устаревшим продуктом, и призывали своих клиентов перейти на новую платформу Kiteworks.

Как сообщает издание Bleeping Computer, Qualys действительно имела устройство Accellion FTA в своей сети, которое располагалось по адресу fts-na.qualys.com.

Представители Qualys уже подтвердили, что их сервер Accellion FTA был взломан в декабре 2020 года, и атака затронула лишь малый процент клиентов.

Также в Qualys сообщили, что уже отказались от использования Accellion FTA, предоставив клиентам альтернативные способы передачи файлов.

Также стоит отметить, что четыре перечисленные выш…

В прошлом году разработчики Google сообщали, что в ближайшие пару лет компания намерена отказаться от использования сторонних трекинг-cookies.

Как теперь пишут в блоге разработчики Google, будущем они не намерены использовать «какие-либо технологии для отслеживания отдельных людей».

Хотя можно подумать, что Google идет на некие жертвы, но на самом деле, это не так.

Дело в том, что фактически Google не нужно отслеживать отдельных людей в рекламных целях.

В будущем файлы cookie в Chrome заменит «Песочница конфиденциальности» (Privacy Sandbox), которая использует групповое отслеживание и даже лучше подходит рекламодателям.

«Лаборатория Касперского» сообщила, что с декабря 2020 года по настоящее время ранее неизвестный шифровальщик Quoter атакует российские финансовые и транспортные компании, и его жертвами стали уже около 10 организаций.

После закрепления в системе и распространения по сети злоумышленники пытались перевести деньги через бухгалтерские программы (посредством подмены реквизитов в платежных поручениях малварью или вручную).

Малварь шифровала данные с помощью криптографического алгоритма AES и оставляла контакты для связи с атакующими.

Если жертва не реагировала, злоумышленники сообщали, что готовы выложить в открытый доступ украденную конфиденциальную информацию, и прикладывали доказательства.

Пр…

Соот­ветс­твен­но, взлом такой прог­раммы для начина­юще­го хакера — одно удо­воль­ствие: дос­таточ­но заг­рузить ее в dnSpy, и вот она, на блю­деч­ке в сво­их исходни­ках, для удобс­тва даже окра­шен­ных в при­ятные цве­та.

Отла­живай и правь как хочешь, как буд­то сам эту прог­рамму и написал!

В этом слу­чае никакие детек­торы не рас­позна­ют в ней .NET, если их пред­варитель­но не обу­чили это­му трю­ку, а деком­пилято­ры и отладчи­ки, с ходу не уви­дев­шие в прог­рамме метадан­ных, обло­мают­ся при заг­рузке.

Если .NET сфор­мирован и запущен по всем пра­вилам, то он кор­рек­тно рас­позна­ется упо­мяну­тыми ути­лита­ми имен­но как .NET-про­цесс, и при нажатии кно­поч­ки .

Логика под­ска­…

Тогда авторы Unc0ver объясняли, что используют уязвимость нулевого в ядре iOS, о которой еще не знают специалисты Apple.

Сообщалось, что уязвимость была обнаружена одним из участников команды, который известен под псевдонимом Pwn20wnd.

Летом 2020 года Apple представила iOS 13.5.1 для iPhone, iPad и iPod touch, и Unc0ver перестал работать.

Дело в том, что в этом релизе исправили уязвимость CVE-2020-9859, которую и эксплуатировал джейлбрейк (приложение могло получить привилегии ядра и выполнять произвольный код).

Разработчики джейлбрейка Unc0ver пишут в Twitter, что они создали «собственный эксплоит на основе CVE-2021-1782 для unc0ver для достижения оптимальной скорости и стабильности».

Эксперт Positive Technologies Александр Попов выявил и исправил пять похожих уязвимостей в виртуальных сокетах ядра Linux.

Эти уязвимости могут быть использованы для локального повышения привилегий, и Александр подтвердил возможность атаки на Fedora 33 Server.

Эта функциональность появилась в ядре Linux версии 5.5 в ноябре 2019 года.

Это исследование в дальнейшем позволит усовершенствовать средства защиты ядра Linux», — уточнил Александр Попов.

Патч уже принят в ванильное ядро Linux v5.11-rc7, а также применен в стабильных ветках, которые были подвержены CVE-2021-26708.

На этой неделе разработчики Google выпустили Chrome версии 89.0.4389.72 для десктопных систем (Windows, Mac и Linux), где исправили уже вторую в этом году уязвимость нулевого дня.

Проблема имеет идентификатор CVE-2021-21166, и инженеры компании предупреждают, что эксплоит для нее уже существует.

Сообщается, что уязвимость была обнаружена экспертами Microsoft Browser Vulnerability Research и описывается как проблема высокой степени серьезности, связанная с «жизненным циклом объектов в аудио».

Больше никаких подробностей о проблеме пока не раскрывают, давая пользователям время на установку патча.

И хотя специалистам Google известно о существовании и применении эксплоита для CVE-2021-21166, ни…

Cybersecurity researchers on Thursday disclosed two distinct design and implementation flaws in Apple's crowdsourced Bluetooth location tracking system that can lead to a location correlation attack and unauthorized access to the location history of the past seven days, thereby by deanonymizing users.

Apple devices come with a feature called Find My that makes it easy for users to locate other Apple devices, including iPhone, iPad, iPod touch, Apple Watch, Mac, or AirPods.

Called offline finding and introduced in 2019, the location tracking feature broadcasts Bluetooth Low Energy (BLE) signals from Apple devices, allowing other Apple devices in close proximity to relay their location to App…

As cloud computing continues to grow, Google Cloud is quickly becoming one of the most popular solutions.

The Google Cloud Certifications Practice Tests + Courses Bundle helps you get certified faster, with 43 hours of video content and over 1,000 practice questions.

It covers seven Google exams, providing all the prep you could possibly need.

This bundle helps you join the gold rush, with seven courses working towards Google Certified Professional exams: Cloud Architect, Cloud Security Engineer, Data Engineer, Cloud Network Engineer, and Cloud Developer.

Just as importantly, you get practice exams to hone your skills.

"The announcement was accompanied by a PDF file allegedly containing a portion of forum user data.

Originally called Mazafaka, Maza is an elite, invite-only Russian-language cybercrime forum known to be operational as early as 2003, acting as an exclusive online space for exploit actors to trade ransomware-as-a-service tools and conduct other forms of illicit cyber operations.

The forum, however, staged a return last month on February 18 with a change in ownership, according to Flashpoint.

Then again, in February, a cybercrime forum by the name of Crdclub disclosed an attack that resulted in the compromise of an administrator account with the goal of defrauding its members.

Lastly, earlier …

"These tools are new pieces of malware that are unique to this actor," Microsoft said.

The company also stated it discovered SUNSHUTTLE in August 2020 after it was uploaded to a public malware repository by an unnamed U.S.-based entity.

"The new SUNSHUTTLE backdoor is a sophisticated second-stage backdoor that demonstrates straightforward but elegant detection evasion techniques via its 'blend-in' traffic capabilities for C2 communications," FireEye detailed.

"SUNSHUTTLE would function as a second-stage backdoor in such a compromise for conducting network reconnaissance alongside other Sunburst-related tools."

"These capabilities differ from previously known NOBELIUM tools and attack patter…

At the same time, Google acknowledged that other companies might find alternative ways to track individual users.

"We realize this means other providers may offer a level of user identity for ad tracking across the web that we will not," Temkin said.

To that effect, Google has proposed a continually evolving collection of bird-themed ad targeting and measurement methods aimed at supplanting third-party cookies, chief among them being Federated Learning of Cohorts (FLoC) and TURTLEDOVE, which it hopes will emerge the standards for serving ads on the web.

Google is set to test FLoC-based cohorts publicly later this month, starting with Chrome 89, before extending the trials with advertisers i…

As proof of access to the data, the cybercriminals behind the recent hacks targeting Accellion FTA servers have shared screenshots of files belonging to the company's customers on a publicly accessible data leak website operated by the CLOP ransomware gang.

"Based on this investigation, we immediately notified the limited number of customers impacted by this unauthorized access," Carr added.

"The investigation confirmed that the unauthorized access was limited to the FTA server and did not impact any services provided or access to customer data hosted by the Qualys Cloud Platform."

Qualys didn't say if it received extortion messages in the wake of the breach, but said an investigation into …

Following Microsoft's release of out-of-band patches to address multiple zero-day flaws in on-premises versions of Microsoft Exchange Server, the U.S. Cybersecurity and Infrastructure Security Agency (CISA) has issued an emergency directive warning of "active exploitation" of the vulnerabilities.

Researchers at Huntress Labs have also sounded the alarm about mass exploitation of Exchange servers, noting that over 350 web shells have been discovered across approximately 2,000 vulnerable servers.

The latest development indicates a much larger spread that extends beyond the "limited and targeted" attack reported by Microsoft earlier this week.

It's not clear if any U.S. government agencies hav…

"Another instance of a maldoc uses a similar technique with the difference being that the payload hosted on the compromised website is a BMP image containing a ZIP file that contains ObliqueRAT payload," Talos researcher Asheer Malhotra said.

"The malicious macros are responsible for extracting the ZIP and subsequently the ObliqueRAT payload on the endpoint."

The use of steganography to deliver malicious payloads is not new, as is the abuse of hacked websites to host malware.

In June 2020, Magecart groups were previously found to hide web skimmer code in the EXIF metadata for a website's favicon image.

"Modifications in the ObliqueRAT payloads also highlight the usage of obfuscation techniq…

In a new e-book recently published (download here), CISOs with small security teams talk about the drivers for replacing their EDR/NGAV solutions with an Autonomous XDR solution and why they believe consolidation provides significant benefits to organization and team.

Autonomous XDR solutions can solve that as they provide complete visibility of the internal attack surface, as well as consolidate security capabilities of multiple tools into a single platform.

This is where the high level of automation an Autonomous XDR offers is most valuable.

If you have a small team, some of these challenges become a daily concern.

Replacing your EDR and NGAV solutions with an Autonomous XDR provides a gr…

Microsoft has awarded an independent security researcher $50,000 as part of its bug bounty program for reporting a flaw that could have allowed a malicious actor to hijack users' accounts without their knowledge.

Put differently, the account takeover scenario is a consequence of privilege escalation stemming from an authentication bypass at an endpoint which is used to verify the codes sent as part of the account recovery process.

Separately, Muthiyah also employed a similar technique to Instagram's account recovery flow by sending 200,000 concurrent requests from 1,000 different machines, finding that it was possible to achieve account takeover.

"In a real attack scenario, the attacker nee…

Microsoft has released emergency patches to address four previously undisclosed security flaws in Exchange Server that it says are being actively exploited by a new Chinese state-sponsored threat actor with the goal of perpetrating data theft.

To achieve this, as many as four zero-day vulnerabilities discovered by researchers from Volexity and Dubex are used as part of the attack chain —CVE-2021-26855: A server-side request forgery (SSRF) vulnerability in Exchange ServerCVE-2021-26857: An insecure deserialization vulnerability in the Unified Messaging serviceCVE-2021-26858: A post-authentication arbitrary file write vulnerability in Exchange, andCVE-2021-27065: A post-authentication arbitra…

Chrome 89.0.4389.72, released by the search giant for Windows, Mac, and Linux on Tuesday, comes with a total of 47 security fixes, the most severe of which concerns an "object lifecycle issue in audio."

Tracked as CVE-2021-21166, the security flaw is one of the two security bugs reported last month by Alison Huffman of Microsoft Browser Vulnerability Research on February 11.

"Google is aware of reports that an exploit for CVE-2021-21166 exists in the wild," Chrome Technical Program Manager Prudhvikumar Bommana said.

This is the second zero-day flaw addressed by Google in Chrome since the start of the year.

Chrome users can update to Chrome 89 by heading to Settings > Help > About Google Chr…

Intel processors are vulnerable to a new side-channel attack, which researchers said can allow attackers to steal sensitive information such as encryption keys or passwords.

Unlike previous side-channel attacks, this attack does not rely on sharing memory, cache sets and other former tactics.

Secondly, data that can be gleaned through ring contention is “noisy by nature” making it difficult to learn sensitive data.

Intel for its part pointed to existing security best practices for mitigating against the side-channel attack: “We appreciate the ongoing work and coordination with the research community,” said Intel.

This most recent discovery, however, is a different “traditional side-channel”…

Owners of popular QNAP Systems network attached storage (NAS) devices are being warned that a malicious cryptocurrency campaign is actively exploiting two unpatched critical firmware bugs.

What We Know About UnityMinerDisproportionately impacted are the 1.1 million QNAP NAS users within the United States (554,481) and China (550,465) – representing nearly 80 percent of total global infections, according to a recent mapping of QNAP devices visible online.

Critical QNAP Bugs ExplainedResearchers at 360 Netlab identified over 100 versions of the QNAP NAS firmware vulnerable attack, released prior to the company’s August 2020 update correcting the problem.

NAS Devices: Often a Juicy TargetNetwo…

Microsoft users are being targeted with thousands of phishing emails, in an ongoing attack aiming to steal their Office 365 credentials.

The emails first take recipients to a fake Google reCAPTCHA system page.

“After giving the login credentials, the phishing campaign will show a fake message that says ‘Validation successful,'” said researchers.

More Phishing Attacks on Fake Google reCAPTCHA TacticAdversaries have been leveraging bogus reCAPTCHA systems in their attacks for years.

The attackers used a fake Google reCAPTCHA system to seem more realistic.

The lack of cybersecurity requirements in weapons contracts from the Department of Defense opens the door for dangerous cyberattacks.

Weapons programs from the U.S. Department of Defense (DoD) are falling short when it comes to incorporating cybersecurity requirements, according to a new watchdog report.

While the DoD has developed a range of policies aimed at hardening the security for its weapon systems, the guidance leaves out a key detail — the contracts for procuring various weapons.

And according to a new report by the U.S. Government Accountability Office (GAO), 60 percent of the contracts included zero requirements when it comes to cybersecurity protection measures.

Should the DoD’s…

The downloader malware known as Gootloader is poisoning websites globally as part of an extensive drive-by and watering-hole cybercampaign that abuses WordPress sites by injecting them with hundreds of pages of fake content.

All of the compromised sites run on WordPress.

This time the employee had searched the web for the Ucc-1 subordination agreement, an agreement pertaining to loans under the Uniform Commercial Code.

Compromised WordPress SitesIn all, eSentire uncovered several dozen WordPress sites which had been compromised in order to spread the attacks.

“The compromised WordPress sites were injected with tens to hundreds of blog posts,” researchers explained.

The cyberattack on SITA, a nearly ubiquitous airline service provider, has compromised frequent-flyer data across many carriers.

SITA PSS operates the systems for processing airline passenger data and belongs to a group of SITA companies, headquartered in the E.U.

Malaysia Air and Singapore Airlines have already made headlines in recent days after alerting their customers they’ve been compromised as part of the attack.

“The data security incident occurred at our third-party IT service provider and not Malaysia Airlines’ computer systems,” the Malaysia Air’s Twitter account said about the breach earlier this week, without mentioning SITA by name.

“Today’s data breaches tell us it’s no longer…

This month Google begins a public test of a technology it says will eventually replace browser cookies in an effort to boost Chrome browser user privacy.

