Почти половина компаний сознательно оставляет уязвимый код в ПОAlexander AntipovПриоритет бизнеса, заключающийся в скорости разработки и развертывания, затмевает потребность в безопасном коде.

Стремление к ускорению разработки и развертывания приложений превратилось из простой задачи разработчиков в приоритет бизнес-уровня, влияющий на чистую прибыль каждой компании.

Уязвимый код в ПО появляется чаще, чем следовало бы, однако почти в половине случаев это происходит вполне сознательно.

По результатам исследования , проведенного специалистами из ESG, почти половина (48%) организаций регулярно выпускают уязвимый код и знают об этом.

DevSecOps – важное направление в DevOps (наборе практик, наце…

Как перестать "тушить пожары" в ИТ и подружить эксплуатацию и информационную безопасность?

Результаты исследования по ИТ-болям в Азии и в России4.

AIOps позволяет избавится от пожаротушения в ИТ и ИБ в пять простых шагов:1.

Разное понимание состояния инфраструктуры и сервисов в ИТ и ИБ — еще один частый кейс.

Вывели на общий для ИТ и ИБ экран здоровья портала влияние балансировщика и низлежащего ИТ и ИБ-средств.

Эксперты представили новую кибербиологичесую атакуAlexander AntipovПредставленная исследователями атака позволяет заставить работающих с ДНК ученых непреднамеренно создавать опасные вирусы.

В понедельник, 30 ноября, специалисты университета имени Давида Бен-Гуриона в Негеве (Израиль) представили новую атаку, способную вывести методы ведения биологической войны на новый уровень.

Представленная исследователями атака позволяет заставить работающих с ДНК биотехнологов непреднамеренно создавать опасные вирусы и токсины.

Однако исследователям удалось обойти эти протоколы с помощью обфускации, в результате чего 16 из 50 обфусцированных образов ДНК не были обнаружены с помощью «ДНК-скрининга на луч…

Microsoft работает над запуском Android-приложений на Windows 10Alexander AntipovПроект, получивший название Latte, позволит переносить приложения на Windows 10 без каких-либо изменений в коде.

Компания Microsoft разрабатывает новое программное решение, позволяющее запускать Android-приложения на операционной системе Windows 10.

Проект, получивший название Latte, позволит переносить Android-приложения на Windows 10 без каких-либо изменений в коде, упаковывая их как MSIX, и публиковать в Microsoft Store.

Программный продукт работает на базе подсистемы Windows для Linux (WSL), и, чтобы разрешить запуск мобильных приложений в Windows 10, потребуется создать собственную подсистему для Android.

…

30 ноября - Международный день защиты информацииAlexander AntipovЦель Международного дня защиты информации - напомнить пользователям и производителям о необходимости защиты информации30 ноября ИБ-сообщество традиционно отмечает Международный день защиты информации, учрежденный в далеком 1988 году по инициативе «Ассоциации вычислительной техники».

Эта дата имеет объяснение - именно в ноябре 1988 года мир столкнулся с эпидемией одного из самых первых компьютерных червей, распространявшихся через Интернет, который был написан аспирантом Корнелльского университета Робертом Моррисоном (Robert Morris).

«Червь Морриса», получивший название по имени своего создателя, был запущен 2 ноября 1988 года …

Обзор инцидентов безопасности за период с 23 по 29 ноября 2020 годаAlexander AntipovКраткий обзор главных событий в мире ИБ за прошедшую неделю, в том числе так или иначе связанных с пандемией коронавируса.

Как и прежде, большую активность проявляли операторы вымогательского ПО, которые не только шифровали компьютерные сети своих жертв, но и публиковали данные.

Об этих и других событиях в мире ИБ, в том числе связанных с пандемией COVID-19, читайте в нашем обзоре.

То есть, я не знаю, как он должен выглядеть, чтобы система контроля не засекла это как техвключение, как чужеродный элемент.

«Госуслуги.COVID трекер» использует технологию Exposure Notification, разработанную компаниями Apple и Go…

Вымогатель DoppelPaymer атаковал дистрибьютора «Черного зеркала» и «Семейства Кардашьян»Alexander AntipovВ результате инцидента была похищена информация, касающаяся сотрудников и коммерческой деятельности компании.

Французская многонациональная компания Banijay Group SAS, занимающаяся производством и дистрибуцией популярных телешоу, подверглась кибератаке с использованием вымогательского ПО DoppelPaymer.

В результате инцидента злоумышленники похитили конфиденциальную информацию, касающуюся сотрудников и коммерческой деятельности компании.

Согласно сообщению Banijay, инцидент затронул только сети Endemol Shine Group и Endemol Shine International.

Компания уведомила о случившемся соответствую…

евро из банкоматов с помощью атаки black boxAlexander AntipovКиберпреступная группировка ограбила 35 банкоматов в Италии.

С помощью атаки black box всего за семь месяцев злоумышленники похитили порядка 800 тыс.

Атака black box является разновидностью атаки jackpotting, с помощью которой злоумышленники могут заставить диспенсер купюр банкомата выдавать наличные.

Для этого используется так называемая «черная коробка» (black box – черная коробка) – мобильное устройство или компьютер Raspberry, физически подключающийся к банкомату и отправляющий команду диспенсеру.

Атаки black box пользуются большой популярностью у киберпреступников, и несколько группировок специализируются на продаже соответст…

Специалисты предложили пересмотреть сроки перехода на отечественное ПОAlexander AntipovПереход потребует больших затрат, а менять оборудование необходимо постепенно, с учетом сроков износа имеющегося.

Представители Российского союза промышленников и предпринимателей (РСПП) считают невозможным переход на отечественное программное обеспечение с 2024 года, а на российское оборудование — с 2025 года.

Переход объектов критической информационной инфраструктуры (КИИ) на преимущественное использование российское ПО и оборудования должен осуществляться поэтапно, а сроки нужно пересмотреть, полагают в РСПП.

Проблема заключается в том, что компаниям в первую очередь придется устанавливать российское П…

Мошенники используют облачные сервисы Oracle и Amazon в целях фишингаAlexander AntipovЦелями фишинговой кампании являются преимущественно руководители малых и средних предприятий, а также крупных финансовых учреждений.

Злоумышленники организовали масштабную фишинговую кампанию, в рамках которой они используют облачные сервисы Oracle и Amazon для кражи учетных данных пользователей Office 365 в США и Австралии.

Как сообщили исследователи кибербезопасности из компании Mitiga изданию Bleeping Computer, хотя приманка является достаточно простой, кампания отличается изощренностью, поскольку преступники используют легитимные сервисы и web-сайты.

Преступники отправляют фишинговые сообщения со скомп…

Кибершпионы атаковали десятки отраслей новым вариантом бэкдора BandookAlexander AntipovНовый вариант Bandook поддерживает только 11 команд, тогда как предыдущие версии содержали до 120 команд.

Киберпреступники, подозреваемые в связях с правительствами Казахстана и Ливана, организовали масштабную вредоносную кампанию по кибершпионажу против множества отраслей и используют новую версию бэкдора 13-летней давности.

Вредоносное ПО Bandook использовалось в кампаниях 2015 и 2017 годов, получивших название Operation Manul и Dark Caracal соответственно.

Это свидетельствует о желании операторов уменьшить количество цифровых следов вредоносного ПО и повысить шансы вредоноса избежать обнаружения.

Кроме…

Защита электронной почты Microsoft 365 от сложных угрозAlexander Antipov2 декабря в 16:00 эксперты «Инфосистемы Джет» и Cisco расскажут о возможностях защиты электронной почты Microsoft 365 от сложных угроз.

Популярность и уязвимость облачной электронной почты.

Базовый набор встроенных средств защиты Microsoft 365.

ИБ-специалистам, находящимся в поиске инструментов повышения уровня защиты почты в облаке Microsoft 365Руководителям ИТ-подразделений, рассматривающим использование облачной почтыhttps://events.webinar.ru/jet/cloudsecurity0212Продолжаем нашу серию вебинаров , посвященную теме Cloud Security, на этот раз эксперты «Инфосистемы Джет» и Cisco расскажут о возможностях защиты электронн…

Доступ к электронной почте сотен руководителей компаний выставлен на продажуAlexander AntipovСтоимость доступа составляет от $100 до $1500 за учетную запись в зависимости от размера компании и должности пользователя.