However, critics say the switch is a half-measure and does not protect the web movements of Chrome users adequately.

Potential for New Privacy Risks with FLoCBut not everyone is as enthusiastic about FLoC’s potential to take tracking out of browsers.

“Unsurprisingly, this also creates new privacy risks.”Cyphers cited fingerprinting, or the practice of gathering many discrete pieces of information from a user’s browser to create a unique, stable identifier for that browser, as one emerging privacy threat.

“In one, users get to decide what i…

A new variant of the Gafgyt botnet – that’s actively targeting vulnerable D-Link and Internet of Things devices – is the first variant of the malware to rely on Tor communications, researchers say.

Researchers have discovered what they say is the first variant of the Gafgyt botnet family to cloak its activity using the Tor network.

Gafgyt, a botnet that was uncovered in 2014, has become infamous for launching large-scale distributed denial-of-service (DDoS) attacks.

In 2019, researchers warned of a new Gafgyt variant adding vulnerable IoT devices to its botnet arsenal and using them to cripple gaming servers worldwide.

More recently, last year a botnet called Hoaxcalls emerged, as a variant…

Researchers with Microsoft and FireEye found three new malware families, which they said are used by the threat group behind the SolarWinds attack.

The malware families include: A backdoor that’s called GoldMax by Microsoft and called Sunshuttle by FireEye; a dual-purpose malware called Sibot discovered by Microsoft; and a malware called GoldFinder also found by Microsoft.

Adversaries were able to use SolarWinds’ Orion network management platform to infect targets by pushing out a custom backdoor called Sunburst via trojanized product updates.

Microsoft said that it discovered these latest custom attacker tools lurking in some networks of customer compromised by the SolarWinds attackers.

Th…

Elite Russian forums for cybercriminals have been hacked in a string of breaches, leaving hackers edgy and worried about law enforcement.

Another Russian-language cybercrime forum called Verified was abruptly resurrected after sitting dormant for some time with unknown administrators and new domains, Flashpoint said.

By Feb. 18t, the new forum’s new leadership started deanonymizing Verified’s former operators, raising suspicions among its user base.

Another forum, Exploit, reportedly suffered a compromise this week, and a member of the forum warned other users to “be careful with registered emails across multiple forums,” Flashpoint reported.

Cybercrime Enforcement GoldminePieced together, …

Key selling points for that company are that they’ve made their smart cameras small and affordable so they are both inobtrusive and cost-effective for customers.

But as any security or privacy expert knows, it’s not difficult for that type of data to fall into the wrong hands.

This is why not everyone is as thrilled with the integration of ALPR into smart surveillance cameras as Flock’s founders and customers.

“However, there is little empirical evidence that such surveillance reduces crime.”\Flock would certainly beg to differ on this point.

Still, the controversy over using ubiquitous surveillance and smart-camera technology to help solve crime is likely to continue to have pushback from …

Hot on the heels of Microsoft’s announcement about active cyber-espionage campaigns that are exploiting four serious security vulnerabilities in Microsoft Exchange Server, the U.S. government is mandating patching for the issues.

3/5 pic.twitter.com/kwxjYPeMlm — ESET research (@ESETresearch) March 2, 2021The vulnerabilities only exist in on-premise versions of Exchange Server, and don’t affect Office 365 and virtual instances.

“With organizations migrating to Microsoft Office 365 en masse over the last few years, it’s easy to forget that on-premises Exchange servers are still in service,” Saryu Nayyar, CEO, Gurucul, said via email.

First, they should take a thorough inventory of all on-prem…

Cybercriminals are using the COVID-19 vaccine to steal Microsoft credentials, infect systems with malware and bilk victims out of hundreds of dollars.

As Moderna, Pfizer and Johnson & Johnson roll out COVID-19 vaccines cybercriminals are preying on the those hungry to get in line for immunization.

Between October and January the average number of COVID-19 vaccine-related spear-phishing attacks grew 26 percent, said Barracuda Networks researchers.

COVID-19 Vaccines For Sale on Underground ForumsCybercriminals are also trying to make a quick buck by selling COVID-19 vaccines, purporting to be from Pfizer/BioNTech, AstraZeneca, and Moderna (as well as unverified vaccines), on underground forum…

The only version tested by Le Roux was the Windows 1.7.8.5 version of WiFi Mouse software running on Windows (Enterprise Build 17763) system.

Unclear is whether other versions of the WiFi Mouse desktop software, compatible with Mac, Debian and RPM, are also impacted.

Bug’s Impact: Limited to DesktopsAccording to Le Roux’s research, the unpatched bug does not impact the Android mobile phone’s running the WiFi Mouse application.

According to the developer’s Google Play marketplace description of WiFi Mouse, the application has been downloaded over 100,000 times.

Open Port: Open Season for Attacks“The WiFi Mouse mobile app scans for and connects to hosts with TCP port 1978 open.

A flaw (CVE-2021-21166) in the Audio component of Google Chrome is fixed in a new update being pushed out to Windows, Mac and Linux users.

Google has fixed a high-severity vulnerability in its Chrome browser and is warning Chrome users that an exploit exists in the wild for the flaw.

The flaw was reported by Alison Huffman, with the Microsoft Browser Vulnerability Research team, on Feb. 11.

Other Chrome Security High-Severity FlawsDetails around the other high-severity vulnerabilities patched by Google in Chrome remain scant.

Google Chrome Security UpdatesChrome will in many cases update to its newest version automatically, however security experts suggest that users double check that this …

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

You must have javascript enabled to complete this process.

Please click here for additional help.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Four zero-days patched in Microsoft Exchange Server – A tale about an unsophisticated criminal – Web trackers in a password manager appMicrosoft has issued out-of-band updates to address four zero-day vulnerabilities that affect Microsoft Exchange Server versions 2013, 2016, and 2019 and are under active exploitation by multiple APT groups.

ESET’s Jake Moore shares a personal story that shows that not all fraudsters use sophisticated methods to profit at the expense of unsuspecting victims or to avoid getting caught.

The Android version of a widely-used password management app was found to contain seven third-party trackers, which is probably not what many people would expect with an app th…

At ESET, we are acutely aware of the need to prepare children for the future, especially a digital one.

ESET’s cooperation with the San Diego Police Foundation kicked off in 2011 with the Calling All Parents: Keep Your Kids Safe Online media campaign that enjoyed great success.

The program aims to educate children, parents, teachers, and community groups about the importance of cybersecurity and about the risks that kids face online ranging from cyberbullying and scams to online predators lurking in the shadows.

Our mission of helping educate and protect children on the internet goes beyond our cooperation with SafetyNet®.

Here, both parents and teachers will find guides and articles they’l…

At least one vulnerability is being exploited by multiple cyberespionage groups to attacks targets mainly in the US, per ESET telemetryMicrosoft has rushed out emergency updates to address four zero-day flaws affecting Microsoft Exchange Server versions 2013, 2016, and 2019.

The flaw, indexed as CVE-2021-26855, is a server-side request forgery vulnerability that allows an attacker to and arbitrary HTTP requests and authenticates them as the Exchange server.

The company has also issued a “Defense in Depth update” for Microsoft Exchange Server 2010, which reached end-of-support in October 2020.

“We recommend prioritizing installing updates on Exchange Servers that are externally facing.

All a…

A primer on various threats looming over financial companies and the steps that the organizations can take to counter themCompanies operating in the financial services industry aren’t by any means strangers to being targeted by various forms of financial crimes and fraud.

Cybercriminals now use different flavors of fraud and extortion as well as directly breach companies to line their pockets.

The seriousness of the threat cybercrime poses to businesses offering financial services can be illustrated by the cost of a data breach in the financial industry.

According to IBM’s Cost of a Data Breach 2020 report, the average cost of a data breach in the financial services sector was US$5.85 milli…

Before I joined ESET, I spent 14 years working in the UK police force working predominantly in the Cyber Crime Unit and the Digital Forensics Unit (previously known as the High-Tech Crime Unit.

Especially as my address looked like this with the words “High-Tech Crime Unit” in there:Oh, how wrong I was!

But surely no one would send a stolen laptop to the “High-Tech Crime Unit” at a police station?!

They were clearly excited to know how by sheer luck I had stumbled upon this laptop and then they asked me for the seller’s address.

However, every time I hear of “sophisticated” cybercriminals I now also think of this story.

Using Exodus, a privacy audit platform for Android applications, Kuketz found that once the Android app is started up, it immediately contacts the tracking providers.

The app contains Google Firebase Analytics, Segment, Google CrashLytics, AppsFlyer, Mixpanel, and Google Analytics.

It should be noted, however, that some of these trackers are found in several other widely used password managers, too.

Now, while the report may be disconcerting for privacy-minded users, it shouldn’t detract from the benefits of using a password manager – including in order to avoid making these common password creation mistakes.

On that note, adding an extra layer of security in the form of multi-factor authen…

Privacy bug in Brave browser – Clubhouse audio streamed to external website – Protecting children from cyberbullying in COVID-19 eraThe privacy-focused Brave browser has fixed a bug in its Private Windows with Tor feature that leaked .onion URLs for websites visited by users.

Clubhouse has experienced an incident where an unidentified user found a way to stream audio from the app’s chat rooms to a third-party website.

Also this week, we looked at ways how parents can protect their children from cyberbullying, especially after the risk of falling victim to online harassment has increased during the COVID-19 pandemic.

As is standard with such incidents, we have notified the National Cyber Security Center and are working with them,” an Oxford University spokesperson was quoted as saying.

The spokesperson gave assurances that the hacked systems didn’t contain any patient data and that patient confidentiality wasn’t breached.

Although the lab isn’t directly connected to the development of the Oxford University-AstraZeneca vaccine, its scientists are analyzing the behavior of COVID-19 cells and are looking into ways to prevent the cells from causing harm.

Forbes disclosed that it received information about the breach from Hold Security’s chief technology officer Alex Holden, who shared screenshots of hackers…

Contrary to popular belief, cyberbullying isn’t just limited to social media, but is often present on various platforms and manifests itself in various ways.

Another hotbed of cyberbullying, where kids are spending endless hours, is online gaming.

Moreover, cyberbullying shouldn’t just be addressed after the fact; parents should have active discussions with their children about cyberbullying and other pitfalls of the internet.

Furthermore, they should also be taught about the various tools that social media and gaming platforms provide to report such behavior.

To learn more about the ways cyberbullying can affect children as well as about how technology can help, head over to the Safer Kids…

This is usually done by actively participating in various initiatives that are important to their communities and may intersect with their specializations.

This includes investing in children’s science, technology, engineering, and mathematics (STEM) programs or education initiatives, community outreach programs, helping the elderly, or supporting women in tech schemes.

Founded on a strong set of convictions and principles, ESET doesn’t shy away from championing worthy causes that align with its mission of building a safer world through education, research, and development.

However, beyond the efforts of aiding in battling the global pandemic, ESET has been actively taking part in various i…

The former is a pop-up that will be shown to users who search on Facebook’s apps for terms that are typically associated with child exploitation.

Meanwhile, the second tool is a safety alert that will appear to people who have shared viral, meme child exploitative content.

After evaluating 150 accounts reported to the NCMEC for posting child exploitative content, Facebook found that approximately more than 75% of people didn’t do so with malicious intent.

However, the company added the findings shouldn’t be taken as a “precise measure” of the child safety ecosystem.

“We’ve always removed content that explicitly sexualizes children, but content that isn’t explicit and doesn’t depict child nu…

People who use devices running Android 9 or newer will be alerted if their login credentials have been stolenGoogle is extending its Password Checkup feature to Android in a bid to help people make their online accounts more secure.

The feature will now work with Android apps through “Autofill with Google”, which can be enabled through the device’s settings.

Password Checkup will be available for all devices running Android 9 or above.

For example, the process of determining whether the user’s credentials were breached or not takes place locally on their smartphone.

Beyond Password Checkup, users can rely on other security features that Autofill with Google offers, such as password generati…

Speaking to Bloomberg, Clubhouse spokeswoman Reema Bahnasy confirmed that over the weekend a user was able to pull audio feeds from “multiple rooms” and made them available on their own website.

Following the report, which was drafted by the Stanford Internet Observatory (SIO), Clubhouse has sought to assuage the concerns by committing to taking steps to ensure user privacy.

It doesn’t appear to be spooling chats to storage — it doesn’t look like the server sees audio at all,” Thiel explained.

Similarly to when Zoom usage went through the roof, Clubhouse is experiencing a huge uptake and learning as it goes.

Far too often the security and privacy of a startup’s userbase are not seen as impo…

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

I see you: your home-working photos reveal more than you think!

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Network security engineerThe day-to-day tasks of network engineers will involve system setup along with the monitoring and maintenance of all network-based security technologies.

Network engineers have to understand many different vendor technologies in order to do their job correctly, so it’s wise to pursue vendor-specific certifications for them.

Cloud security engineerWhile both cloud security engineers and network security engineers require an understanding of specific technologies, the former will have to design, implement, and maintain security controls specifically in cloud environments.

This means that an understanding of cloud-based technologies, security controls, and attack vecto…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Incident response is an enticing career path working directly to prepare organizations for an efficient response to security incidents.

Meg’s favorite Incident Response books Applied Incident Response by Steve Anson Incident Response & Computer Forensics, 3rd Edition by Jason Luttgens Blue Team Handbook: Incident Response Edition by Don MurdochIf you’re able to acquire a degree without going into massive debt, then I absolutely recommend it.

Ironically, a lot of incident response is ensuring you are preparing yourself and your team for an incident.

Some of the key things incident response managers work on are:Tabletops/Simulated incidents to prepare and gauge readiness for an actual inciden…

Top 10 Front-End Security Risks and Best Practices to Prevent ThemLet’s look at some popular front-end security issues, and how you can prevent them with the industry’s best practices.

XSS attacks are drawn to a lack of sanitization in a web application’s input and output, which can lead to a variety of attacks.

DoS (denial of service) attacksDoS attacks and DDoS attacks on web applications are common.

Using modern and frequently updated frameworks can help boost your web application’s security.

Front-end security covers only part of the surfaceThe security game doesn’t end when you finish hardening your front-end security checklist, it’s only the beginning.

And because threat actors enjoy exploiting trending news topics to their advantage, we decided to look at newly registered Robinhood domains to see how they’re being used.

]com, appears to be running on BlueHost (exposed via subdomains) but its site IP is behind CloudFlare.

Our data reveals that the law firm behind this domain is Ghosheh Law Firm, LLC.

Based on associated domains like:thepersonalinjurylawyeratlanta.com caraccidentattorney.lawyer atlantainjurylawyer.attorneyThis law firm appears to focus mostly on personal and auto injuries.

Merch sellersBy far the strangest thing we came across was the many merchandise sellers using Robinhood domains.

Now you can perform a new range of HTTP header-based queries to get information from our port 443 crawled data, and gain quick access to improved tagging for faster asset discovery.

Query HTTP header dataWith this latest release we’ve empowered security researchers and IT managers to get critical information present in any HTTP header from SSL-based websites.

One of these is Microsoft IIS, and in the following example we’ll query for the vulnerable IIS 7.5 version:http.headers.server like "Microsoft-IIS/7.5."