На закрытом русскоязычном киберпреступном форуме Exploit.in продается доступ к сотням ящиков электронной почты директоров компаний по всему миру.

Продавец отказался объяснить, откуда у него логины и пароли, но сообщил, что их у него несколько сотен.

Как правило, операторы вредоноса фильтруют похищенную информацию, упорядочивают ее и выставляют на продажу на специализированных форумах или продают другим киберпреступникам.

Кроме того, с их помощью можно получить доступ к хранящей…

С 2019 года в мире резко увеличилось число компьютерных атак с использованием вирусов-вымогателейAlexander AntipovОсобенность атак текущего года стало то, что хакеры начали не только блокировать информацию, но и угрожать её разглашением.

Более тысячи компаний во всём мире стали жертвами кибератак с использованием вирусов-вымогателей в течение первых десяти месяцев 2020 года, сообщается в совместном отчете Trend Micro и японской деловой газетой Nikkei.

Они блокируют информацию и под угрозой удаление или распространения требуют перевести деньги на счета злоумышленников.

Особенность атак текущего года стало то, что хакеры начали не только блокировать информацию, но и угрожать её разглашением в…

Операторы вымогателя Conti потребовали у Advantech $13 млн за расшифровку файловAlexander AntipovОператоры Conti начали публиковать на своем сайте утечек похищенные у Advantech данные.

Вымогательское ПО Conti атаковало сети производителя систем автоматизации и чипов для устройств промышленного «Интернета вещей» (IIoT) Advantech.

За восстановление зашифрованных файлов и прекращение публикации похищенных у компании данных вымогатели требуют почти $13 млн.

После атаки операторы вымогательского ПО Conti потребовали у Advantech выкуп в размере 750 биткойнов (порядка $12,6 млн) за расшифровку всех данных и удаления похищенных файлов со своих серверов.

21 ноября операторы Conti предупредили компан…

Архитектура Fraud Hunting PlatformАрхитектура Fraud Hunting Platform включает в себя несколько функциональных блоков:Processing Hub (серверная часть Fraud Hunting Platform);антибот-модуль Preventive Proxy;клиентский модуль (Web Snippet и Mobile SDK).

Конструктор правилКонструктор правил в Fraud Hunting Platform позволяет не только быстро адаптировать различные правила под новые виды мошенничества, но и подстраивать Fraud Hunting Platform под уникальные ситуации заказчика.

Параметры цифрового отпечатка устройства во Fraud Hunting PlatformТехнические требования Fraud Hunting PlatformВарианты интеграции Fraud Hunting Platform в инфраструктуру клиентаРазвёртывание Fraud Hunting Platform предусм…

Подготовка ответной реакции на поражение информационной инфраструктуры предприятия вредоносными программами начинается с написания регламентов и обучения персонала действиям в таких ситуациях.

Схема будет актуальной как для компаний с действующим SOC, так и для тех, кто пока использует иные решения для мониторинга внешних угроз.

Прежде всего — не паниковать и не откладывать реагирование на инцидент.

С этой целью анализируются события массовых изменений файлов на узлах, объединённых общим процессом, или в сетевых папках с доступом для одной учётной записи или для их группы.

Процесс производится посредством специальных утилит для работы с метаданными файлов или с использованием механизмов кон…

Бурное развитие отрасли произошло в 2015–2016 годы, и с тех пор Threat Intelligence считается мировым трендом.

Среди основных проблем, стоящих перед разработчиками TIP в настоящее время, можно выделить:Отсутствие стандартизированного процесса обработки Threat Intelligence.

и на основе различных атрибутов (тип индикатора, время, тег, ключевое слово и т.

и на основе различных атрибутов (тип индикатора, время, тег, ключевое слово и т.

Ниже приведена сводная таблица, отражающая зависимость уровня зрелости от наличия определённых функций TIP на каждом из этапов процесса управления данными киберразведки.

У злоумышленников появляются перспективы удалённого вмешательства не только в учётные системы, но и непосредственно в сам процесс производства.

Это даёт нам ещё одну разновидность риска, связанную с необходимостью защищать их в соответствии с требованиями российского законодательства.

Управление инцидентами, аудит защищённости, тесты на проникновение — эти инструменты применяются только в офисной части, а производственная в смысле обеспечения информационной безопасности живёт ещё в прошлом веке.

Плохая новость: сотрудники корпоративных департаментов ИБ разбираются в особенностях работы промышленных систем не лучше, чем инженеры по АСУ ТП и SCADA — в обеспечении информационной безопасности.

…

Для приобретения доступны три редакции шлюза безопасности: «ИКС Стандарт», «ИКС Контент-фильтр» (для учебных заведений и библиотек) и «ИКС ФСТЭК».

В настоящий момент можно самостоятельно протестировать ИКС в течение 35 дней, скачав дистрибутив с демо-версией шлюза безопасности с сайта производителя.

Можно производить настройку ИКС в ручном режиме, а можно и воспользоваться мастером начальной настройки системы.

Просмотр опций Web Application Firewall в ИКСЗа контроль приложений в ИКС отвечает подраздел «Application Firewall».

Просмотр журнала событий ClamAV в ИКСПомимо антивирусной проверки в ИКС реализовано выявление нежелательных почтовых сообщений.

Согласно 5-му выпуску SSSC, сохраняются тенденции активного роста распространения Open Source.

Динамика вознаграждений Bug Bounty, полученных через платформу HackerOneНо надо отметить, что программа Bug Bounty оказывает положительное влияние и на решения Open Source.

Ресурс Coverity открыт, и с его помощью можно проверить необходимый пакет Open Source на наличие опасных уязвимостей и уровень поддержки проекта разработчиками.

Преимущества и недостатки использования решений Open SourceПереход на использование решений Open Source, как и любая другая парадигма, имеет свои преимущества и недостатки (см.

Для проектов Open Source в области ИБ репутационные риски более высоки, поэтому уважающие себ…

Атаки организованных группировок носят название APT (Advanced Persistent Threat), что в переводе означает «целевая кибератака».

Как же хакеры попадают в корпоративную сеть и, тем более, как в их руках оказываются важные данные?

История событий в файловой системе рабочей станции на macOSСтоит отметить, что в программе доступен произвольный поиск файлов по заданным критериям.

Всё это помогает собрать и исследовать данные одним инструментом и, что самое главное, в сжатые сроки.

Данный многофункциональный инструмент в зависимости от ситуации может быть использован как совместно с другими описанными выше утилитами, так и как самостоятельное ПО для проведения расследования инцидента.

ВведениеКоличество электронных устройств, окружающих нас как в повседневной жизни, так и в бизнесе, постоянно увеличивается.

Среди других драйверов роста интереса работодателей можно назвать навыки в области безопасности микросервисов (+ 113 %) и проверки безопасности кода (+ 43 %).

Архитектура облачной безопасности — рост на 103 %.

Сотрудники, обладающие навыками информационной безопасности в дополнение к основной специализации, востребованны во многих отраслях — от юриспруденции до здравоохранения.

Этот процесс будет продолжаться, а навыки кибербезопасности и в этом случае будут выступать драйверами роста заработной платы.

Как опытные производители DLP-решения мы хотим поделиться своими подходами, выработанными в период самоизоляции, которые помогли нашим заказчикам развернуть защиту от утечек и мониторинг удалённых сотрудников в новых условиях.

Динамика удалённых подключенийРассмотрим, какие дополнительные проблемные задачи возникли в направлении защиты от утечек и смежных с ней областях.

Мониторинг удалённой работыОтдельным серьёзным испытанием в период пандемии стал контроль эффективности работы удалённых сотрудников и равномерного распределения нагрузки между ними.