In this February update we’ve also improved the way we handle these tags, and we have over 1,000 active tags at the time of this writing.

And for further analysis you can even download…

And now, besides “traditional” criminal activity, we have cybercrime and cybercriminals to worry about, too.

They typically sponsor cybercrime groups or individuals in their cybercrime campaigns against other states and governments.

So however dangerous outside threats and attacks by cybercriminals may be, they can often come from within, too—making them that much more dangerous.

In the past decade we’ve seen more and more criminal groups operating solely in the cyber realm.

During his time as an informant, he collaborated with a group of other cybercriminals and continued with his criminal activities.

While this is often misunderstood and considered a flaw, it allows SSL certificates to stay secure by forcing the observance of newer standards when SSL certificates are re-generated.

If SSL certificates were to simply renew, they would never be replaced with modern encryption standards—and that would lead to flawed SSL certificates.

Consequences of expired SSL certificatesWhile SSL certificates offer your users added security and peace of mind when accessing your web application, an expired SSL certificate can reverse all that and cause a lot of damage.

Let’s take a look at how to use this next-level security tool to find expired SSL certificates within an organization.

Managing your SSL c…

10 common cloud migration mistakesKnowing and understanding cloud migration mistakes is the first step organizations need to take when embarking on this effort.

Here we have highlighted the 10 most common cloud migration mistakes and the appropriate steps to avoid them, so you can enjoy the benefits of cloud computing without any major roadblocks along the way:Faulty budgetingWhile cost and return on investment are, collectively, considered to be among the biggest benefits of cloud migration, that’s ultimately one of its biggest misconceptions.

The process of cloud migration can be a costly one, and it is a process—during the period of cloud migration it is entirely possible to run into une…

This blog post will dig into the privacy-advancing corpus to examine yet another attempt at anonymity: the residential proxy.

In short, the static residential proxy combines features akin to its more dynamic sibling, but rarely exhibiting the same price tag.

Finally, in “Resident Evil: Understanding Residential IP Proxy as a Dark Service”, professor Xianghang Mi et al.

questions the very practice of some (if not all) residential IP proxy providers in securing these hosts from what he calls “willing” participants.

If you answered yes to any of these questions, then a residential proxy may just be the solution you need.

In the face of these constantly evolving security threats, organizations making the transition to the cloud (and there are many of them—IDG’s 2020 Cloud Computing Survey showed that 92% of organizations are at least somewhat in the cloud) are finding that vigorous cloud security is an imperative.

Cloud computing security, or simply “cloud security”, refers to a set of technologies, services, controls and policies that are used to ensure the protection of cloud data, applications and the entire cloud infrastructure from inside and outside threats associated with cloud computing.

10 cloud security threats and risksMany security threats and risks can be found for both on-premise systems and cl…

Lack of device security has also made it possible for clickjacking attacks to be a vector for targeted attacks into our personal lives.

In this article, we’ll explore what clickjacking attacks are, get familiar with examples, and share how to prevent them.

How can you prevent clickjacking attacks?

Frame burstingIn the early days of clickjacking attacks, web developers used javascript-based solutions to prevent them.

X-Frame-OptionsOnce clickjacking attacks became more prominent, it became vital to use better solutions than frame bursting.

We’re re-examining basic network threats and types of cyber attacks, having first talked about brute force attacks a few weeks ago, and today we’ll address man-in-the-middle (MitM) attacks—the very epitome of “three’s a crowd”.

Man-in-the-middle attack techniquesMan-in-the-middle attacks, while old and fundamentally simple to execute (even more so with their ease of automation), prove quite useful to attackers.

Wi-Fi eavesdroppingOne of the most commonly seen, old-school methods of man-in-the-middle attacks is Wi-Fi eavesdropping.

Man-in-the-middle attack preventionHowever important it is to look for telltale signs of a man-in-the-middle attack, it is equally important, if not more so, to t…

Private IP addresses in a nutshellIP addresses’ long journey to present-day operations began in the 1970’s when the Defense Advanced Research Projects Agency (DARPA) designed the first protocol specifications.

IP Class Starting IP Address Ending IP Address Total Hosts Class A 10.0.0.0 10.255.255.255 16,777,216 Class B 172.16.0.0 172.31.255.255 1,048,576 Class C 192.168.0.0 192.168.255.255 65,536The private IP address space divided into its three classesAs previously mentioned, in a race to put a stopgap to the problem of IP address exhaustion, RFC 1918 became the de facto reference declaring private IP addresses devoid of any global meaning.

Risks of pointing public DNS records to private I…

While we have dissected the definition, types, benefits and best practices of attack surface management, it’s now time to take a closer look at what attack surface monitoring represents, and how this methodology can help us even outside of the scope of a single ASM solution.

What are some attack surface monitoring best practices?

We mentioned that attack surface monitoring is usually a part of an attack surface management solution, but there are some best practices to follow regardless of whether you’re putting checkmarks in your chosen ASM solution and their monitoring abilities, or taking on the process of attack surface monitoring as a standalone methodology.

Attack surface monitoring do…

With the increasing attack surface of web applications, it’s become even more important to identify and understand the most common attack surfaces and how easily problems in your own web application can develop.

Popular problems with your attack surfaceSome of the most popular attack surface problems are often the most overlooked, yet easily seen.

Let’s look at some of the most common problems you might find with your attack surface.

The most effective solution to reducing your attack surface is to scan your web application often for these commonly seen problems.

Our Attack Surface Reduction tool brings greater awareness to your attack surface and prevents cyber attacks by showing you a com…

ФСТЭК разрабатывает сейчас (на финишной прямой) руководящий документ к таким средствам, который будет ориентирован только на разработчиков и испытательные лаборатории.

Сначала надо принять РД, потом поправки в 17-й приказ, а потом уже и в методичку внести изменения.

Все требования будут едины и применяться, что к ГИС 3-го класса, что к ГИС 1-го, что к ЗОКИИ 3-го уровня, что 1-го.

из зала, как защищать "информацию ДСП" и в соответствие с чем, от представителя ФСТЭК последовал очевидный ответ - "в соответствие с 17-м приказом".

ТАРМ размещается в ГЕОПе (гособлако) и доступ к нему как раз обеспечивается с помощью сертифицированного в ФСТЭК средства безопасной удаленной работы.

Если изменилась информация о лице, эксплуатирующем ОКИИ, то об этом надо оповестить ФСТЭК в 30-тидневный срок.

Аналогичная ситуация и в случае выведения из эксплуатации значимых и незначимых объектов - уведомлять ФСТЭК надо как и при любом изменении объекта КИИ.

Если организация принимает решение о переводе незначимого ОКИИ в значимые, то необходимо направить информацию об этом в ФСТЭК, в которой должно быть соответствующее обоснование.

На конференции "Актуальные вопросы защиты информации" Шевцов Д.Н., отвечая на вопросы из зала, отметил, что ФСТЭК постепенно переходит на отечественное ПО и оборудование, следуя курсу на импортозамещение.

Конечно, с оговорками на то, как эту пользу понимает …

Диалог получился конструктивным, хотя и не на все вопросы были получены четкие ответы, что объяснимо и ниже я попробую про это написать.

Хотя мне кажется, что это позволило бы снять остроту многих проблем и наладить диалог регулятора не с узким кругом лицензиатов и экспертов, а с отраслью.

Привлечение экспертов для экспертизы документов никто не отменял и ФСТЭК планирует и дальше привлекать специалистов для такой работы.

Контролем использования отечественного ПО и отечественных средств защиты на объектах КИИ, как и вообще импортозамещением, ФСТЭК заниматься не будет.

Как минимум, ФСТЭК видит необходимость поправить терминологию в части того, кого считать субъектом КИИ и что такое объект КИИ…

Ой, что это я, мы же про безопасность говорим.

Думаю именно поэтому я не так часто вижу хорошо реализованные проекты по измерению и визуализации ИБ (да и плохо тоже).

Не любят у нас показывать результаты своей работы, которые в ИБ не всегда такие уж и положительные.

Но вернемся к измерениям своего "плохого поведения" (в еде ли, или в ИБ).

Решил я тут поддаться модному поверью, называемому гитхабизации ИБ (на русском), и запустить новый Telegram-канал по метрикам ИБ (Cyber Security Metrics).

Я бы хотел посмотреть на эту проблему немного с иной стороны, а именно с точки зрения информационной безопасности и соблюдения госорганами требований законодательства по ИБ.

Обратите внимание, в первой части этой статьи говорится о любых информационных системах, а не только о государственных ИС.

По сути код такого трекера напоминает чужой контейнер или библиотеку, которую мы используем в своем ПО.

Тот же Google Crashlytics, который используется многими государственными мобильными приложениями собирает не только уникальный идентификатор устройства, геолокацию, данные об использовании приложения, но и в ряде случаев e-mail.

Интересно, что скажут на этот счет регуляторы, призванные следить за …

Почему ФСТЭК по примеру зарубежных регуляторов по ИБ не запишет бесплатные курсы для дистанционного самостоятельного изучения и не выложит их на свой сайт?

Если ФСТЭК в процессе надзора найдет нарушения правил эксплуатации КИИ, будет ли информация об этом передаваться следователям для возбуждения уголовного дела?

Когда будет обновлена БДУ ФСТЭК и в описания угроз будут включены техники, тактики и процедуры реализации угроз?

Но это явно далеко неполный перечень того, что "болит" у специалистов по ИБ и на что могла бы дать ответа ФСТЭК.

Мне приятно сообщить, что ФСТЭК в лице ее замдиректора, Лютикова Виталия Сергеевича, готова ответить на вопросы отрасли.

Если вы не знаете, что вы будете делать в какой-либо из пяти ситуаций, то можно прочитать какую-нибудь умную книжку или пройти на курсы по промышленной ИБ.

Собравшись в команды, вы сможете сообща найти ответы на эти и многие другие вопросы, с которыми службам ИБ приходится сталкиваться ежедневно.

Но свято место пусто не бывает и в хорошем месте пройдет другое мероприятие по ИБ, организуемое медиа-группе Авангард.

Если же вы знаете, что вы будете делать в описанных выше пяти кейсах (а на киберучениях будет представлено больше разных реальных ситуаций), то отлично.

Надеюсь, что и соответствующие регламенты по реагированию на них у вас подготовлены и протестированы.

В мае я уже писал про проекты двух примечательных по своей значимости и некомпетентности проектов нормативных актов, которые обязывают всех субъектов КИИ перевести все свои объекты КИИ на отечественное ПО и железо.

Требования касаются не только нового ПО и железа, но и уже установленного на объектах КИИ.

На все про все осталось 5 с небольшим (!)

Знаю кейс, когда именитому вендору отказали во включении в реестр Минцифры именно по причине отсутствия сертификата (хотя предыдущая версия ПО в этом реестре была).

Нет, все не так печально.

Уже по традиции в первые дни после новогодних праздников я собираю новости по ИБ, которые произошли за это время в мире.

Год начался скандалом о передаче в Whatsapp данных о перемещениях первых лиц государства, их маршрутов и другой сопутствующей информации.

Ну это вроде было и так понятно и думаю, что спустя несколько недель масштаб опять увеличат и скажут, что уже все США попали под раздачу, а затем уже и все прогрессивные европейские страны.

В октябре уже проскакивала новость, что специалисты компании Pen Test Partners нашли уязвимости в поясах верности Cellmate Chastity Cage компании Quiu.

Очередной раз встает вопрос и о безопасности разработки, и о моделировании угроз, и о безопасности…

В прошлой заметке я отметил, что поИБешечка достаточно активно ворвалась на небосклон оффлайновых мероприятий по ИБ, но ее бессменный куратор, Лев Палей, не остановился на достигнутом и в конце прошлого года попробовал новый формат - ток-шоу по ИБ по принципу "Вечернего Урганта", в котором мне тоже довелось принимать участие.

Что получилось, можно оценить на видео:

Достаточно много времени уделяя нормативке, я не мог не спросить, какой НПА 2020-го года считается читателями самым важным.

Видимо, привычка :-)Как развитие предыдущего вопроса, я решил узнать о подписчиков канала, что, по их мнению, можно отнести к несбывшимся ожиданиям ушедшего года крысы?

Остальные мероприятия носили либо сугубо нишевый характер, либо привязку к городу, что не позволило им занять достойные места в рейтинге.

Когда я выносил вопрос о хантинге безопасников в Бизон и Солар, я не думал, что это так затронет многих.

Видимо, действительно, это становится событием для тех, кого не взяли или у кого увели сотрудников :-)Вот такие итоги ушедшего года крысы.

И хотя до следующей конференции еще пара месяцев (если она вообще случится), я подвести промежуточные итоги и посмотреть, что из обещанного было реализовано.

Соответственно нет и средства автоматизации моделирования угроз (пока у ФСТЭК есть только сканер ScanOVAL для Windows и Linux.

Видимо, все силы соответствующего управления ФСТЭК брошены были на 76-й приказ и на все остальное сил просто не осталось.

А может и с частью народа пришлось расстаться и он ушел в 8-е Управлении ФСТЭК по КИИ.

Но ФСТЭК у нас регулятор, живущий на деньги граждан и бизнеса государства, и ни на какую биржу она не пойдет и бояться невыполненных обещаний ей не надо.

Я поступил просто - взял презентации выступлений руководителей ФСТЭК за последние 6 лет, прозввучавшие на февральской конференции регулятора, проводимой в рамках ТБ Форума.

Вначале, в 2015-м и 2016-м годах ФСТЭК очень активно давала обещания по разрабатываемым документам, проекты которых уже разработаны и "вот-вот" должны быть утверждены.

Требования по защите виртуализации тоже не упомянули, оставив планы только на два новых документа - по управлению потоками информации и по СУБД.

У ФСТЭК был еще нигде не озвучивавшийся план по требованиям к средствам отражения DDoS-атак, но вот уже прошло больше двух лет, а документ так и не выпущен.

Но не получилось...

Надысь принимал я участие в одном виртуальном мероприятии крупной ИТ-компании, которая, имея в своем портфолио решения для проведения нормальных видео-конференций и сервисов для групповой работы, почему-то выбрала Zoom.

При этом вопросы надо задавать не в общем чате, а именно в рамках того самого выступления, которое интересует.

Участникам может это и все равно, но спикерам бывает приятно, если их выступления попадают в тройку самых-самых.

В онлайне пересечение, конечно, не столь критично (можно вывести на разные мониторы или в разные вкладки), но все равно было бы полезно.

На самом деле список функций, которыми должна обладать платформа для проведения онлайн-конференций, можно продолжать д…

Было не так живо, как на SOC Live, но иначе и не получилось бы для такой децентрализованной страны как США.

Кстати, мне кажется, что 30-тиминутные доклады для таких форматов (и 45 минут для дискуссий) лучше заходят, чем 20-тиминутные, как на SOC Live.

Антон не опроверг, но и не подтвердил этот тезис, уточнив, что если речь идет о SOC, как о помещении с плазмами, то да, такой подход мертв.

Материалы с него пока недоступны и не факт, что будут (кроме доступа к записи онлайн-трансляции), что не позволяет разместить ссылку на них.

Но хочу вновь отметить, что программа оказалась прям дополняющей наш SOC Live, что и позволило мне в заголовке заметки написать про "часть 2.5".