Возможности DLP-систем в «боевом» удалённом режимеВ целом системы класса DLP предоставляют вполне широкий набор возможностей для защиты конфид…

ПМ «Паспорт ПО» поддерживает автономный режим работы, при котором информация о состоянии программной среды изолированного подконтрольного объекта передаётся на сервер ПМ «Паспорт ПО» через съёмные машинные носители, а не по сети.

Установка и настройка ПМ «Паспорт ПО»Установка и настройка ПМ «Паспорт ПО» подробно описаны в эксплуатационной документации и не составляют сложности.

В случае правильной настройки серверного компонента ПМ «Паспорт ПО» в СУБД Microsoft SQL Server автоматически будет создана новая база.

Ввод информации о супервайзере ПМ «Паспорт ПО» при первом подключенииПароль супервайзера, установленный по умолчанию, должен быть изменён.

Информация о событии в ПМ «Паспорт ПО»ПМ «П…

Искусственный интеллект как инструмент информационной безопасностиЗа последние несколько лет ИИ-технологии стали активно внедряться в инфраструктуру информационной защиты бизнеса.

Конечно, кроме антивирусов и файрволов есть и более современные решения и методы на основе искусственного интеллекта.

В их основе — технология машинного обучения, как с учителем (supervised learning), так и без него (unsupervised learning).

Использование искусственного интеллекта и машинного обучения обычно предполагает наличие соединения как по локальной сети, так и с интернетом.

Нет, ИИ-технологии — это не сервис и не коробка с товаром, которые сразу же решают все проблемы с информационной безопасностью.

Мы привыкли к тому, что SOC — это центр реагирования на внешние инциденты из области информационной безопасности.

ВведениеПостроение и развитие центра мониторинга и реагирования на инциденты изначально задумано как непрерывный процесс, который позволяет обеспечить всестороннюю защиту информации.

Но как в случае с SOC, так и в случае с DLP такие подходы заведомо проигрышны.

DLP как сервисГорький опыт нынешнего года показал, что терять прибыль из-за нерадивых (или злонамеренных) сотрудников владельцы компаний не хотят.

Более того, консалтинговое (или, скорее, юридическое) сопровождение требуется не только в начале пути, но и на всех его этапах.

Зрители конференции AM Live, состоявшейся в конце октября, поделились с нами мнениями по актуальным вопросам, связанным с выбором эффективной системы защиты от DDoS-атак.

Спикеры, среди которых были представители ключевых разработчиков систем защиты от DDoS-атак, обсудили:текущую ситуацию на российском рынке защиты от DDoS — почему и кто покупает такие системы, особенности продуктов и сервисов в этом сегменте, существующие варианты лицензирования;технические особенности продуктов и сервисов защиты от DDoS — ключевые параметры, влияющие на их работу, особенности реализации отдельных функций, требования к инфраструктуре поставщика услуг или вендора;вопросы пилотирования защиты от DDoS;прогноз…

Если вы не ограничили «аппетиты» площадки сразу, попробуйте удалить часть накопленной информации.

Как удалить информацию о себе из FacebookFacebook собирает множество данных о действиях своих пользователей.

Поэтому она знает и помнит о вас многое: что и когда вы опубликовали, чей пост «лайкнули» и какую информацию искали.

В первую очередь рекомендуем скачать архив информации, накопленной Facebook о вас ― чтобы понять масштаб проблемы и просто на всякий случай.

В заключение рекомендуем вам посетить страницу «Действия вне Facebook», которая также располагается в разделе «Ваша информация на Facebook».

Исследователь Леннерт Вютерс (Lennert Wouters) из Лёвенского католического университета нашел красивый способ угона Tesla Model X через переписывание прошивки фирменного ключа к автомобилю. На фото ниже показано устройство для взлома, состоящего из батареи, компьютера Raspberry Pi и бортового компьютера Tesla, купленного на разборке. Себестоимость комплекта — около 300 долларов. Для успешной атаки (достаточно нетривиальной) придется приблизиться к владельцу автомобиля с ключом в кармане, а также заранее переписать VIN. По словам исследователя, проблема заключается в некорректной реализации достаточно защищенного протокола связи между брелком и бортовым компьютером Model X. Прежде всего, про…

В декабре OTUS при поддержке VolgaCTF и СTF.Moscow приглашает всех, кому близко направление ИБ, на онлайн-соревнования по поиску уязвимостей. Узнать подробнее и зарегистрироваться можно здесь. А пока рассказываем подробнее про формат и участие, а также вспоминаем, как прошло мероприятие в 2019 году. Читать дальше →

Детекция аномалий с помощью методов глубокого обученияВыявление аномалий (или выбросов) в данных - задача, интересующая ученых и инженеров из разных областей науки и технологий. Хотя выявлением аномалий (объектов, подозрительно не похожих на основной массив данных) занимаются уже давно и первые алгоритмы были разработаны еще в 60-ых годах прошлого столетия, в этой области остается много неразрешенных вопросов и проблем, с которыми сталкиваются люди в таких сферах, как консалтинг, банковский скоринг, защита информации, финансовые операции и здравоохранение.В связи с бурным развитием алгоритмов глубоко обучения за последние несколько лет было предложено много современных подходов к решению да…

Привет! Продолжая традицию, собрали «классические» и нетривиальные ИБ-инциденты, о которых писали зарубежные и российские СМИ в ноябре. И кстати, всех причастных – с международным днем защиты информации! Читать далее

Для работы с облачной инфраструктурой рекомендуется создавать SSH Jumpstation. Это позволяет повысить безопасность и удобство администрирования серверов. В этой статье мы расскажем, как настроить единую точку входа для подключений по ssh – SSH Jump Server. Для реализации выбраны два проекта с открытым исходным кодом. Читать далее

HackTheBox — популярная площадка среди специалистов информационной безопасности, проводящих тестирование на проникновение. Однако существуют не мене интересные CTF площадки для проверки и тренировки своих навыков, которые подойдут как начинающим, так и опытным пентестерам. Одной из таких площадок как раз является Vulnhub. Правда, на этом ресурсе выкладывают только виртуальные машины, и там можно найти целые серии виртуальных машин. Сегодня мы поговорим о серии Sunset и рассмотрим первую ВМ (sunset: 1). Читать дальше →

В этом году — на фоне общего кризиса — противостояние классических и децентрализованных соцсетей наконец стабилизировалось после многочисленных скандалов с участием первых и относительно скромных результатов — с точки зрения набора аудитории — у вторых. Но именно в период временного затаишься и наступает решающий момент для таких проектов. С одной стороны, широкая общественность действительно не торопится вникать в их устройство, тем более — изучать даже простейшие инструменты, без которых пользоваться альтернативными социальными и коммуникационными платформами будет невозможно. С другой — небольших P2P-соцсетей становится все больше, а конкуренция в этой нише продолжает усиливаться.Кажется…

В последние годы стало появляться большое количество сообщений о всякого рода уязвимостях в процессорах компании Intel. Самыми известными из них являются Spectre и Meltdown, основанные на ошибках в реализации спекулятивного исполнения команд. В июне 2020 года появилось сообщение о новой уязвимости, носящей название Crosstalk.В отличие от вышеупомянутых уязвимостей, Crosstalk представляет собой уязвимость при передаче данных от одного ядра к другому. Таким образом, средства защиты от уязвимостей, разработанные для преодоления утечек при спекулятивном исполнении внутри ядра, не могут защитить от Crosstalk. Для понимания сути такого рода утечки данных необходимо знать, что такое спекулятивное …

Продолжаю публикацию решений, отправленных на дорешивание машин с площадки HackTheBox. В данной статье мы получим список адресов электронной почты, выполним рассылку фишинговых писем, разместим PHP шелл через FTP, выполним произвольный код благодаря PyPI и повысим привилегии через GTFOBins pip3. Организационная информация

Чтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем. Читать дальше →

Есть такая очень старая и вросшая в *nix с корнями штука под названием «сигналы». Идея этих примитивов очень проста: реализовать программный аналог прерываний. Различные процессы могут посылать сигналы друг другу и самим себе, зная process id (pid) получателя. Процесс-получатель волен либо назначить функцию-обработчик сигнала, которая будет автоматически вызываться при его получении, либо игнорировать его с помощью специальной маски, либо же довериться поведению по умолчанию. So far so good. Поведение по умолчанию при получении сигнала… А что означают эти успокаивающие слова? Уверен, не то, что вы ожидали. Вики говорит, что обработчики 28 стандартных сигналов (существуют и другие!) по умолч…

Не спешите прокручивать мой пост - дело совсем не в коде, не в пороге вхождения, фреймворках или отсутсвия обратной совместимости.Я отношусь к PHP с той стороны, которая занята его размещением и безопасностью. Конечно, сейчас никаких трудов не составит запихнуть код с интерпретатором в контейнер, но вот безопасность...Смотрите - каждый раз, когда вы обращаетесь к своему коду через веб-интерфейс, вы запускаете интерпретатор, который считывает все файлы и формирует ответ. В том числе и файл, где вы так заботливо указали доступы к своей базе данных. И не спешите шифровать его - ведь ключ для расшифровки вам тоже надо где-то брать, верно?Я просто уже вижу, как воспользовавшись одной из уязвимос…

Среди диких инструкций, которым обязаны следовать студенты, использующие программы вроде ProctorU и Respondus, есть требования использовать зеркала и проводить трёхмерное сканирование своей комнаты В октябре этого года канадским студентам из университета Уилфрида Лорье, готовящимся к экзамену, пришлось запоминать не только сами знания, по которым их будут спрашивать. Им нужно было ещё выучить сложный набор инструкций о том, как эти экзамены проводить. В университете учится порядка 18500 студентов, и он стал одним из многих, принявших на вооружение специальные следящие программы, предназначенных для отлова списывающих учащихся. Университет заключил контракт с компанией Respondus, одной из мн…

Самыми значимыми на этой неделе стали новости об атаках на компании Belden и E-Land, а также об обнаружении в открытом доступе внушительного списка IP-адресов уязвимых FortiGate SSL VPN-шлюзов. Подробнее о каждом событии — под катом. Читать дальше →

Мобильные устройства стали практически единственным типом средств корпоративных коммуникаций во время пандемии.Поэтому решение задачи обеспечения информационной безопасности (information security) при удаленном доступе к корпоративным ресурсам - это не блажь, а вопрос активной жизни или ее отсутствия.Под катом мы рассмотрим варианты защищенных смартфонов, а также оценим связанные с их эксплуатацией (не)удобства. Читать дальше

Экспертный центр безопасности Positive Technologies (PT Expert Security Center, PT ESC) расследовал кибератаку вируса-шифровальщика на инфраструктуру одного СМИ, вернул доступ к данным, выявил двухлетнюю деятельность известной АРТ-группировки (предположительно с азиатскими корнями) и пресек ее.Полная версия расследования представлена по ссылке, а в этой статье мы поделимся его главными фактами. Читать далее

Издание ZDNet сообщает, что на форуме Exploit.in продают доступ к учетным записям нескольких сотен руководителей высшего звена.

Стоимость учетных данных колеблется от 100 до 1500 долларов в зависимости от размера компании и должности жертвы.

Так, ему удалось получить действительные учетные данные от двух аккаунтов: генерального директора американской компании по разработке ПО и финансового директора сети розничных магазинов одной из стран ЕС.

По данным аналитиков компании KELA, ранее этот злоумышленник проявлял интерес к покупке «логов Azor», то есть к данным, собранным с компьютеров, зараженных инфостилером Azorult.

Эту информацию обычно собирают операторы инфостилеров, фильтруют ее, систе…

Специалист компании Akamai Ларри Кэшдоллар (Larry Cashdollar) обнаружил хакерскую группу, которая весьма интересно использует взломанные сайты на базе WordPress.

Во-первых, хакеры запускают поверх этих ресурсов мошеннические интернет-магазины.

Хотя этот код был сильно обфусцирован, Кэшдоллар пишет, что основная роль данной малвари заключалась в том, чтобы действовать как прокси и перенаправлять весь входящий трафик взломанных сайтов на удаленный сервер преступников.

Кроме того, хакеры генерировали XML-карты для взломанных ресурсов, которые содержали записи о мошеннических интернет-магазинах наряду с аутентичными страницами сайта.

Злоумышленники создавали такие карты, «скармливали» их поиско…

Крупнейшая сеть центров репродуктивной медицины в США, US Fertility, сообщила, что некоторые из ее систем были зашифрованы в результате вымогательской атаки, произошедшей в сентябре 2020 года.

В сеть USF Fertility (USF) входят 55 медицинских учреждений в 10 штатах, и, согласно официальной статистике, именно благодаря USF и ее партнерам (Shady Grove Fertility, Центр репродуктивных наук Сан-Франциско, ЭКО Флориды и Центр фертильности Иллинойса) на свет родились боле 130 000 детей.

Официальное заявление USF гласит, что атака неназванной малвари произошла еще 14 сентября 2020 года.

Известно, что хакер находился в системах USF с 12 августа по 14 сентября 2020 года и за это время успел похитить н…

Издание ZDNet сообщает, что из-за ошибки сотрудника больницы в открытый доступ попали личные и медицинские данные 16 млн бразильцев, лечившихся от коронавируса.

Среди систем, учетные данные которых случайно попали на GitHub, были E-SUS-VE и Sivep-Gripe — две правительственные базы данных, используемые для хранения данных о пациентах с COVID-19.

Этот пользователь уведомил о своей находке бразильскую газету Estadao, которая изучила данные, а затем сообщила об утечке Министерству здравоохранения Бразилии и руководству медицинского учреждения.

В итоге утечка была удалена с GitHub, а правительственные чиновники изменили пароли и отозвали ключи доступа, чтобы обезопасить свои системы.

ZDNet отмеч…

В конце августа 2020 года компания Canon подверглась хакерской атаке.

Напомню, что тогда издание Bleeping Computer сообщало, что компания Canon пострадала от атаки шифровальщика Maze.

По информации СМИ, инцидент затрагивал электронную почту Canon, Microsoft Teams, американский сайт компании и другие внутренние приложения.

Операторы шифровальщика заявляли, что в общей сложности похитили у компании более 10 терабайт данных, включая приватные БД.

Теперь, когда спустя три месяца после атаки расследование было завершено, представители Canon подтвердили, что компания действительно стала жертвой шифровальщика, и хакерам удалось похитить данные во время атаки.

Они начали с неболь­ших шагов по авто­мати­зации рутин­ных пен­тестер­ских задач и их монито­рин­га, а затем прев­ратили свои наработ­ки в сер­вис ScanFactory .

Соз­датели ScanFactory, как и дру­гие пен­тесте­ры со ста­жем, тоже стол­кну­лись с этой задачей и сна­чала ста­ли решать ее для себя, а затем это вырос­ло в неч­то боль­шее.

Сей­час ScanFactory находит­ся в ста­дии ста­биль­ной беты и уже исполь­зует­ся в качес­тве пилотов в ком­пани­ях.

На вход отправ­ляем IP из пре­дыду­щего шага, а на выходе получа­ем откры­тые пор­ты и спи­сок запущен­ных сер­висов.

Что­бы срав­нивать стра­ницы меж­ду собой, в ScanFactory исполь­зуют тех­нологию Fuzzy Hashing на осно­ве алго­рит­ма SimHash, кот…

Специалисты Digital Defense сообщают, что в популярнейшей панели управления хостингом cPanel, которой пользуются владельцы более 70 000 000 доменов, обнаружили ошибку, позволяющую обойти двухфакторную аутентификацию (2ФА) учетных записей.

Учетные записи cPanel используются владельцами сайтов для доступа к своим ресурсами и управления настройками сервера.

По сути, доступ к таким аккаунтам имеет большое значение, так как в случае их взлома злоумышленник получит полный контроль над сайтом жертвы.

И если обычно атаки на перебор занимают долгие часы или даже дни, в данном случае атака требовала всего нескольких минут.