На выходных обновил и дополнил свои тулкиты (набора документов) по внедрению СУИБ и соответствию требованиям GDPR, которые собираю на Патреоне.Посмотреть их состав и скачать документы можно тут:GDPR Implementation Toolkit, v.3.0 - https://www.patreon.com/posts/41151893GDPR Intro Toolkit, v.2.0 - https://www.patreon.com/posts/47803689ISMS Implementation Toolkit, v.2.1 - https://www.patreon.com/posts/47806655Auditor's Toolkit, v.1.0 - https://www.patreon.com/posts/44215838Поддержите этот проект и подписывайтесь на мой Патреон!

Я уже больше года выкладываю свои документы по ИБ на Патреон (доступ по платной подписке), и вот список самых лучших из них:Дорожная карта по внедрению СУИБ, https://www.patreon.com/posts/34193352Рекомендации по внедрению СУИБ и подготовке к аудитам, https://www.patreon.com/posts/30627529Большая и подробная майндкарта по аудиту СУИБ, подготовленная по итогам прохождения курса ведущего аудитора по ISO27001, https://www.patreon.com/posts/44005904Перечень документов и процессов СУИБ, https://www.patreon.com/posts/30651713Майндкарта по стандарту ISO 19011, https://www.patreon.com/posts/32391752Одностраничный документ с основными положениями GDPR, https://www.patreon.com/posts/30623162Дорожная к…

На праздничных выходных я прочитал и законспектировал официальный мануал для подготовки к экзамену CDPSE (Certified Data Privacy Solutions Engineer) от ISACA, и сегодня расскажу вам о нем.1. Книга стоит 105$ для членов ISACA и 135$ для всех остальных.2. Это совсем свежая книга, ее опубликовали примерно месяц назад. Но до этого ISACA уже выпускала несколько больших книг по privacy. Например, "Implementing a Privacy Protection Program: Using COBIT 5 Enablers With ISACA Privacy Principles".3. Странно, но этот учебник ISACA предлагает не в формате pdf, который удобно читать на любом устройстве, а выдают лишь ссылку, которую можно открыть лишь в защищенном формате в Adobe Digital Edition. Каких-…

Начало года отмечено новым рекордным штрафом за нарушение требований GDPR при использовании систем видеонаблюдения (CCTV): 10,4 млн.евро штрафа для notebooksbilliger.de. Для себя составил вот таблицу со всеми известными мне штрафами по этой теме. Нарушения стандартные: нарушение баланса интересов, слишком длительное хранение данных, несоответствие обработки целям и избыточный сбор данных.Ссылки на все штрафы выложены на моем Патреоне - https://www.patreon.com/posts/gdpr-fines-video-46114870Там же есть и мои детальные рекомендации по использованию CCTV (и легализации этого процесса) - https://www.patreon.com/posts/39537997И большая презентация "Employee Monitoring and Privacy" - https://www.…

Целью этой стратегии является укрепление коллективной устойчивости Европы к кибер-угрозам и обеспечение того, чтобы все граждане и предприятия могли в полной мере воспользоваться преимуществами надежных и заслуживающих доверия услуг и цифровых инструментов.

А также положения об объединенном сообществе (Joint Cyber Unit) для обмена информацией об угрозах и оказания помощи в реагировании.

Планы по перезапуску и усилению CERT-EUВ отдельное приложение выделены меры по безопасности сетей 5G.

На ближайшие 7 лет запланировано очень много важных и полезных изменений...А вот, кстати, официальный QnA по стратегии - https://ec.europa.eu/commission/presscorner/detail/en/QANDA_20_2392P.S.

Помимо этого с…

Сегодня я посетил вебинар - встречу с новым финским Омбудсменом по защита персональных данных (the Data Protection Ombudsman) и после этого решил в очередной раз сравнить европейский подход (GDPR и ePrivacy) с подходом российского РКН (152-ФЗ). Для этого я пересмотрел запись публичного семинара для операторов ПДн от РКН, который прошел 26 ноября 2020.Меня очень порадовало, что Контемиров Юрий Евгеньевич (начальник Управления по защите прав субъектов ПДн) в этот раз отдельно рассказал про отношение РКН к GDPR. Приведу текст выступления практически полностью, чувствую, что он еще пригодится:1. GDPR к деятельности российских компаний может применяться в исключительных случаях. 2. Российский оп…

Пару недель назад я прошел 5-дневное обучение по курсу ISMS ISO 27001:2013 Lead Auditor (Ведущий аудитор систем управления информационной безопасностью по стандарту ISO 27001) и сегодня расскажу вам о нем.Что это такое и зачем это надо?По сути, это обучение является обязательным шагом для получения статуса ведущего аудитора по ISO 27001. Соответствующий статус необходим аудиторам для проведения сертификационных аудитов СУИБ (это может быть довольно неплохой работой / подработкой для специалистов по ИБ), а также часто требуется для внутренних аудиторов, внешних аудиторов (при аудитах второй стороны (подрядчиков и партнеров)) или внешних консультантов. Однако он заточен именно на стандарт ISO…

Попробовал свести в одну майндкарту важные управленческие модели, которые могут быть полезны руководителям департаментов и консультантам по информационной безопасности, а также инспекторам по защите персональных данных (DPO). На удивление, получился очень большой перечень. Держите майндкарту и общий список.Вот общий список:Strategy1. Governance by COBIT2. SWOT3. GAP analysis and Benchmarking4. Hype Cycle5. Components by COBIT (ex.Enablers)6. McKinsey 7-S FrameworkObjectives, KPIs and metrics7. Balanced Scorecard (BSC)8. Goal Cascade by COBIT9. ISO 27001 for IS objectives10. SMART11. Metrics12. Metric Life CycleProcesses13. PPT Triangle14. RACI chart CI Cycles15. PDCA16. OODA17. COBIT Implem…

Некоторые европейские надзорные органы, например, Финский DPA, не рекомендуют совмещать роли CISO и DPO из-за возможного конфликта интересов. Посветил этой проблеме 1 слайд в своей новой презентации "Employee Monitoring and Privacy", которую выложил на Патреон:

Выложил на Патреон детальную майндкарту для ИТ стартапов, которые планируют работать в ЕС и соответствовать GDPR - https://www.patreon.com/posts/43224350Кратко она выглядит так:

Недавно была опубликована свежая статистика по выданным сертификатам ISO, ISO Survey 2019. Выбрал самое важное.Общее количество выданных сертификатов на 31.12.2019, рост на 3.8% по сравнению с 2018 годом:Количество сертификатов по ISO 27001 выросло за год на 14%.Топ 10 стран по количеству сертификатов ISO 27001:China - 8356Japan - 5245United Kingdom of Great Britain and Northern Ireland - 2818India - 2309Italy - 1390Germany - 1175Spain - 938Netherlands - 938United States of America - 757Turkey - 729В России - 81, в Финляндии - 66.Больше всего сертификатов в отрасли ИТ - 8562.

Подготовил небольшую таблицу с ответом на вопрос "какие стандарты и лучшие практики использовать для защиты персональных данных". Есть из чего выбрать...Все ссылки и pdf-файл доступны мои подписчикам на Патреон - https://www.patreon.com/posts/42520555

Обновил и выложил на Патреон (платная подписка) все свои майндкарты по стандартам и "лучшим практикам", которые использую в своей работе. Держите весь список:ISMSISO 27001:2013 - https://www.patreon.com/posts/32914010The ISF Standard of Good Practice for Information Security 2020 (SoGP) - https://www.patreon.com/posts/36496886NIST SP 800-53 rev.5 "Security and Privacy Controls for Federal Information Systems and Organizations" - https://www.patreon.com/posts/42255805AuditISO 19011:2018 Guidelines for auditing management systems - https://www.patreon.com/posts/32391752Data Protection and PrivacyGDPR - https://www.patreon.com/posts/30623884One-page document with key points of GDPR - https://w…

У меня на Патреоне (платная подписка) опубликованы 2 документа, раскрывающие требования и рекомендации по легитимному использованию систем видеонаблюдения в контексте защиты персональных данных и выполнения требований GDPR (в частности, ограничения по размещению камер, необходимые уведомления, ограничения по длительности хранения и все такое). В принципе, на них стоит ориентироваться и при обработке ПДн по 152-ФЗ.CCTV and GDPR (checklist) - https://www.patreon.com/posts/39537997The 12 guiding principles in the Surveillance Camera Code of Practice - https://www.patreon.com/posts/41607308

Привет! Этим летом я пересмотрел и обновил все документы, входящие в мой комплект GDPR Implementation Toolkit, а также разработал несколько новых. Теперь все документы выровнены друг с другом, оформлены в одном стиле и актуализированы с учетом новых рекомендаций надзорных органов. Скачать их могут мои подписчики на Патреоне (платная подписка) - https://www.patreon.com/posts/gdpr-toolkit-2-0-41151893

Снятая в 2020 году блокировка Telegram, видимо, положительно сказалась на популярности чатов и каналов - отрицательной динамики за прошедший год практически ни у кого нет за редким исключением.

В рейтинге самых популярных чатов на первом месте теперь RouterOS Security, набрать аудиторию которому сильно помог недавний нашумевший пост на Хабре. На втором месте - многострадальный КИИ 187-ФЗ, потерявший администраторов и живущий теперь по принципам полной самоорганизации, страдая периодически от спама и ботов. При этом участники не спешат его покидать, хотя альтернатива есть и состав модераторов там вполне адекватный: @FZ187KII.

Отсечку в 100 пользователей менять не стал, так что итоговый списо…

Традиционно с началом нового года начинают действовать и новые изменения в законодательстве. Ниже собрал основные нововведения, так или иначе касающиеся информационных технологий. Ссылки на первоисточники - в конце поста.

Молодым специалистам «откроют» только электронные трудовые книжки

Россиянам, впервые поступившим на работу, больше не будут оформлять бумажные трудовые книжки. Переход на электронные трудовые книжки начался в России в 2020 году. До 31 декабря этого года каждый работник должен принять решение — хочет ли он оставить бумажную трудовую книжку или перейти на электронную, и в письменном виде проинформировать о сделанном выборе отдел кадров. Если сотрудник откажется от бумажной т…

Нестандартный по формату проводимых мероприятий 2020 год под конец ознаменовался целой чередой попыток провести что-то большее, чем очередной типовой вебинар по информационной безопасности, в коих и в прошлые годы недостатка не было.

Пишу попыток, так как далеко не все мероприятия можно признать удачными. Ниже кратко перечислю те, в которых принял участие (не как слушатель), и отмечу их особенности.

Безопасная среда

30 сентября принимал участие в проекте “Безопасная среда” коллег из ЭКСПО-ЛИНК, где прочитал короткий доклад про особенности мониторинга информационной безопасности для АСУ ТП.

Чем отличалось от типового вебинара? доклад предварялся разговором на заданную тему нескольких приглаш…

Вышел в свет свежий выпуск журнала «CONNECT. Мир информационных технологий», с темой номера “Защита КИИ в отраслевом разрезе. О практической реализации требований № 187-ФЗ в отраслях”.

Открывает раздел моя статья: Субъекты КИИ: торопитесь не торопясь!

Правда, изначально тема звучала как “Общее состояние дел с выполнением требований законодательства в области защиты КИИ”, но редактору виднее =)

По приведённой выше ссылке на сайте издательства CONNECT качество иллюстраций в статье не самое лучшее, что особенно обидно для схемы, так что вот отредактированный авторский вариант: pdf, speakerdeck.com, slideshare.net.

Текст, к слову, подвергся минимальным правкам, но за время, пока публикация гото…

Рейтинг CNews Security: Крупнейшие компании России в сфере защиты информации публикуется с 2003 года, но только по итогам 2006 года, правда, сразу две компании, перешагнули годовую выручку в 1 миллиард рублей. Этими двумя компаниями были Информзащита и Лаборатория Касперского, которая в то время в свой отчёт ещё включала выручку ИнфоВотч.

Следующими в клуб миллиардеров вступили тоже сразу две компании: ЛЕТА и Эр-Стайл, но сделали они это только два года спустя. Обе эти компании в рейтинге CNews Security больше не участвуют. О причинах (наблюдая со стороны) можно только догадываться, но, видимо, дело в не самых ярких показателях.

Аналитики CNews не раскрывают состав стоящих за брендами юриди…

На организованной Гротек в сентябре онлайн-конференции “Кибербезопасность АСУ ТП критически важных объектов” одним из докладчиков выступил Алексей Валентинович Кубарев, заместитель начальника управления ФСТЭК России.

Доклад его мне представляется важным - как минимум с той точки зрения, что понятным человеческим языком сформулированы основные тезисы и даны ответы на многие вопросы и конкретную критику в адрес ФСТЭК России.

Взял на себя смелость в связи с этим улучшить монтаж исходного ролика, заодно заменив изображения слайдов на более качественные из публично доступной презентации. Впрочем, так как формат видео не слишком удобен для последующего оперативного поиска нужного ответа, решил вы…

По приглашению коллег из ЭКСПО-ЛИНК принял участие в их проекте “Безопасная среда” и прочитал короткий доклад про особенности мониторинга информационной безопасности для АСУ ТП.

Постарался перечислить основные сложности практического создания систем мониторинга для промышленных сегментов, а также варианты их (сложностей) нивелирования.

Запись велась и после обработки будет выложена на YouTube, а пока делюсь своей презентацией. Другие записи моих выступлений можно посмотреть здесь: https://zlonov.com/speeches/.

Знаете ли вы, что сегодня создать поддельное (deepfake) видео можно буквально за полчаса, не обладая при этом никакими специальными знаниями и не имея в своём распоряжении никаких особых вычислительных мощностей?

Само преобразование выполняется с помощью Wav2Lip, онлайн-демо которого можно протестировать на этой странице: https://bhaasha.iiit.ac.in/lipsync/.

Правда, у меня так и не получилось подобрать нужные исходные файлы, не приводящие к появлению ошибки: 413 Request Entity Too Large .

Так что пришлось воспользоваться чуть более сложным, но зато сработавшим вариантом на базе Google Colab.

Ну, и не могу не воспользоваться случаем процитировать вот этот свой твит:

Знаете ли вы, что сегодня создать поддельное (deepfake) видео можно буквально за полчаса, не обладая при этом никакими специальными знаниями и не имея в своём распоряжении никаких особых вычислительных мощностей?

Вот пример наложения слов персонажа Глеба Жеглова на выступление глубоко уважаемого мной Виталия Сергеевича Лютикова, который, надеюсь, не будет в обиде за этот невинный ролик =) Не самый впечатляющий результат, но зато единственные специальные утилиты, которые потребовались для создания этого видео - это браузер и простейший видеоредактор (и то только для нарезки исходных материалов). Всё остальное было сделано онлайн.

Само преобразование выполняется с помощью Wav2Lip, онлайн-демо…

Помню, как на заре становления темы ИБ АСУ ТП в России на меня произвело впечатление решение от одной компании, предлагающей специализированные промышленные межсетевые экраны с встроенной функцией VPN.

Экран как экран, VPN как VPN, но особенностью решения был аппаратный (физический) ключ, поворот которого исключал возможность удалённого подключения.

Позиционировалось этот как некая гарантированная защита от злоумышленников/разгильдяев как с легальным доступом, но, например, получающих доступ вне рамках установленной процедуры, так и от внешних злодеев (читай — хакеров).

Оперативно на сайте производителя подобных решений в современной линейке его оборудования найти не удалось, так что ссылок…

Помню, как на заре становления темы ИБ АСУ ТП в России на меня произвело впечатление решение от одной компании, предлагающей специализированные промышленные межсетевые экраны с встроенной функцией VPN.

Экран как экран, VPN как VPN, но особенностью решения был аппаратный (физический) ключ, поворот которого исключал возможность удалённого подключения.

Позиционировалось этот как некая гарантированная защита от злоумышленников/разгильдяев как с легальным доступом, но, например, получающих доступ вне рамках установленной процедуры, так и от внешних злодеев (читай - хакеров).

Оперативно на сайте производителя подобных решений в современной линейке его оборудования найти не удалось, так что ссылок…

Традиционный обзор новинок Государственного реестра сертифицированных средств защиты информации (СрЗИ) в этот раз будет не квартальным, а сразу полугодовым.

Средства сетевой защитыМежсетевые экраны (МЭ) — традиционно самый широко представленный тип средств защиты информации в реестре ФСТЭК России.

:№4228 — модуль доверенной загрузки Numa Arce Соответствует требованиям документов: Требования к СДЗ, Профиль защиты СДЗ(базовой системы ввода-вывода четвертого класса защиты.

ИТ.ОС.А2.ПЗ)№4220 — операционная система Аврора Соответствует требованиям документов: Требования доверия(4), Требования к ОС, Профиль защиты ОС(А четвертого класса защиты.

ИТ.ОС.А4.ПЗ)Корпоративнные и офисные приложения№4211…

Традиционный обзор новинок Государственного реестра сертифицированных средств защиты информации (СрЗИ) в этот раз будет не квартальным, а сразу полугодовым. Так что и новых сертификатов (выданных на серию) сегодня больше обычного - 50 штук.

Вот они, разбитые на отдельные (весьма условные, правда) подгруппы.

Средства сетевой защиты

Межсетевые экраны (МЭ) - традиционно самый широко представленный тип средств защиты информации в реестре ФСТЭК России. При этом отдельные решения (Check Point, FortiGate, Dionis DPS) одновременно совмещают в себе ещё и функции систем обнаружения вторжений (СОВ), а, например, Trend Micro Deep Security 10 дополнительно к МЭ и СОВ является сертифицированным средством…

На Rusprofile.ru (независимый источник информации о российских организациях) размещена бухгалтерская отчетность компаний за 2019 год.

Так что можно, не дожидаясь очередного отчёта CNews 100 или рейтинга TAdviser, бегло оценить, как обстоят дела у подрядчиков/конкурентов/партнёров с финансовым положением.

Например, если взять юридические лица, упомянутые в отчёте Anti-Malware.ru Сравнение токенов с аппаратной поддержкой алгоритмов ГОСТ и сертификатом ФСБ, то можно получить некоторое представление о тенденциях и перспективах отечественного рынка аппаратных токенов. Юрлицо

Токен

Выручка 2018, млн руб

Выручка 2019, млн руб

Дельта АО «Актив-софт»

Рутокен S, РУТОКЕН ЭЦП 2.0

1168

1231

5 % ISBC Gro…

Сформулированный для краткости немного в вольной форме вопрос в теме этого поста развернуть можно так: Необходимо ли организации получать лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации в случаях, когда организация осуществляет лицензируемый вид деятельности для собственных нужд? Вопросу не один год, найти на него ответ можно и в законодательстве и в других источниках, но мне понравилась формулировка коллег из УЦСБ, с которыми этот вопрос недавно обсуждали.

Официальный ответ зафиксирован в Постановлении Правительства РФ №79 от 03.02.2012 «О лицензировании деятельности по ТЗКИ», а неофициальный звучит так: Те пункты, где фигурируют «работы» — нужна лиц…

#рекламаЦентрализованный контроль доступа в сеть. Внедрять или нет?В последнее время для подавляющего большинства организаций вопрос сетевой безопасности встал очень остро. Усугубляет эту ситуацию усложняющиеся механизмы и способы проникновения злоумышленников в сеть. Стандартной защиты периметра уже недостаточно! Важно контролировать все типы подключений, а также знать, что за устройства подключены, безопасны ли они и отвечают ли требованиям ИТ-инфраструктуры?Приглашаем посмотреть небольшой 20-минутный вебкаст, где технический директор компании CBS на примере системы Cisco ISE рассказывает, стоит ли внедрять централизованный контроль доступа в сеть.Из вебкаста вы узнаете:🔹 как оценивать со…

Вчера в одном профильном чатике возникла любопытная дискуссия на тему того, нужен ли в современных реалиях WAF. Тема изъезженная, и тем не менее всегда есть, что обсудить. Были озвучены десятки «ЗА» и «ПРОТИВ», и вот пожалуй самые интересные из них:ЗА- Виртуальный патчинг WAF позволяет закрыть что-то экстренное, когда у разработчиков на это нет времени.- Сложно постоянно полагаться на качество кода вашей команды разработки, завтра может произойти что угодно: от ухода всей команды, до каких-то «срочных» нововведений по запросу от менеджмента. - Не стоит забывать, что появление багов и уязвимостей циклично, одного харденинга будет недостаточно.- Какой бы «тупой» WAF не был, он всегда мешает, …

Новые место и дата ZN 2021 📢Ничто не заменит нам энергию живого общения! Поэтому ZeroNights приглашает вас отметить свое десятилетие офлайн в неформальной обстановке эпохи цифровой революции.В этом году конференция пройдет 30 июня в пространстве «Севкабель Порт» г. Санкт-Петербург. Открыта ранняя регистрация. Промокод EARLYBIRD на скидку 20% действует до конца марта.Сайт: https://zeronights.ru/

оп

OWASP TOP-10 недостаточно быстро обновляется в современных реалиях и построен на непрозрачных для сообщества метриках — подумали в Wallarm и, используя базу Vulners, выкатили свой OWASP TOP-10 2021, собрав более 4 миллионов бюллетеней безопасности от 144 поставщиков.https://lab.wallarm.com/owasp-top-10-2021-proposal-based-on-a-statistical-data/

​#рекламаОнлайн-мероприятие Cisco для малого и среднего бизнеса!За время пандемии мы осознали, что его можно вести, не будучи привязанными к своим традиционным рабочим местам. Теперь мы можем работать из любой точки мира, где есть Интернет, к которому можно подключить свой ноутбук, планшет или смартфон и получить доступ к приложениям и данным, находящимися в нашем ЦОДе или в облаке.Но с этими возможностями пришли и новые страхи:• Могу ли я доверять облачным сервисам или личным устройствам работников?• Как мне обезопасить подключение удаленного или мобильного работника?• Как гарантировать, что к моим данным не получит доступ злоумышленник, прикрывающийся учетной записью моего сотрудника?• Ка…

Неплохой материал про опыт RedTeam при пентесте Active Directory, где автор рассказыват про инструменты и возможности обхода встроенных средств защиты с помощью обфускации, дополнительного шифрования пейлоада и упаковки исполняемого файла несколькими пакерами.Команде защиты также на вооружение и проверок на своей инфраструктуре.https://luemmelsec.github.io/Circumventing-Countermeasures-In-AD/p.s также там есть и другие полезные материалы https://luemmelsec.github.io/

Где-то слышал мнение, что у современных анти-чит систем методы обнаружения куда более продвинутые, чем у EDR, представленных сегодня на рынке, или по крайней мере есть, что можно позаимствовать. Справедливости ради стоит отметить, что задачи у EDR куда шире, учитывая, что они не привязаны к конкретным процессам, как в случае с анти-читами.Поэтому кто заскучал и хочет попробовать чего-то новенького, можно погрузиться в базовый реверс и исследование того, как работают видеоигры и читерский софт. https://gamehacking.academy/А вообще любопытная тема для изучения.В заключение небольшая проверка на олдфагов: ArtMoney помните?)

Как вам такой аудит сети РЖД?https://habr.com/ru/post/536750/

Вчера в блоге Tenable появилась любопытная статья про локальное повышение привилегий в PsExec, позволяющее процессу, запущенному не от администратора, перейти в SYSTEM. Работает для Windows 10 и более младших версий, вплоть до XP. Тестируемые версии PsExec v1.72 и до актуальной v2.2.PoC прилагается.https://medium.com/tenable-techblog/psexec-local-privilege-escalation-2e8069adc9c8

Ого, вышлая новая версия OWASP Web Security Testing Guide! https://github.com/OWASP/wstg/releases/tag/v4.2

—Партнерский пост—Мир кибербезопасности очень инертен, вымогателей становится только больше, промышленные системы и различные отрасли экономики каждый день страдают от масштабных APT-атак, а активные действия спецслужб только добавляют всему этому шоу пикантности. Ситуация эта вряд ли в ближайшем времени как-то изменится, и лишь продолжит усугубляться, поэтому наш долг держать руку на пульсе. С этой задачей отлично справляется канал SecAtor. Ребята мониторят все горячие новости, шутят, разбирают отчеты крупных компаний, а их главная фишка — обзоры APT-группировок, вместе с их проделками.Все по делу и на постоянной основе.«Руки-ножницы российского инфосека» — SecAtor

Ребята из Digital Security рассказали на Хабре о своем выборе плагинов для Burp Suite, которые они используют для повседневных задач. https://habr.com/ru/company/dsec/blog/529088/

InfoSec Black Friday Deals 2020Традиционная подборка интересных предложений «Чёрной пятницы» из сферы инфосек — https://github.com/0x90n/InfoSec-Black-Fridayhttps://github.com/Securityinfos/Black-Friday-Deals1Password с 50% скидкой, много платформ для обучения, трейнингов и лаб по скидке (SANS, Practical DevSecOps, PentesterLab и пр.) и многое другое. Большая часть скорее всего появится завтра, но уже есть из чего выбирать.

Ребята из Digital Security рассказали на Хабре о своем выборе плагинов для Burp Suite, которые они используют для повседневных задач.https://habr.com/ru/company/dsec/blog/529088/

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

At best, it’s an improvement in factoring — and I’m not sure it’s even that.

The paper is a preprint: it hasn’t been peer reviewed.

Be careful taking its claims at face value.

I’ll append more analysis links to this post when I find them.

Posted on March 5, 2021 at 10:48 AM • 0 Comments

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

The lack of a final payload suggests that the malware may spring into action once an unknown condition is met.

Besides those questions, the malware is notable for a version that runs natively on the M1 chip that Apple introduced in November, making it only the second known piece of macOS malware to do so.

The malicious binary is more mysterious still because it uses the macOS Installer JavaScript API to execute commands.

That makes it hard to analyze installation package contents or the way that package uses the JavaScript commands.

Researchers from Red Canary, the security firm that discovered the malware, are calling the malware Silver Sparrow.

The company outsourced much of its software engineering to cheaper programmers overseas, even though that typically increases the risk of security vulnerabilities.

When national security is compromised by high-flying technology companies that fob off cybersecurity risks onto their customers, something similar is at work.

The only way to force companies to provide safety and security features for customers and users is with government intervention.

We need to do the same with cybersecurity: the federal government should set minimum security standards for software and software development.

In today’s underregulated markets, it’s just too easy for software companies like SolarWinds to save mon…

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Any system of information rights­ — whether patents, copyrights, and other intellectual property, or privacy rights — ­presents some tension with strong interest in the free flow of information that is reflected by the First Amendment.

Our personal information is in demand precisely because it has value to others and to society across a myriad of uses.

From the conclusion:Privacy legislation should empower individuals through more layered and meaningful transparency and individual rights to know, correct, and delete personal information in databases held by others.

But relying entirely on individual control will not do enough to change a system that is failing individuals, and trying to rei…

I am a co-author on a report published by the Hoover Institution: “Chinese Technology Platforms Operating in the United States.” From a blog post:The report suggests a comprehensive framework for understanding and assessing the risks posed by Chinese technology platforms in the United States and developing tailored responses.

It starts from the common view of the signatories — one reflected in numerous publicly available threat assessments — that China’s power is growing, that a large part of that power is in the digital sphere, and that China can and will wield that power in ways that adversely affect our national security.

However, the specific threats and risks posed by different Chinese…

Twelve-Year-Old Vulnerability Found in Windows DefenderResearchers found, and Microsoft has patched, a vulnerability in Windows Defender that has been around for twelve years.

The flaw, discovered by researchers at the security firm SentinelOne, showed up in a driver that Windows Defender — renamed Microsoft Defender last year — uses to delete the invasive files and infrastructure that malware can create.

When the driver removes a malicious file, it replaces it with a new, benign one as a sort of placeholder during remediation.

But the researchers discovered that the system doesn’t specifically verify that new file.

As a result, an attacker could insert strategic system links that direct th…

Alex Birsan writes about being able to install malware into proprietary corporate software by naming the code files to be identical to internal corporate code files.

For these apps, companies will often use private libraries that they store inside a private (internal) package repository, hosted inside the company’s own network.

When apps are built, the company’s developers will mix these private libraries with public libraries downloaded from public package portals like npm, PyPI, NuGet, or others.

[…]Researchers showed that if an attacker learns the names of private libraries used inside a company’s app-building process, they could register these names on public package repositories and up…

Really good op-ed in the New York Times about how vulnerable the GPS system is to interference, spoofing, and jamming — and potential alternatives.

The 2018 National Defense Authorization Act included funding for the Departments of Defense, Homeland Security and Transportation to jointly conduct demonstrations of various alternatives to GPS, which were concluded last March.

Eleven potential systems were tested, including eLoran, a low-frequency, high-power timing and navigation system transmitted from terrestrial towers at Coast Guard facilities throughout the United States.

Also under consideration by federal authorities are timing systems delivered via fiber optic network and satellite sy…

On March 2, Microsoft released emergency security updates to plug four security holes in Exchange Server versions 2013 through 2019 that hackers were actively using to siphon email communications from Internet-facing systems running Exchange.

In the three days since then, security experts say the same Chinese cyber espionage group has dramatically stepped up attacks on any vulnerable, unpatched Exchange servers worldwide.

Microsoft’s initial advisory about the Exchange flaws credited Reston, Va. based Volexity for reporting the vulnerabilities.

Security researchers have published a tool on Microsoft’s Github code repository that lets anyone scan the Internet for Exchange servers that have b…

Over the past few weeks, three of the longest running and most venerated Russian-language online forums serving thousands of experienced cybercriminals have been hacked.

In two of the intrusions, the attackers made off with the forums’ user databases, including email and Internet addresses and hashed passwords.

Members of all three forums are worried the incidents could serve as a virtual Rosetta Stone for connecting the real-life identities of the same users across multiple crime forums.

Exploit — perhaps the next-largest and most popular Russian forum after Verified, also experienced an apparent compromise this week.

“Perhaps they work according to the following logic,” wrote one Exploit …

The patches released today fix security problems in Microsoft Exchange Server 2013, 2016 and 2019.

CVE-2021-26855 is a “server-side request forgery” (SSRF) flaw, in which a server (in this case, an on-premises Exchange Server) can be tricked into running commands that it should never have been permitted to run, such as authenticating as the Exchange server itself.