Теперь всех пользователей призывают как можно скорее обновить cPanel и WHM до …

Главе Apple по глобальной безопасности, 50-летнему Томасу Мойеру (Thomas Moyer), предъявили обвинения в даче взяток, так как он якобы предлагал сотрудникам правоохранительных органов в округе Санта-Клара, где находится штаб-квартира Apple, сотни бесплатных iPad в обмен на разрешения на скрытое ношение оружия для сотрудников компании.

Судебные бумаги гласят, что в ответ на это Мойер пообещал подарить офису шерифа 200 iPad общей стоимостью около 70 000 долларов США.

Теперь Сун и Дженсен обвиняются в получении и вымогательстве взяток.

Следствие утверждает, что в прошлом году, в обмен на лицензию CCW, он пообещал младшему шерифу Суну VIP-билеты на хоккейный матч, стоимостью 6000 долларов США.

П…

Британский поставщик решений для кибербезопасности Sophos уведомляет клиентов об инциденте, с которым компания столкнулась в начале текущей недели.

Официальное сообщение гласит:«24 ноября 2020 года Sophos стало известно о проблеме с правами доступа к инструменту, используемому для хранения информации о клиентах, которые обратились в службу поддержки Sophos».

Представители Sophos сообщили изданию ZDNet, что пострадали только «небольшие группы» клиентов, однако не уточнили даже приблизительное количество жертв утечки.

Также сообщается, что о неправильной конфигурации инструмента компания узнала от некоего исследователя безопасности, и в настоящее время найденная проблема была устранена.

Издан…

Сразу несколько ИБ-специалистов уведомили компанию Microsoft об ошибке на сайте Xbox, которая позволяла связать теги игроков (имена пользователей) с реальными адресами электронной почты.

Одним из специалистов, нашедших проблему, был Джозеф Харрис, и теперь он рассказал подробности о баге журналистам издания ZDNet.

Когда пользователь входит на Xbox Enforcement, сайт создает файл cookie в браузере с подробной информацией о веб-сессии, поэтому при следующем посещении сайта не придется проходить повторную аутентификацию.

Харрис объясняет, что cookie этого портала содержит поле ID пользователя Xbox (XUID), которое незашифровано.

«Пытаясь изменить значение cookie, я вдруг понял, что могу видеть e…

Французский ИБ-исследователь Клемент Лабро (Clément Labro) работал над созданием защитного инструмента, когда обнаружил, что Windows 7 и Windows Server 2008 R2 уязвимы перед багом локального повышения привилегий.

Хотя в последних версиях Windows DLL обычно загружаются с ограниченными привилегиями, Лабро пишет, что в Windows 7 и Windows Server 2008 по-прежнему можно загружать кастомные DLL, которые в итоге будут выполнены с привилегиями уровня SYSTEM.

Большинство исследователей сообщают Microsoft о серьезных проблемах с безопасностью в частном порядке, сразу после их обнаружения, однако в случае Лабро для этого было уже слишком поздно.

Лишь через несколько дней после релиза он начал анализир…

Check Point Research called out hackers affiliated with a group named Dark Caracal in a new report published yesterday for their efforts to deploy "dozens of digitally signed variants" of the Bandook Windows Trojan over the past year, thus once again "reigniting interest in this old malware family."

The concurrent use of the same malware infrastructure by different groups for seemingly unrelated campaigns led the EFF and Lookout to surmise that the APT actor "either uses or manages the infrastructure found to be hosting a number of widespread, global cyberespionage campaigns."

Now the same group is back at it with a new strain of Bandook, with added efforts to thwart detection and analysis,…

Featuring 98 hours of content from top instructors, The Ultimate 2020 White Hat Hacker Certification Bundle is the ultimate launchpad for your career.

It provides an incredible introduction to white hat hacking and helps you become a CompTIA-certified professional.

The courses in this bundle are separately worth $1,345, but The Hacker News has put together a special deal for readers.

Perfect for beginners and improvers alike, this bundle helps you master the fundamentals of cybersecurity and white hat hacking.

Order today to get lifetime access to all the courses at 97% off the full price.

Three Nigerian citizens suspected of being members of an organized cybercrime group behind distributing malware, carrying out phishing campaigns, and extensive Business Email Compromise (BEC) scams have been arrested in the city of Lagos, Interpol reported yesterday.

"The suspects are alleged to have developed phishing links, domains, and mass mailing campaigns in which they impersonated representatives of organizations," Interpol said.

Some of their mass email phishing campaigns took the form of purchasing orders, product inquiries, and even COVID-19 aid impersonating legitimate companies, with the operators leveraging Gammadyne Mailer and Turbo-Mailer to send out phishing emails.

"This gr…

cPanel, a provider of popular administrative tools to manage web hosting, has patched a security vulnerability that could have allowed remote attackers with access to valid credentials to bypass two-factor authentication (2FA) protection on an account.

The issue, tracked as "SEC-575" and discovered by researchers from Digital Defense, has been remedied by the company in versions 11.92.0.2, 11.90.0.17, and 11.86.0.32 of the software.

"The two-factor authentication cPanel Security Policy did not prevent an attacker from repeatedly submitting two-factor authentication codes," cPanel said in its advisory.

"This allowed an attacker to bypass the two-factor authentication check using brute-force …

Two popular Android apps from Chinese tech giant Baidu have been removed from the Google Play Store in October after they were caught collecting sensitive user details.

As of writing, a compliant version of Baidu Search Box has been restored to the Play Store on November 19, while Baidu Maps remains unavailable until the unresolved issues highlighted by Google are fixed.

A separate app named Homestyler was also found to collect private information from users' Android devices.

However, its vector detection ratio — the ratio of unwanted apps installed through that vector overall apps installed through that vector — was found to be only 0.6% when compared to alternative third-party app stores …

An adware and coin-miner botnet targeting Russia, Ukraine, Belarus, and Kazakhstan at least since 2012 has now set its sights on Linux servers to fly under the radar.

According to a new analysis published by Intezer today and shared with The Hacker News, the trojan masquerades as HTTPd, a commonly used program on Linux servers, and is a new version of the malware belonging to a threat actor tracked as Stantinko.

Although Stantinko has been traditionally a Windows malware, the expansion in their toolset to target Linux didn't go unnoticed, with ESET observing a Linux trojan proxy deployed via malicious binaries on compromised servers.

"Stantinko is the latest malware targeting Linux servers …

VMware has released temporary workarounds to address a critical vulnerability in its products that could be exploited by an attacker to take control of an affected system.

Tracked as CVE-2020-4006, the command injection vulnerability has a CVSS score of 9.1 out of 10 and impacts VMware Workspace One Access, Access Connector, Identity Manager, and Identity Manager Connector.

While the company said patches for the flaw are "forthcoming," it didn't specify an exact date by when it's expected to be released.

"If changes are required please revert the workaround following the instructions below, make the required changes and disable again until patches are available."

The vulnerability was disco…

Among the wide range of countermeasures, a web application firewall is the first line of defense.

With these increasing security risks, the new age web application firewall is the only solution that can provide proper protection.

This is where the requirement for a New Age Web application firewall comes in.

Challenges with Traditional WAFWe often hear from industry members who switched from traditional Web Application Firewall to next Gen WAF what made them switch.

The growing adoption of JSON payloads and HTTP/2 has left most web application firewall vendors battling to keep up.

Facebook has patched a bug in its widely installed Messenger app for Android that could have allowed a remote attacker to call unsuspecting targets and listen to them before even they picked up the audio call.

The flaw was discovered and reported to Facebook by Natalie Silvanovich of Google's Project Zero bug-hunting team last month on October 6 with a 90-day deadline, and impacts version 284.0.0.16.119 (and before) of Facebook Messenger for Android.

The gaffe was deemed so severe that Apple pulled the plug on FaceTime group chats altogether before it addressed the issue in a subsequent iOS update.

But unlike the FaceTime bug, exploiting the issue isn't that easy.

Silvanovich was awarded a …

GO SMS Pro, a popular messaging app for Android with over 100 million installs, has been found to have an unpatched security flaw that publicly exposes media transferred between users, including private voice messages, photos, and videos.