The attackers used CVE-2021-26857 to run code of their choice under the “system” account on a targeted Exchange server.

Neither Microsoft nor Volexity is aware of publicly available code that would allow other cybercriminals to exploit these Exchange vulnerabilities.

Further reading:Microsoft’s writeup on new Hafnium nation state …

The company processes more than $80 billion payroll payments annually on behalf of PEOs and their clients.

Cloran said while there are other cloud-based companies that work with multiple PEOs, PrismHR is by far the largest.

Some of that data is often then published on dark web victim shaming sites in a bid to force the victim company into paying up.

Those that refuse to be extorted are told to expect that huge amounts of sensitive company data will be published online or sold on the dark web (or both).

Tags: Decimal, Jacob Cloran, PEOs, PrismHR, professional employer organizations

This story examines the lopsided economics of extension development, and why installing an extension can be such a risky proposition.

But last year, Google announced it was shutting down paid Chrome extensions offered on its Chrome Web Store.

“HolaVPN.” In 2015, security researchers discovered that users of the HolaVPN browser extension were being used to funnel Web traffic for other people.

Personally, I do not make much use of browser extensions.

Tags: chrome extensions, chrome-stats.com, Cisco Systems, crxcavator.io, extendbalanc, Hao Nguyen, HolaVPN, Infatica, iNinja VPN, Luminati, ModHeader, Vladimir M. Fomenko

Bloomberg Law reports that in response to a flood of jobless claims that exploit the lack of information sharing among states, the Labor Dept.

REACTIONS FROM THE UNDERGROUNDFraudsters involved in filing jobless benefit claims have definitely taken notice of ID.me’s efforts.

“We have blocked at least five sustained, large-scale DDoS attacks originating from Nigeria trying to take our service down because we are blocking their fraud,” Hall said.

Asked about the efficacy of those methods, Hall said while his service can’t stop all phony jobless claims, it can ensure that a single scammer can only file one fraudulent application.

“And that tends to have a disproportionate affect on those more l…

The second component, which is wired to the overlay skimmer, is a flexible card skimmer (often called a “shimmer”) that gets fed into the mouth of the chip card acceptance slot.

When a chip card is inserted, the terminal reads the data stored on the smart card by sending an electric current through the chip.

Here’s what the fake PIN pad overlay and card skimmer looks like when fully inserted into the card acceptance slot and viewed head-on:Would you detect an overlay skimmer like this?

This dual functionality also allows cardholders to swipe the stripe if for some reason the card’s chip or a merchant’s smartcard-enabled terminal has malfunctioned.

Armed with your PIN and debit card data, th…

The leader of Mexico’s Green Party has been removed from office following allegations that he received money from a Romanian ATM skimmer gang that stole hundreds of millions of dollars from tourists visiting Mexico’s top tourist destinations over the past five years.

The scandal is the latest fallout stemming from a three-part investigation into the organized crime group by KrebsOnSecurity in 2015.

In a series of posts on Twitter, De La Peña denied any association with the Romanian organized crime gang, and said he was cooperating with authorities.

In May 2020, the Mexican daily Reforma reported that the skimming gang enjoyed legal protection from a top anti-corruption official in the Mexic…

Prosecutors say the hackers were part of an effort to circumvent ongoing international financial sanctions against the North Korean regime.

“The scope of the criminal conduct by the North Korean hackers was extensive and longrunning, and the range of crimes they have committed is staggering,” said Acting U.S. Attorney Tracy L. Wilkison for the Central District of California.

For example, the DOJ indictments say these apps were involved in stealing $11.8 million in August 2020 from a financial services company based in New York.

Other moneymaking and laundering schemes attributed to the North Korean hackers include the development and marketing of an initial coin offering (ICO) in 2017 calle…

Here’s a closer look at the electronic gear jammed into these overlay skimmers.

But it’s worth pointing out these devices can be installed on virtually any customer-facing payment terminal in the blink of eye.

This overlay skimmer included a physical component designed to block the payment terminal from reading the chip, forcing the customer to swipe the stripe instead of dip the chip.

Armed with your PIN and debit card data, thieves can clone the card and pull money out of your account at an ATM.

Check out these other posts:How to Spot Ingenico Self-Checkout SkimmersSelf-Checkout Skimmers Go BluetoothMore on Bluetooth Ingenico Overlay SkimmersSafeway Self-Checkout Skimmers Up CloseSkimmers…

Here are some of the sobering takeaways from those interviews:There are approximately 54,000 distinct drinking water systems in the United States.

“He was defending this person who’d hacked into a drinking water system and had gotten all the way to the pumps and control systems,” Weiss recalled.

Andrew Hildick-Smith is a consultant who served nearly 20 years managing remote access systems for the Massachusetts Water Resources Authority.

Hildick-Smith said his experience working with numerous smaller water utilities has driven home the reality that most are severely under-staffed and underfunded.

“Most water systems are going to wait until close the deadline, and then hire someone to do it f…

Your email account may be worth far more than you imagine.

“At one stage in 2019 we had a couple of hundred SMS phishing campaigns tied to just this particular actor.

Perhaps the biggest selling point for U-Admin is a module that helps phishers intercept multi-factor authentication codes.

There are multiple recent reports that U-Admin has been used in conjunction with malware — particularly Qakbot (a.k.a.

The security flaw was briefly alluded to in a 2018 writeup on U-Admin by the SANS Internet Storm Center.

Most phishing scams invoke a temporal element that warns of dire consequences should you fail to respond or act quickly.

Facebook, Instagram, TikTok, and Twitter this week all took steps to crack down on users involved in trafficking hijacked user accounts across their platforms.

But his “Trusted” account on Instagram was taken down by Facebook today, as were “@Killer,” — a personal Instagram account he used under the nickname “noah/beam.” Beam’s Twitter account — @NH — has been deactivated by Twitter; it was hacked and stolen from its original owner back in 2014.

TikTok confirmed it also took action to target accounts tied to top OGUusers members, although it declined to say how many accounts were reclaimed.

Among the top seller accounts targeted in the ban wave was the Instagram account belonging to Ryan Za…

How unfortunate.

A Russian cybercrime forum appears to have suffered a data breach, spilling details of users.

That still applies here, of course.

But I imagine users of the notorious Maza forum may also be concerned quite what law enforcement agencies will do with the information if it falls into their hands too…Found this article interesting?

Follow Graham Cluley on Twitter to read more of the exclusive content we post.

Business Email Compromise (BEC) scammers, who have made rich returns in recent years tricking organisations into transferring funds into their accounts, have found a new tactic which attempts to swindle Wall Street firms out of significantly larger amounts of money.

According to a newly published-report by Agari, scammers are seeking to defraud Wall Street businesses and their customers out of US $809,000 on average per incident.

This emerging form of BEC attack is a “capital call” scam, where the fraudsters pose as an investment or insurance firm seeking a portion of money previously promised by an investor for a particular investment vehicle.

Such funds are, inevitably, significantly larg…

All this and much much more can be found in the latest edition of the “Smashing Security” podcast, hosted by computer security veterans Graham Cluley and Carole Theriault.

Hosts:Graham Cluley – @gcluleyCarole Theriault – @caroletheriaultGuest:Robert Llewellyn – @bobbyllewShow notes:Sponsor: 1Password 1Password offers seamless syncing across all your computers and mobile devices, so you can store and access unlimited passwords from anywhere at any time.

Only you have the keys to decrypt your data and sensitive information – 1Password doesn’t know it, doesn’t share it, and doesn’t sell it.

For more details visit www.1password.com/switch50Follow the show:Follow the show on Twitter at @SmashinS…

Microsoft has released emergency security patches for four zero-day vulnerabilities in its Exchange email server software, widely used by businesses.

The versions of Microsoft Exchange Server affected are:Microsoft Exchange Server 2013Microsoft Exchange Server 2016Microsoft Exchange Server 2019The online version of Exchange is not affected by the flaws.

According to Volexity, the attacks have been stealing email and compromising networks since as early as January 6, 2021.

So don’t delay – follow Microsoft’s advice, and apply the patches to affected systems immediately.

Follow Graham Cluley on Twitter to read more of the exclusive content we post.

Graham Cluley Security News is sponsored this week by the folks at Recorded Future.

Recorded Future provides deep, detailed insight into emerging threats by automatically collecting, analyzing, and organizing billions of data points from the web.

The FREE Cyber Daily email, highlights trending threats selected from the millions of insights sourced by Recorded Future over the past 24 hours.

Which means that you will be able to benefit from a daily update of the following:Top cybersecurity newsTop exploited vulnerabilitiesTop targeted industriesTop malwareTop threat actorsTop suspicious IP addressesCybersecurity professionals agree that Recorded Future’s Cyber Daily is an essential tool:“I lo…

Controversial cryptocurrency developer Tether says it will not give in to extortionists who are demanding a 500 Bitcoin ransom payment (currently worth approximately US $24 million).

However, Tether says that the documents are forged.

Some Twitter accounts created to share the screenshots of alleged leaked documents have since been suspended.

Either way, those seeking to harm Tether are getting increasingly desperate.” “We want our customers, personnel, and the crypto community to stay safe.

Under the terms of the settlement, Tether and Bitfinex admitted no wrongdoing.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Don’t change your passwords unless you have a reason to change your passwords.

On Friday, popular tech news site Gizmodo published an article with the title: “Go Update Your Passwords Right Now”:Hey, you, casual internet user.

Enforcing or encouraging users to change their passwods can lead to people falling into the trap of choosing weaker passwords rather than strengthening their security.

When there are good reasons to change your passwords, you should definitely change them – and make them strong, hard-to-crack and unique.

But if you don’t need to change your passwords, maybe you shouldn’t.

UK energy firm Npower has scrapped its smartphone app following an attack by hackers that saw some users’ accounts accessed and personal information stolen.

Credential-stuffing attacks exploit the fact that many people choose passwords that they had previously used elsewhere on the internet.

In addition, Npower has deactivated its smartphone app, and is telling customers to make payments, view bills, and enter meter readings via its official website instead.

Presumably the company has more confidence that its website can repel credential-stuffing attacks than the API used by its now scrapped app.

Npower says it had planned to shut down the app anyway, following the business’s acquisition by…

Graham Cluley Security News is sponsored this week by the folks at Recorded Future.

Recorded Future provides deep, detailed insight into emerging threats by automatically collecting, analyzing, and organizing billions of data points from the web.

The FREE Cyber Daily email, highlights trending threats selected from the millions of insights sourced by Recorded Future over the past 24 hours.

Which means that you and your company will be able to benefit from a daily update of the following:Top Cybersecurity newsTop exploited vulnerabilitiesTop targeted industriesTop malwareTop threat actorsTop suspicious IP addressesInfosec professionals agree that the Cyber Daily is an essential tool:“I look …

All this and much much more is discussed in the latest edition of the “Smashing Security” podcast, hosted by computer security veterans Graham Cluley and Carole Theriault.

Hosts:Graham Cluley – @gcluleyCarole Theriault – @caroletheriaultGuest:Garry Kasparov – @kasparov63Show notes:Sponsor: 1Password 1Password offers seamless syncing across all your computers and mobile devices, so you can store and access unlimited passwords from anywhere at any time.

Only you have the keys to decrypt your data and sensitive information – 1Password doesn’t know it, doesn’t share it, and doesn’t sell it.

For more details visit www.1password.com/switch50Follow the show:Follow the show on Twitter at @SmashinSe…

NurseryCam, the remote video monitoring service for parents with young children at nurseries that was dogged with claims of troubling security issues last week, has suffered a data breach.

As BBC News reports, NurseryCam says that a “loophole” allowed an unauthorised party to access parents’ accounts – stealing usernames, passwords, names, and email addresses.

“He stated he has no intention to use this to do any harm [and] wants to see NurseryCam raise the overall standards of our security measures.”NurseryCam says that it does not believe the data breach is related to the alleged flaws previously described by security consultant Andrew Tierney, and first reported to NurseryCam by a concern…

The United States Department of Justice has charged three North Korean computer programmers with a range of cyber attacks that made headlines around the world.

And – according to the DOJ – the men undertook a number of criminal cyber attacks at the behest of the North Korean regime, including:The 2014 “Guardians of the Peace” hack of Sony Pictures, seemingly in retaliation to the production of “The Interview,” a comedy that depicted a CIA plot to assassinate North Korean leader Kim Jong-Un.

The creation and distribution of malicious cryptocurrency trading and wallet apps, that provided North Korean hackers with a way to infiltrate victims’ devices.

“North Korea has used AppleJeus malware po…

AS BBC News reports, Facebook – angry that the Australian government wants it and other tech giants to pay for content reposted from media outlets – has blocked users in Australia from sharing or viewing news content on the platform.

Sure enough, pages like ABC News are now blank for Australian users.

As are radio stations:And… errr.. conservation organisation WWF Australia:And uh, tech company Motorola:As well as government health organisations (hey, good thing that there isn’t a global pandemic going on, eh?

Facebook’s dumb algorithm even managed to ban the official Facebook page:What a bunch of drongos.

Follow Graham Cluley on Twitter to read more of the exclusive content we post.

Встречаются довольно креативные экземпляры: например, робот одной из сетей, торгующих ювелиркой, говорит голосами поп-звезд и приглашает на распродажи от их имени.

В отличие от роботов, довольно навязчивы и, если абоненту неудобно разговаривать, попытаются связаться с ним в другой день.

И в iOS, и в Android есть возможность блокировать звонки от определенных абонентов.

Минцифры предлагает обязать операторов сотовой связи передавать полученные от абонентов жалобы на спам в систему блокировки спам-звонков, которую будет поддерживать Роскомнадзор.

Обычная бесплатна, а премиум-версия доступна по подписке, которую можно оформить на месяц или на год прямо в приложении.

В декабре 2020 года Управление по надзору за качеством пищевых продуктов и медикаментов США одобрила вакцину Pfizer от COVID-19.

Неудивительно, что с началом пандемии в теневом сегменте Интернета заработал новый рынок, предлагающий все, что связано с темой коронавируса — от защитных масок до, конечно же, вакцин.

Конечно, если покупаешь что-то нелегальное, всегда есть риск выкинуть деньги на ветер, и вакцины в даркнете — не исключение из этого правила.

Поэтому нет ничего невероятного в предположении, что кто-нибудь из сотрудников смог присвоить некоторое количество «лишних» доз, чтобы продать через посредников в дарквебе.

В других странах люди обязаны предъявлять доказательство того, что не …

Наши эксперты обнаружили новую вредоносную кампанию, в ходе которой злоумышленники из группировки RTM применяют достаточно богатый арсенал инструментов.

Чтобы получатель гарантированно кликнул на вложение, письмо снабжается заголовком, который по мнению операторов атаки должен заинтересовать корпоративного получателя.

Сам по себе троянец не новый — он стабильно встречается в наших отчетах в разделе «TOP 10 семейств банковского вредоносного ПО» с 2018 года.

Если получатель кликает на вложение и устанавливает вредонос, то через некоторое время на его компьютер скачиваются и дополнительные хакерские инструменты.

Не исключено также, что аналогичная атака будет применяться и для атак на компании…

Потому что платить вымогателям не надо, и не только потому, что они не то чтобы честным трудом зарабатывают.