But checking the app's changelog, GO SMS Pro received an update (v7.92) on September 29, followed by another subsequent update, which was published yesterday.

The vulnerability stems from the manner media content is displayed when recipients don't have the GO SMS Pro app installed on their devices, leading to potential exposure.

"If the recipient has the GO SMS Pro app on their device, the media would be displayed automatically within the app," Tan said.

"…

Emotet is one of the most dangerous and widespread malware threats active today.

Here below is the rating of uploads to ANY.RUN service in 2019, where users ran over 36000 interactive sessions of Emotet malware analysis online.

Emotet has turned into polymorphic malware, downloading other malicious programs to the infected computer and the whole network as well.

Emotet then and nowAccording to a graph of the Emotet samples uploaded to ANY.RUN service, you can see the behavior of the malware in 2019 and 2020.

Early versions differ from the current one, even by its intentions — Emotet has developed from the banking Trojan to the loader.

A critical vulnerability uncovered in Real-Time Automation's (RTA) 499ES EtherNet/IP (ENIP) stack could open up the industrial control systems to remote attacks by adversaries.

RTA's ENIP stack is one of the widely used industrial automation devices and is billed as the "standard for factory floor I/O applications in North America."

It's recommended that operators update to current versions of the ENIP stack to mitigate the flaw.

CISA also advised users to minimize network exposure for all control system devices and ensure that they are not accessible from the Internet.

"Locate control system networks and remote devices behind firewalls, and isolate them from the business network," CISA sai…

Insert the annual cybersecurity budget in the dedicated cell Go through the three spend sections and add the names of the products, staff, and services you use (feel free to modify these sections based on your needs) Enter your planned spending for every month At the end of every month, enter your actual spending.

If it exceeds the planned one, the cell should become red.

At the end of each month, get clear visibility into your expected annual spent (actual spend so far + planned spent until the end of the year) vs.

The annual allocated budget.

Sound security budget planning and execution are essential for CIO's/CISO's success.Now, for the first time, the Ultimate Security Budget Plan and T…

"Some Apple apps bypass some network extensions and VPN Apps," Maxwell tweeted.

Of particular note is the possibility that the bypass can leave macOS systems open to attack, not to mention the inability to limit or block network traffic at users' discretion.

The change in behavior comes as Apple deprecated support for Network Kernel Extensions last year in favor of Network Extensions Framework.

"Apple deprecated kexts, giving us Network Extensions... but apparently (many of their apps/ daemons bypass this filtering mechanism."

Thus by circumventing NEFilterDataProvider, it makes it hard for VPNs to block Apple applications.

And if you’re a company, and you want to create a model, that’s your IP that’s, you know, that’s why you’re in business.

And yeah, I mean that’s, that’s really why healthcare is being targeted right now because they’ve got an increased attack surface.

I don’t know what the actual regulation would be, really depend on the advice that you’re, you’re talking about.

That’s, that’s the critical piece.

So you’re you’re annotating the dataset itself.

In this ongoing attack, cybersecurity experts warn, victims are targeted with a Zoom-related and Thanksgiving-specific hook reminiscent to ZoomBoming — call it TurkeyBombing.

The Turkey-Day themed email ploy leverages the juggernaut popularity of the Zoom Video Communications platform.

If someone takes the bait, the phishing page not only records the victims’ email addresses and passwords, but also their IP addresses and geographic location.

Millions Targeted, Thousands Fall VictimAs of the time of the original report, attackers had stolen more than 3,600 unique email credentials.

A raft of other security threats emerged soon after, forcing Zoom to take various actions to mitigate and elimi…

While 2021 will present evolving threats and new challenges, it will also offer new tools and technologies that will we hope shift the balance towards the defense.

With that in mind, here are some predictions about the world of cybersecurity going into 2021.

Sadly, continued attacks against healthcare and medical infrastructure will probably lead to serious consequences going into 2021.

From the perspective of cybersecurity, cryptominers have become a common payload for attackers simply going after compute resources.

The IoT Tsunami – and Connected CarsInternet of things (IoT) devices will continue to live largely unseen and unnoticed as they’re compromised.

Online shoppers are blissfully unaware of credit card skimming threats and malicious shopping apps as they head into this year’s Black Friday and Cyber Monday holiday shopping events.

In a new report this week, RiskIQ found that a full 64 percent of respondents are not aware of Magecart threats.

Despite this statistic, shoppers are concerned overall about security as they turn to online shopping during this holiday season.

In fact, health concerns related to the pandemic, and convenience, were respondents’ two primary reasons for online shopping in the report.

According to RiskIQ’s report, more than half (58 percent) of respondents plan to do 75 percent or more of their holiday shopping onl…

Now researchers from Intel and the University of Pennsylvania Medical School say they have found a solution: Federated Learning.

Federated Learning isn’t new.

“So they ended up coming up with this concept federated learning.

Federated Learning Improving OutcomesFederated Learning is being used to scan electronic health records to find patients with similar symptoms to predict hospital visits, mortality, ICU star time and more.

In addition to more precise diagnostics, Federated Learning promises to improve healthcare for everyone, regardless of proximity to expertise.

Security awareness rarely leads to sustained behavior change on its own, according to a recent analysis – meaning that organizations need to proactively develop a robust “human-centered” security program to reduce the number of security incidents associated with poor security behavior.

“The security team lets corporate communications or human resources have too much veto power,” she said via email.

This is considered the norm for any mature security awareness program, but even that was shot down by corporate administrative functions (like HR) that have no responsibility for securing the organization.

If the security team is responsible and accountable, we also have to be empowered to run th…

Some 50,000 targeted victims have been identified so far in a massive, global scam enterprise that involves 26 different malwares.

Three men suspected of participating in a massive business email compromise (BEC) ring have been arrested in Lagos, Nigeria.

While investigations are still ongoing, some 50,000 targeted victims have been identified so far.

The Russian BEC group, Cosmic Lynx, was spotted prowling around earlier this summer by researchers at Agari.

It has launched more than 200 BEC campaigns since July 2019, which have targeted individuals in 46 countries on six continents, according to Agari’s statistics.

Attackers are targeting the critical remote code-execution flaw to compromise systems in the healthcare, local government, logistics and legal sectors, among others.

Advanced persistent threat (APT) groups are actively exploiting a vulnerability in mobile device management security solutions from MobileIron, a new advisory warns.

Separately, the Cybersecurity and Infrastructure Security Agency (CISA) in October warned that APT groups are exploiting the MobileIron flaw in combination with the severe Microsoft Windows Netlogon/Zerologon vulnerability (CVE-2020-1472).

The FlawThe flaw, first reported to MobileIron by Orange Tsai from DEVCORE, could allow an attacker to execute remote exploits …

Updating Remote Access PoliciesThe first step in understanding whether your access policy is geared for a remote-reliant workforce is by auditing it against your organization’s security objectives.

The final step in access control in a remote work environment is to enforce encryption processes for remote network access.

This will allow you to mandate secure access to corporate resources for remote employees while verifying each user.

Don’t Forget Authentication and AuthorizationStrong password practices and multi-factor authentication (MFA) are the capstones to your remote access policies.

Remote Workforces of TomorrowReducing the risks of remote work starts with updating the access policie…

The team that hacked Amazon Echo and other smart speakers using a laser pointer continue to investigate why MEMS microphones respond to sound.

Imagine someone hacking into an Amazon Alexa device using a laser beam and then doing some online shopping using that person account.

This is a scenario presented by a group of researchers who are exploring why digital home assistants and other sensing systems that use sound commands to perform functions can be hacked by light.

The team does offer some mitigations for these attacks from both software and hardware perspectives.

On the software side, users can add an extra layer of authentication on devices to “somewhat” prevent attacks, although usabi…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Is your smart doorbell putting you at risk of cyberattacks?

– Spotify accounts hijacked en masse – Staying safe from SIM swappingThis week, the UK’s consumer watchdog Which?

published research showing that internet-connected doorbells contain serious vulnerabilities that expose their owners to a host of cybersecurity and privacy risks.

Researchers have spotted an unsecured database containing records that were used to hijack up to 350,000 accounts on Spotify.

Also this week, we looked at SIM swap fraud where a scammer takes over the victim’s phone number and go on to wreak major havoc on their life.

The operation, dubbed Carding Action 2020, was carried out over a span of three months and involved an analysis of 90,000 pieces of credit card information.

It was led by law enforcement authorities from Italy and Hungary and supported by their peers from both the United Kingdom and Europol.

Officers foil fraudsters from stealing €40 million in payment card scam in huge international operation.

90 000 pieces of card data analysed in 3 months.

Although the investigation is still ongoing, Interpol and its partners have been able to identify some 50,000 victims of the gang’s schemes.

“The FBI observed unattributed cyber actors registering numerous domains spoofing legitimate FBI websites, indicating the potential for future operational activity,” said the law enforcement agency.

For context, domain spoofing involves the creation of a website whose domain name has near-to-identical characteristics to the original.

Beyond increased vigilance, you can also take additional protective measures to defend yourself from website spoofing attacks and their consequences.

Use a reputable up-to-date security solution, which will protect you from most threats, including blocking known malicious websites and blocking potentially malicious downloads.

Use multi-factor authentication to …

Here’s why you should be on the lookout for attacks where someone can upend your life by first hijacking your mobile phone number.

How SIM swap fraud worksAlso known as SIM hijacking and SIM splitting, SIM swapping can be described as a form of account takeover fraud.

The victim’s personal information can also be gleaned from known data breaches or leaks, or via social engineering techniques, such as phishing and vishing, where the fraudster wheedles the information directly out of the target.

How to protect yourselfStart by limiting the personal information you share online, avoid posting your full name, address, phone number.

In summaryWhile SIM swap scams are ever-present and a threat to…

Usually applying some form of multi-factor authentication mitigates the chances of accounts being compromised, but Spotify doesn’t support the option.

The exposed database belonged to a 3rd party that was using it to store Spotify login credentials.

These credentials were most likely obtained illegally or potentially leaked from other sources that were repurposed for credential stuffing attacks against Spotify,” the researchers explained.

The continuing success of credential stuffing attacks can, in large part, be attributed to users having poor password hygiene.

People often commit many of the common cardinal sins of password creation and use, such as password recycling or even sharing the…

looked into 11 internet-connected video- and audio-equipped doorbells, finding disconcerting vulnerabilities in all of them.

Notably, this includes the Victure VD300 smart doorbell, listed as “the number one bestseller in ‘door viewers’”.

The device was found to send a Wi-Fi network password to servers in China unencrypted.

The lack of data encryption was overall a common find in the test and also affected video footage, which was often stored unencrypted.

Overall, the test’s findings are by no means unique as similar probes have been conducted before and also brought unflattering results.

Lazarus takes aim at South Korea via an unusual supply-chain attack – The harsh reality of poor passwords – Bumble bitten by bugsESET researchers have uncovered a novel Lazarus supply-chain attack that, in order to deliver malware, abuses legitimate South Korean security software and digital certificates stolen from two companies.

A list of the 200 most commonly-used passwords on the web in 2020 this year demonstrates again that various easy-to-guess combinations remain as popular as ever.

Security flaws in the popular dating app Bumble put the data of its almost 100 million users at risk.

All this – and more – on WeLiveSecurity.com.

From the impact of the pandemic on cybersecurity careers to workers’ job satisfaction, the report offers a number of interesting findingsFor the first time on record, the cybersecurity workforce gap has shrunk, the 2020 (ISC)2 Cybersecurity Workforce Study has found.

Job satisfaction among cybersecurity professionals is higher than ever.

Almost 8 in 10 professionals worldwide said that they are required to hold some kind of certification.

Almost 8 in 10 professionals worldwide said that they are required to hold some kind of certification.

The salary is also influenced by whether the role the employee holds is security-focused or a general IT role, with the former being rewarded with a high…

Here’s how to improve your password security.

Cybersecurity experts often share advice about the do’s and don’ts of passwords as a vital part of good cyber-hygiene practices.

NordPass has just revealed the 200 most commonly used passwords on the web in 2020, showing yet again that various easy-to-guess combinations of numbers remain as popular as ever.

Seven out of the top ten worst passwords were made up of various numerical combinations, with “123456”, “123456789” and “12345678” occupying the first, second and fifth places, respectively.

Moreover, all of these passwords, except “picture1”, could be cracked in less than a second.

Sarda and her team wrote a Proof-of-Concept script that enabled them to find users by sending unlimited requests to the server.

The researchers were able to enumerate all Bumble users and retrieve a treasure trove of information about them.

Also, they’d have access to information users share on their profile such as height, religious beliefs and political leanings.

Interestingly, the researchers were able to retrieve further user data even after Bumble locked down their account.

This still works for an unvalidated, locked-out user, so an attacker can make unlimited fake accounts to dump user data,” said Sarda.

ESET researchers uncover a novel Lazarus supply-chain attack leveraging WIZVERA VeraPort softwareESET telemetry data recently led our researchers to discover attempts to deploy Lazarus malware via a supply-chain attack in South Korea.

AttributionWe strongly attribute this supply-chain attack to the Lazarus group, based on the following aspects:Community agreement: The current attack is a continuation of what KrCERT has called Operation Bookcodes.

Initial Access T1195.002 Supply Chain Compromise: Compromise Software Supply Chain The Lazarus group pushed this malware using a supply-chain attack via WIZVERA VeraPort.

Defense Evasion T1036 Masquerading The Lazarus malware masqueraded as a South…

ESET research uncovers a backdoor targeting POS systems – Why you shouldn’t share your Netflix password – Data of millions of hotel guests exposedESET researchers have discovered ModPipe, a modular backdoor that targets POS software used in the hospitality industry and provides its operators with access to sensitive information stored by the software.

Also this week, we looked at why you shouldn’t share your password for Netflix, Spotify and other media services with your partner or friends.

Millions of hotel guests worldwide have had their personal data exposed after a booking software provider left the information on an unprotected server.

All this – and more – on WeLiveSecurity.com.

It’s also important to note that not every cybersecurity career needs a university degree, although having one won’t hurt.

In our second article dedicated to celebrating Antimalware Day, we look at some of the steps you can take while climbing the cybersecurity career ladder.

System administratorSystem administrator is actually one of the stepping-stone professions on the way to a cybersecurity career.

Sysadmins, however, do need to have stellar knowledge of cybersecurity topics to perform their jobs properly; these ten commandments illustrate just how much cybersecurity impacts their work.

Information security, knowledge of Linux, network security, information systems, and project manageme…

The last three weeks have seen a bumper crop of patches for zero-day bugs across software from Google, Apple and MicrosoftGoogle has patched two new zero-day vulnerabilities in its Chrome web browser, bringing to five the number of fixes for actively-exploited bugs in the browser over the past three weeks.

Otherwise, you’ll have to do it manually by navigating to the About Google Chrome section, which can be found under Help in the side menu.

In October, Google patched an actively-exploited zero-day bug indexed as CVE-2020-15999 and affecting FreeType, a widely-used software library that is also a Chrome component.

Early this month, Google issued another Chrome update, this time fixing two …

persistent loader – unpacks and loads the next stage of the malware, namely the main module.

main module – performs the main functionality of the malware.

networking module – module used for communication with C&C.

Persistent loaderThis component is responsible for both unpacking the main module and for its injection into one of the following processes:lsass.exewininit.exeservices.exeTo unpack the main module, the persistent loader uses different approaches for the 32-bit and 64-bit versions.

T1573.001 Encrypted Channel: Symmetric Cryptography ModPipe encrypts communication with C&C using AES in CBC mode.

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

How to do cybersecurity – join us online for the Sophos Evolve event!

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Pioneered by IBM Research scientists, the company is now offering quantum-safe cryptography support for key management and application transactions in IBM Cloud, making it the industry’s most holistic quantum-safe cryptography approach to securing data available today.