Так что тот факт, что вы ему заплатили, совсем не обязательно приведет к тому, что он позволит вам расшифровать файлы.

Но бывает и так, что мошенники, пошифровавшие и укравшие данные, просто решают потребовать выкуп еще раз — просто так, без основания.

Если злодеям не платить, то чего делать-то?

И не платить.

Кликнули по какой-то ссылке, и на открывшейся странице, очень похожей на экран входа в Facebook или Instagram, ввели свои учетные данные.

Вход с чужого устройстваНе исключено, что вы входили в Facebook или Instagram с чужого устройства — в гостях, в интернет-кафе, в гостиничном лобби и так далее — и не разлогинились после этого.

Для каждой соцсети путь к нужному пункту настроек будет свой — посмотрите, как это делается в Facebook и Instagram.

Затем зайдите в раздел «Входы в аккаунт»: если там нет подозрительных записей, значит, все в порядке, а сообщение о взломе все-таки было фишинговым.

Если же в списке входов в аккаунт вы действительно видите подозрительный, то самое время поторопиться п…

Поэтому мы решили разобрать с точки зрения кибербезопасности именно кинематографическую версию, а заодно сравнить вымышленный 2021 год с настоящим.

В оригинальном рассказе это были принципиальные противники технологий, но в экранизации они с технологиями вполне дружат.

Из чего можно сделать вывод, что с анонимностью в фантастическом 2021 году дело обстоит еще хуже, чем в реальности.

Тот же доктор предлагает достать данные и имплантат при помощи хирургического вмешательства, но с риском для жизни и гарантированными проблемами для здоровья пациента (но данные будут целы).

Причем речь даже не о социальных проблемах — я сейчас говорю именно с точки зрения кибербезопасности.

Но покопавшись в «Действиях вне Facebook», вы сможете узнать, кто и что рассказывает о вас соцсети, и отвязать от своего профиля лишнюю информацию, а это уже немало.

Какие данные сайты и приложения передают в Facebook«Действия вне Facebook» — это в первую очередь информация о вашем взаимодействии со сторонними сервисами.

Для этого:Перейдите в Настройки -> Ваша информация на Facebook -> Действия вне Facebook -> Управление информацией о действиях вне Facebook .

Для этого:Вернитесь в Настройки -> Ваша информация на Facebook -> Действия вне Facebook -> Управление информацией о действиях вне Facebook .

Чтобы Facebook перестал добавлять в ваш аккаунт данные конкретного ресурса:Перейдите в Настрой…

Давайте выясним, что и как делать, на примере заражения шифровальщиком.

Но он может быть далеко не на одной машине и даже не в одном офисе.

В-третьих, обучите сотрудников, чтобы они больше не наступали на такие грабли и не скачивали опасные файлы на рабочие компьютеры.

Если резервной копии нет, то придется пытаться расшифровать то, что есть.

Причем буквально со всеми: и с сотрудниками, и с акционерами, и с госструктурами, и, скорее всего, с журналистами… Говорить лучше честно и открыто, это ценят.

Самые простые способы — обращение к стороннему серверу (обычный sandbox не даст установить связь) или проверка параметров системы.

Поэтому мы разработали новое решение, которое может быть развернуто внутри корпоративной инфраструктуры: Kaspersky Research Sandbox.

Ключевые особенности Kaspersky Research SandboxKaspersky Research Sandbox не передает ничего из инфраструктуры.

Причем технологии Kaspersky Research Sandbox не просто отслеживают все происходящее в этой изолированной среде с помощью инструментов бихевиористического анализа, но и эмулируют работу человека в тестовой системе.

Подробнее о возможностях Kaspersky Research Sandbox можно узнать на странице решения.

Недавно мы говорили о том, как злоумышленники используют фишинг для захвата доступа к почтовым рассылкам компании и зачем им это нужно.

Вот достаточно свежий пример попытки такого захвата и к чему он может привести.

Особенно забавно, что в данном случае они пугают пользователя именно кибератакой.

Вполне вероятно, что злоумышленники используют один и тот же шаблон для атак на клиентов разных хостеров.

Вон там какой убедительный дисклеймер про то, как серьезно они относятся к безопасности, в том числе и к финансовой.

Рассказываем, где ждать подвоха и как защитить себя.

Участники криптовалютных сообществ Discord получают личные сообщения от «перспективной торговой площадки» — дескать, они победили в розыгрыше монет.

Подвох обнаруживается на этапе вывода выигрыша: чтобы перечислить биткойны или эфир на свой кошелек, нужно подтверждение аккаунта — а для этого требуется внести депозит на указанную сумму.

Так, в одной из фейковых новостных заметок Crypto24cap называют «одной из крупнейших бирж криптовалют» и «авторитетной платформой, которая подходит как для новичков, так и для более продвинутых пользователей».

Кроме того, контент на нескольких ресурсах часто дублируется, а в Интернете можно найти негативные…

В 2020 году этот процесс заметно ускорился, и в 2021-м вряд ли что-то изменится.

С одной стороны, в отношениях люди хотят, чтобы их принимали такими, какие они есть, и поэтому в Tinder и подобных ему приложениях они зачастую рассказывают о себе довольно много (в том числе правды).

Как сделать профиль в Tinder безопасным и приватнымВаш профиль в Tinder (я здесь говорю про Tinder, но в целом это справедливо и для остальных подобных приложений) должен содержать только три вещи.

Выбирайте фото из путешествий или на фоне каких-то достопримечательностей, без ваших личных данных и других людей в кадре.

Ну и в целом информацию о вас, которой прямо сейчас не обязательно быть публичной, лучше прятать.

Через 40 дней после отключения мы решили рассказать, как мир живет (почти) без Adobe Flash.

Вызвало ли это сбой в перевозках и что конкретно это были за системы — не так уж важно.

Как бы то ни было, команде техподдержки пришлось как следует побегать, чтобы восстановить работоспособность Adobe Flash на всех компьютерах на станциях этой железной дороги.

Блокировка Flash-контента включилась 12-го числа без дополнительного апдейта или сигнала — рубильник был встроен в код давно, даже не в последнем обновлении (8 декабря).

Более того, они, к сожалению, востребованы, и не только любителями Flash-игр, но и вполне серьезными компаниями, у которых сервисы (чаще всего внутренние) до сих работают на F…

Компания CD Projekt опубликовала заявление о том, что ее информационные системы пострадали от шифровальщика-вымогателя.

В группу компаний CD Projekt входит студия CD Projekt Red, известная по серии игр «Ведьмак» и нашумевшему проекту Cyberpunk 2077, а также игровой сервис Good Old Games.

На следующий день после инцидента представители CD Projekt официально заявили, что не планируют выполнять какие-либо требования злоумышленников и вообще не собираются вступать с ними в переговоры.

Сами представители CD Projekt не подтвердили, но и не опровергли подлинность этой информации.

Поэтому мы, как всегда, рекомендуем разработчикам программного обеспечения особенно тщательно относиться к среде разраб…

В Team Fortress 2 тогда появились стволы, которые считают убийства, и я хотел продать выпавший арбалет с этой приблудой.

Взамен мы купили ему деревянный меч, а я с чувством выполненного долга удалился».

Мораль: если вам предлагают какую-то услугу, убедитесь, что вы понимаете, о чем речь, и что она вам действительно нужна.

И если в этой истории рассказчик проявил милосердие к жертве, то в следующей мошенники себя не сдерживали.

Как защититься от развода в играхЧтобы вы не лишились денег, шмота и аккаунтов, мы составили список правил, которыми стоит руководствоваться в игровых сервисах.

Tactic; TechniqueInitial Access (TA0001); External Remote Services (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192) Execution (TA0002); Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047) Persistence (TA0003); Registry Run Keys / Startup Folder (T1060), Scheduled Task (T1053), Valid Accounts (T1078) Defense Evasion (TA0005); Code Signing (T1116), Deobfuscate/Decode Files or Information (T1140), Disabling Security Tools (T1089), File Deletion (T1107), Masquerading (T1036), Process Injection (T1055) Credential Access (TA0006); Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056) Discovery (TA0007); Ac…

Why so serious?

Через некоторое время отдел кадров удаляет фото (снимки экрана здесь и далее частично заретушированы, чтобы не раскрывать реальные имена), но оно упорно возвращается, его опять удаляют, и так происходит еще несколько раз.

В отделе кадров понимают, что намерения у кота самые серьезные, уходить он не хочет, и призывают на помощь веб-программиста — человека, который делал сайт и разбирается в нем, а сейчас его администрирует.

Программист заходит на сайт, еще раз удаляет надоевшего кота, выявляет, что его разместили от имени самого отдела кадров, затем делает предположение, что пароль отдела кадров утек к каким-то сетевым хулиганам, и меняет его.

Кот больше не появляется.

Today, Talos is publishing a glimpse into the most prevalent threats we’ve observed between February 26 and March 5.

Instead, this post will summarize the threats we’ve observed by highlighting key behavioral characteristics, indicators of compromise, and discussing how our customers are automatically protected from these threats.

Additionally, please keep in mind that IOC searching is only one part of threat hunting.

Detection and coverage for the following threats is subject to updates, pending additional threat or vulnerability analysis.

As always, please remember that all IOCs contained in this document are indicators, and that one single IOC does not indicate maliciousness.

And according to the Radicati Secure Email Gateway Market Guide 2020, that’s where Cisco Secure Email stands out above the rest.

Cisco Secure Email provides comprehensive protection for on-premises or cloud-based email by stopping phishing, spoofing, business email compromise, malware and other common cyber threats.

It’s those qualities that made Secure Email a leader for the 5th straight year in the Radicati Secure Email Gateway Market Quadrant.

Cisco Secure Email is integrated with the Cisco Secure Endpoint console and with Cisco SecureX.

For those companies moving their email security to the cloud, Cisco Secure Email Cloud Gateway provides the secure and easy migration that alleviate con…

According to the 2019 (ISC)2 Cybersecurity Workforce Study, higher percentages of women have reached senior positions in cybersecurity than men.

These roles have included chief technology officer (7% of women compared to 2% men) and C-level/executive (28% women compared to 19% men).

Which is all the more reason why all women of cybersecurity are worth celebrating.

In observance of International Women’s Day, Cisco got a group of women security experts together and asked them, “Who has meant the most to you as an ally?

Read Cisco’s eBook, Lifting Each Other Up: A Celebration of Women in Cybersecurity and Their Advocates For additional perspectives and insights on women in cybersecurity and th…

Zero trust means a lot of different things to a lot of different people, but I think we all can agree that the zero trust is NOT a single product or platform but a collection of capabilities.

The premise of zero trust and its framework can provide a more consistent security approach that reduces risk and increases security posture and overall effectiveness.

What does zero trust really look like from my perspective?

This is not a vendor’s product but a capability that moves us towards a zero trust model.

Glad you asked 😉What happens if zero trust fails and a compromise takes place?

In this blog, let’s take a closer look at software composition analysis, with a focus on security scanning of third-party software components in Cisco software.

This has increased awareness and concern among customers and security practitioners, accelerating the need for the proper management and hygiene of third-party software.

A few important observations to share about third-party software security scanning:Software is ComplexThere is a plethora of file formats, ranging from well-known Linux to proprietary formats.

Scaling and AdoptionCorona is interconnected with broader Cisco software processes and workflows to provide holistic third-party software visibility, traceability, and risk mi…

Today, Talos is publishing a glimpse into the most prevalent threats we’ve observed between February 19 and February 26.

Instead, this post will summarize the threats we’ve observed by highlighting key behavioral characteristics, indicators of compromise, and discussing how our customers are automatically protected from these threats.

Spotting a single IOC does not necessarily indicate maliciousness.

Detection and coverage for the following threats is subject to updates, pending additional threat or vulnerability analysis.

As always, please remember that all IOCs contained in this document are indicators, and that one single IOC does not indicate maliciousness.

On December 8, FireEye reported that it had been compromised in a sophisticated supply chain attack: more specifically through the SolarWinds Orion IT monitoring and management software.

If you were monitoring your network with Secure Network Analytics or Secure Cloud Analytics before the attack started, there should have been some signs of suspicious activity that would have surfaced in the form of alerts.

These are the alerts you should pay special attention to, in relation to the SolarWinds Orion compromise.

In order to do this, you can use Custom Security Events (CSE) in Secure Network Analytics to allow communications from your SolarWinds servers only to legitimate peers.

We have also …

This is somewhat true as well of this rush to remote working, especially for companies that had not previously entertained the concept of remote work.

Security cannot remain a secondary thought, and it was quickly understood that remote working led to new security challenges.

Cisco technology for secure, remote workAt the start of the pandemic, Cisco quickly took action to help our customers securely provision for remote workers.

However, collaboration can sometimes add more complexity, and that is why we have enhanced our Cisco Secure Remote Worker offering by coupling security with collaboration tools that make remote work more secure.

It is a cloud-native platform that connects our integ…

Triton is malware developed to affect industrial systems, particularly the Triconex safety system from Schneider.

This move enabled an engineering station within the safety system to be compromised (SIS: Safety Instrument Systems).

In order to carry out this attack, the attackers reverse-engineered the proprietary TriStation Protocol used to program the system.

These new permissions allow the content of the implant to be written in the system memory area.

However, these rules might fail detecting another Triconex attack as attackers would probably not use the exact same components.

An evolving security strategy for a new worldIn my last blog post, I talked about how you – as security teams – can continue to protect your assets while dealing with unfamiliar challenges.

“With Cisco’s cloud-based security technology, it didn’t matter where our staff was located.

If it’s not simple, it’s not secureWhile all-encompassing security is a necessary endeavor, the attack surface has expanded so much over the years that security technology has become too complex.

Through SecureX orchestration, security teams can automate workflows and playbooks for specific threats, such as the recent supply chain attack.

Streamlined processes lead to stronger protection, while freeing up securit…

Today, Talos is publishing a glimpse into the most prevalent threats we’ve observed between February 12 and February 19.

Instead, this post will summarize the threats we’ve observed by highlighting key behavioral characteristics, indicators of compromise, and discussing how our customers are automatically protected from these threats.

Spotting a single IOC does not necessarily indicate maliciousness.

Detection and coverage for the following threats is subject to updates, pending additional threat or vulnerability analysis.

As always, please remember that all IOCs contained in this document are indicators, and that one single IOC does not indicate maliciousness.

A step-by-step guide that generates positive results is available, so you may build strategies on globally implemented foundations.

Building a Positive Security Culture Using IntegrationsWell-integrated technology is the second most important factor in the success of cybersecurity.

Integration is also the most significant factor in establishing a security culture that the entire organization embraces.

Investment in flexible, frictionless technology, as opposed to traditional security awareness training programs, resulted in a more positive security culture.

It moves on to accurate detection, and timely response, and is crowned with building a positive security culture as a collateral result.

While security controls such as automated pH testing would have prevented the poisoned water from being distributed, this story highlights how much critical infrastructures, such as water utilities, have become vulnerable to cyber attacks.

In the United States, the America’s Water Infrastructure Act (AWIA) requires water utilities serving more than 3,300 people to develop or update risk assessments and Emergency Response Plans (ERPs).

This, and other recommendations, are well described in the whitepaper Cisco recently published on cybersecurity for water utilities.

What can water utilities do next?

Public safety, digital operations, and regulations demand water utilities to deploy reliable …

In cloud workload security, Cisco started in a different place; its organically grown, focusing on the needs of enterprises rather than the cloud native start-ups.

These SOCs aggressively leverage automation to tackle the Herculean task of cloud workload security; automation demands integration.

To address 2021 enterprise needs, Cisco Secure Workload has a plethora of integrations to extend these micro perimeter policies definitions.

Native integration with FMC allows Cisco Secure Workload to push policies to Cisco firewalls, extending micro perimeters with macro perimeter enforcement.

A key benefit of this is to effectively segment application workloads where Cisco Secure Workload cannot n…

Today’s business uses an average of 1,180 cloud apps¹, with many of those organizations securing their apps through cloud access security brokers (CASB).

The Microsoft Cloud App Security differenceMicrosoft Cloud App Security helps secure all your cloud apps using sophisticated analytics to combat cyber threats across both cloud-native and on-premises apps and services, Microsoft and non-Microsoft alike.

In all of your efforts to protect your cloud apps, Microsoft Cloud App Security delivers an easy and flexible solution with a basic investment of 15 hours to deploy.

And Cloud App Security can grow incrementally, enabling the perfect balance between security for your organization and produc…

The next time GoldMax runs, instead of using its embedded configuration data, it loads the configuration data from its configuration file stored on the file system.

The data from the configuration file typically matches the default configuration data embedded in GoldMax, since the embedded data was initially used to create the configuration file.

It then creates a configuration file on the file system (e.g., features.dat.tmp) and stores the Base64 encoded data in the configuration file.

After loading its configuration data, GoldMax checks the current date-time value of the compromised system against the activation date from the configuration data.

Type Threat name Indicator SHA-256 GoldMax …

Extracting a whole XLM macro can become a cumbersome task, requiring a cell-by-cell inspection of the whole document.

Malicious Excel file used in Zloader campaignA closer look at the document reveals an Excel sheet with an obscure-looking name.

That sheet embeds XLM macro formulas, which are stored several rows down to make the sheet look empty.

Malicious XLM macro used in ZLoader campaignExecuting and debugging the macro with Excel is not very straightforward either.

Note: When macro runtime scanning is enabled, the runtime performance of affected VBA projects and XLM sheets may be reduced.

For my team, seeing the Microsoft Intelligent Security Association (MISA) grow to 190 partner companies has been a bright spot in a dark year.

This year, we’re continuing to develop our holistic partner community across security, compliance, and identity by adding five additional Microsoft compliance products to our portfolio:Microsoft Information Governance: Keep what you need and delete what you don’t.

That’s why Microsoft compliance solutions span information protection and governance, data-loss prevention, insider risk, eDiscovery, audit, and compliance management—including your non-Microsoft data.

Microsoft 365 compliance enables organizations to extend, integrate, accelerate, and supp…

Microsoft has detected multiple 0-day exploits being used to attack on-premises versions of Microsoft Exchange Server in limited and targeted attacks.

CVE-2021-26855 is a server-side request forgery (SSRF) vulnerability in Exchange which allowed the attacker to send arbitrary HTTP requests and authenticate as the Exchange server.

Exploiting this vulnerability gave HAFNIUM the ability to run code as SYSTEM on the Exchange server.

Our blog, Defending Exchange servers under attack, offers advice for improving defenses against Exchange server compromise.

Microsoft Defender Antivirus detectionsPlease note that some of these detections are generic detections and not unique to this campaign or the…

This report assesses all AD FS applications for compatibility with Azure AD, checks for any issues, and provides guidance on preparing individual applications for migration to Azure AD.

Preview of Azure AD App Proxy support for traffic optimization by region.

General availability of Azure AD access reviews for all guests in Teams and Microsoft 365 groups.

And finally, I’m happy to share that we’re releasing a new Microsoft Identity and Access Administrator Certification, which you can find at the Microsoft Security Resources portal.

Follow Microsoft Identity at @AzureAD on Twitter for more news and best practices.

Powerful protection with Secured-core Server and Edge Secured-coreFollowing Secured-core PC, we are introducing Secured-core Server which is built on three key pillars: simplified security, advanced protection, and preventative defense.

Like Secured-core PC and Secured-core Server, Edge Secured-core advances built-in security for IoT devices running a full OS.

Edge Secured-core devices come with a built-in security agent, a zero-trust attestation model, and security by default, delivering on the following security features:Hardware-based device identity.

“Continuing the rich tradition of innovation in hardware security, AMD is excited to partner with Microsoft to enable Secured-core Server …

Identity: The starting point of a Zero Trust approachAdopting a Zero Trust strategy is a journey.

Security: Simplifying the “assume breach” toolsetIn today’s landscape, your security approach should start with the key Zero Trust principle of assume breach.

Security, Compliance, and Identity Fundamentals certification will help individuals get familiar with the fundamentals of security, compliance, and identity across cloud-based and related Microsoft services.

Security for allWe at Microsoft Security are committed to helping build a safer world for all.

To learn more about Microsoft Security solutions, visit our website.

Azure Sentinel accepts logs across your environment with many third-party security products and can go a step further with Azure Defender and Microsoft 365 Defender.

On the Microsoft 365 Defender side, we are working to reduce the number of portal experiences.

Today marks a significant milestone in that effort as we integrate the capabilities of Microsoft Defender for Endpoint and Defender for Office 365 together into the unified Microsoft 365 Defender portal.

You can learn more about these Azure Sentinel innovations on the Azure Sentinel Microsoft Ignite 2021 announcement blog.

To learn more about these and other Azure Security Center announcements, please read the Azure Security Center Mi…

Microsoft 365 data loss prevention now available in preview for Chrome and on-premisesEnabling a comprehensive and flexible approach to data loss prevention solutions is one of the most important ways to protect your data.

Microsoft’s unified data loss prevention approach provides simplicity, enabling you to set a data loss prevention (DLP) policy once and have it enforced across services, endpoints, and first-and third-party apps.

Microsoft Azure Purview provides new multi-cloud supportIn December 2020, we announced Azure Purview, a unified data governance service that facilitates the mapping and control of organizational data no matter where it resides.

Available now in preview, you can n…

We are open sourcing the CodeQL queries that we used in this investigation so that other organizations may perform a similar analysis.

The Solorigate-Readme.md within that repo contains detailed descriptions of each query and what code-level IoCs each one is attempting to find.

Our approach to finding code-level IoCs with CodeQL queriesWe used two different tactics when looking for code-level Solorigate IoCs.

One approach looks for particular syntax that stood out in the Solorigate code-level IoCs; the other approach looks for overall semantic patterns for the techniques present in the code-level IoCs.

Because it’s possible that the malicious actor could change both syntax and techniques, C…

This pivot will enable business and cybersecurity leaders to remain better aligned and more resilient to a broader spectrum of attack vectors and attacker motivations.

Historically, cybersecurity has tended to focus on the infrastructure, networks, and devices—without necessarily understanding how these technical elements correlate to business objectives and risk.

: explain security threats in business-friendly language and terminology that helps to quantify the risk and impact to the overall business strategy and mission.

You can read more on Microsoft’s recommendations for security strategy and culture here.

Bookmark the Security blog to keep up with our expert coverage on security matter…

In recognition of these investments, I am announcing that Gartner has listed Microsoft as a Representative Vendor in the 2020 Market Guide for Insider Risk Management Solutions.

Your input provides critical insights as we strive to enrich our Insider Risk Management solution to help you on your journey in identifying and managing insider risks.

To learn more about Microsoft Security solutions visit our website.

Gartner, Market Guide for Insider Risk Management Solutions, 29 December 2020, Jonathan Care, Brent Predovich, Paul Furtado.

Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact.

However, beyond revenue losses, there’s a risk for catastrophic damage and possible loss of life when OT systems are breached.

As this attack demonstrated, increased connectivity between IT and OT networks gives adversaries new avenues of attack for compromising unmanaged OT devices.

CISA has issued three basic recommendations for securing OT:Create an up-to-date, detailed inventory and map of your OT network.

As a Network Detection and Response (NDR) platform that uses passive monitoring and Network Traffic Analysis (NTA), it has zero performance impact on the OT network.

For more information on securing smart buildings and bridging the IT and OT gap, watch my SANS webinar presentation tit…

At Google, we implement a model known as Federated Security, where our security teams partner across our Product Areas to enable security program maturity Google wide.

Our Federated Security team believes in harnessing the power of relationship, engagement, and community to drive maturity into every product.

Security and privacy are team sports – it takes business leaders and security leaders working together to secure and protect our digital and physical worlds.

At Google, we implement a model known as Federated Security, where our security teams partner across our Product Areas to enable security program maturity Google wide.

Our Federated Security team believes in harnessing the power of…

Currently, Black Americans make up less than 12% of information security analysts in the U.S.

This initiative has garnered national and international attention and has been a force for educating and bringing awareness to the challenges Black security practitioners face in industry.

Camille is also a cybersecurity fellow at Harvard University, New America and Truman National Security Project.

Users being intentional about their digital security similar to their physical security especially with their mobile devices and apps.

At Google, security is core to everything we do and build, it has to be.

To make this easier, Chrome introduced the Password Checkup feature last year, which notifies you when one of the passwords you’ve saved in Chrome is exposed.

We’re now bringing this functionality to your Android apps through Autofill with Google.

Password Checkup on Android apps is available on Android 9 and above, for users of Autofill with Google.

On Android, you can request password generation for an app by long pressing the password field and selecting “Autofill” in the pop-up menu.

As always, stay tuned to the Google Security blog to keep up to date on the latest ways we’re improving security across our products.

Software written in unsafe languages often contains hard-to-catch bugs that can result in severe security vulnerabilities, and we take these issues seriously at Google.

That’s why we’re expanding our collaboration with the Internet Security Research Group to support the reimplementation of critical open-source software in memory-safe languages.

To date, our free OSS-Fuzz service has found over 5,500 vulnerabilities across 375 open source projects caused by memory safety errors, and our Rewards Program helps encourage adoption of fuzzing through financial incentives.

Open source security is a collaborative effort.

If you're interested in learning more about our efforts, please join us in the…

The latest news and insights from Google on security and safety on the Internet

Our rewards programs span several Google product areas, including Chrome, Android, and the Google Play Store.

Google PlayIt’s been another stellar year for the Google Play Security Rewards Program!

In 2020, the Google Play Security Rewards Program and Developer Data Protection Reward Program awarded over $270,000 to Android researchers around the world.

Research GrantsBesides reward payouts, in 2020 we also awarded over $400,000 in grants to more than 180 security researchers around the world, which is a record for this program.

We look forward to another year of working with our security researchers to make Google, Android, Chrome and the Google Play Store safer for everyone.

The following framework and goals are proposed with the intention of sparking industry-wide discussion and progress on the security of open source software.

With so many dependencies, it is impractical to monitor them all, and many open source packages are not well maintained.

At Google, we have those resources and go to extraordinary lengths to manage the open source packages we use—including keeping a private repo of all open source packages we use internally—and it is still challenging to track all of the updates.

A core part of any solution will be more automation, and this will be a key theme for our open source security work in 2021 and beyond.

The intention is to define collectively …

The overall approach to Android Security is multi-pronged and leverages several principles and techniques to arrive at data-guided solutions to make future exploitation more difficult.

Data-driven security decision-makingWe use a variety of sources to determine what areas of the platform would benefit the most from different types of security mitigations.

Reasoning About Security HardeningHardening and MitigationsAnalyzing the data reveals areas where broader mitigations can eliminate entire classes of vulnerabilities.

These mitigations theoretically may render some vulnerabilities useless, but more often serve to constrain the actions available to attackers seeking to exploit vulnerabiliti…

However, weak passwords expose you to security risks and should be avoided.

In Chrome 88, you can now complete a simple check to identify any weak passwords and take action easily.

So we’re proud to share that Chrome’s Safety Check is used 14 million times every week!

As a result of Safety Check and other improvements launched in 2020, we’ve seen a 37% reduction in compromised credentials stored in Chrome.

We also made password filling more secure for Chrome on iOS users by adding biometric authentication (coming soon to Chrome on Android).

atheris.Setup(sys.argv, TestOneInput)atheris.Fuzz()Atheris is a native Python extension, and uses libFuzzer to provide its code coverage and input generation capabilities.

Python Code CoverageAtheris is a native Python extension, and is typically compiled with libFuzzer linked in.

When you initialize Atheris, it registers a tracer with CPython to collect information about Python code flow.

Then, whenever a new Python line is reached, Atheris allocates a PC and 8-bit counter to that line; Atheris will always report that line the same way from then on.

For integer comparison, Atheris uses the appropriate function to report integer comparisons, such as __sanitizer_cov_trace_cmp8.

Starting today, the Chrome Vulnerability Rewards Program is offering a new bonus for reports which demonstrate exploitability in V8, Chrome’s JavaScript engine.

but we'd like to know more about the exploitability of different V8 bug classes, and what mechanisms are effective to go from an initial bug to a full exploit.

In the past, exploits had to be fully functional to be rewarded at our highest tier, high-quality report with functional exploit.

Any V8 bug report which would have previously been rewarded at the high-quality report with functional exploit level will likely qualify with no additional effort from the reporter.

V8 reports at the high-quality level may also qualify if they incl…

Crucially, this growth has been both in the design verification collateral required for high volume production-quality silicon, as well as the digital design itself, a first for any open source silicon project.

Innovating for Open Silicon DevelopmentBesides writing code, we have made significant advances in developing processes and security framework for high quality, secure open source silicon development.

On the strength of the OpenTitan open source project’s engineering progress, we are excited to announce today that Nuvoton and Google are collaborating on the first discrete OpenTitan silicon product.

We look forward to sharing more on the industry’s first open source root of trust silic…

Over the years, developers increasingly have relied on reusable open source components for their applications.

It is paramount that these open source components are secure and reliable.

With OSS-Fuzz , Google provides a platform for fuzzing open source software.

One of this year’s intern projects ported internal fuzz targets to OSS-Fuzz, which led to the discovery of new bugs.

But our dedication to security was still front and center as our intern team worked on improvements in open source software

Increasingly, security issues discovered in modern web applications hinge upon the misuse of long-standing web platform behaviors, allowing unsavory sites to reveal information about the user or their data in other web applications.

To improve the state of web security, we're inviting the security community to work with us on expanding the XS-Leaks wiki with information about new offensive and defensive techniques.

DefensesAn important goal of the wiki is to help web developers understand the defense mechanisms offered by web browsers that can comprehensively protect their web applications from various kinds of cross-site leaks.

The Security Team at Google has benefited from over a decade o…

Security keys and your phone’s built-in security keys are reshaping the way users authenticate online.

So, today we are releasing a new open source security key test suiteThe protocol powering security keysUnder the hood, roaming security keys are powered by the FIDO Alliance CTAP protocols , the part of FIDO2 that ensures a seamless integration between your browser and security key.

Over the last two years, our test suite grew to include over 80 tests that cover all the CTAP2 features.

Back in March 2020, we demonstrated our test suite to the FIDO Alliance members and offered to extend testing to all FIDO2 keys.

We got an overwhelmingly positive response from the members and have been work…