This agenda includes the research, development and standardization of core quantum-safe cryptography algorithms as open source tools such as CRYSTALS and OpenQuantumSafe.

Today, as the next step in that agenda, IBM is bringing its industry-leading encryption capabilities built by IBM Research cryptographers to help clients with a quantum-safe cryptography approach for their data-in-transit within IBM Cloud.

In addition, IBM C…

To select a suitable pentesting solution for your business, you need to think about a variety of factors.

Tonimir Kisasondi, co-founder, ApaturaAny penetration testing is a tradeoff between scope definition, number of issues found and allocated time and budget.

Daniel Martin, Founder, Security RootsThere are several key questions to answer before considering a pentesting solution or partner.

Josh Wyatt, VP, Security Services, Rapid7First things first, it is important to understand your business and your business risk.

Then, a plan of action can be designed, and this plan will have the organization’s assets and the penetration testing services that align with them.

Of course, it was never publicly admitted, but it led to Iran responding by hacking a casino in Las Vegas.

This sparked the need to reevaluate all the threats against the country and place cyber threats among the top three.

Cyber weapons are relatively cheap and as such can be used by any country, rich or poor, to greatly, or even irreversibly, harm another country or company.

They can influence the way we think and alter how we perceive things and events.

Nevertheless, it is a captivating and spine-chilling documentary, that will make anyone stop and think about the world we are living in.

The cyber pandemicThe pandemic has digital consequences as well, for both enterprise networks and OT networks.

What if there were a vaccine for the cyber pandemic?

What if there were a vaccine that could prevent OT attacks and the OT ransomware that has shut down hundreds of industrial sites in 2020?

Unidirectional Security GatewaysThe good news – future-proofing our most important services and industries from the cyber pandemic is not as difficult as a COVID vaccine.

Unidirectional hardware prevents attacks from entering industrial networks, while unidirectional gateway software makes copies of databases and other servers from industrial networks to external networks.

With up to 75 percent of remote device management projects deemed “not successful,” in 2020, IoT deployment has been limited in realizing its full potential.

Path to IoT project successHowever, a new wave of affordable silicon that provides a wide array of features and functionality, in conjunction with the maturation of pre-packed software, will lead to a substantial increase in IoT project success in the upcoming year, predict experts at Sequitur Labs.

While there are many reasons for IoT deployment struggles, the most common ones involve project complexity, lack of required skills and the inability to implement effective security.

Being heavily involved in the IoT security space, there a…

Growing people-centric innovationThe study shows that 84% of global decision makers are accelerating their digital transformation plans, in response to growing demands from users, who want more flexibility to work remotely in the future.

During COVID-19, global decision makers cited three main impacts on their enterprise applications strategies.

It is perhaps unsurprising that 84% of global decision makers want to encourage colleagues to work remotely more often following the lockdown, which is mirrored by 69% of global users who also want the same flexibility.

However, there are challenges ahead, as 34% of global decision makers say they must break down silos of information across their or…

HD-PLC Alliance has started standardization work that will allow the use of enhanced network security functions, with the aim of using High-Definition Power Line Communication technology in the fields of smart grids and distributed power management.

HD-PLC (hereinafter referred to as HD-PLC) technology has already been standardized as IEEE 1901 (Broadband over Power Line Networks for MAC and PHY) by the IEEE Standards Association.

Current HD-PLC technology offers extremely high security at the device level, including continuous encrypted communication and authentication between compatible devices.

Last year, HD-PLC Alliance led the development of the IEEE 1901a standard, a next-generation H…

Databricks announced that Microsoft Azure Databricks has received a Federal Risk and Authorization Management Program (FedRAMP) High Authority to Operate (ATO).

“When Databricks received FedRAMP High approval, we were able to move quickly to inherit that same Azure ATO and approve Azure Databricks for production workloads.

“FedRAMP High authorization for Azure Databricks further enables federal agencies to analyze all of their data for improved decision making and more accurate predictions.”“We are pleased to add Azure Databricks to our portfolio of services approved for FedRAMP at the high impact level in Microsoft Azure Government,” said Lily Kim, General Manager of Azure Government at Mi…

cPanel 2FA bypass vulnerability can be exploited through brute forceA two-factor authentication (2FA) bypass vulnerability affecting the popular cPanel & WHM software suite may allow attackers to access secured accounts, Digital Defense researchers have found.

Automation to shape cybersecurity activities in 2021Automation will play a major role in shaping cybersecurity attack and defence activities in 2021, WatchGuard predicts.

VMware releases workarounds for another critical flaw (CVE-2020-4006)For the second time in less than a week, VMware is warning about a critical vulnerability (CVE-2020-4006).

This time, the affected solutions are VMware Workspace One Access, Access Connector, VMware…

Drupal has released out-of-band security updates to fix two critical code execution flaws (CVE-2020-28948, CVE-2020-28949) in Drupal core, as “there are known exploits for one of core’s dependencies and some configurations of Drupal are vulnerable.”The vulnerabilities (CVE-2020-28948, CVE-2020-28949)CVE-2020-28948 and CVE-2020-28949 are arbitrary PHP code execution vulnerabilities found in the open source PEAR Archive_Tar library, which Drupal uses to handle TAR files in PHP.

“(The) vulnerabilities are possible if Drupal is configured to allow .tar, .tar.gz, .bz2, or .tlz file uploads and processes them,” the Drupal Security Team explained.

Thus, preventing untrusted users from uploading th…

Group-IB has revealed the results of its yearslong development of proprietary high-tech products for threat hunting and research — Threat Intelligence & Attribution and Threat Hunting Framework.

Today, Group-IB presented the result of the evolution of its proprietary high-tech crime investigation and cyberattack prevention product line, which includes two innovative solutions: Threat Hunting Framework (THF) and Threat Intelligence & Attribution (TI&A).

Detection is never enoughGroup-IB Threat Hunting Framework (THF) is the first all-in-one solution for protection of both IT and OT networks.

In response to this threat, Group-IB for the first time presented its cloud-based solution for the pr…

DDoS, web application, bot, and other attacks have surged exponentially compared to the first half of 2019, according to CDNetworks.

Over 4.2 billion web application attacks were blocked in H1, a figure that is 8 times higher than the same period in 2019.

It is also worth noting that web application attacks in the public sector surpassed attacks in retail venues, making the public sector the single most attacked industry during this period.

In fact, over 1 billion of the web attacks were targeted toward the public sector, which accounts for 26% of total attacks.

Attacks rising in all vectors and typesThe report makes it clear that attacks are rising in all vectors and types year over year.

Third-party risk management (TPRM) professionals increasingly do not trust that security questionnaires provide sufficient information to properly understand and act on their third-party risk, according to RiskRecon and Cyentia Institute.

As a result, the study found more enterprises are moving towards data-driven third-party risk management programs.

This study reveals that risk professionals widely are of the opinion that questionnaire-based assessments are sufficient for managing third-party risk.

“Increasingly, third-party risk teams are adapting the risk management strategies deployed to protect their internal enterprise – rapid acquisition and analytics of objective data that reveal t…

The study surveyed 500 employees and 200 business decision makers in September 2020 about remote working, digital security behaviours, and the worries they now face.

Remote workers’ information protection concerns76% of workers were surprised with how well they had adapted to remote working.

: 45% of employers have had to ask their employees to use their personal devices for work purposes since the start of the pandemic.

No remote BYOD policies: 42% of employers are yet to secure those remote employee’s personal devices.

As a result of the move to remote working, employers are focused on investment in digital security.

The study analyzes 1,736 cyber-related insurance claims worth EUR 660mn (US$ 770mn) involving AGCS and other insurers from 2015 to 2020.

Employers and employees must work together to raise awareness and increase cyber resilience.”Growth of the global cyber insurance market fueling cyber insurance claimsThe number of cyber insurance claims has steadily risen over the last few years, up from 77 in 2016, when cyber was a relatively new line of insurance, to 809 in 2019.

This steady increase in claims has been driven, in part, by the growth of the global cyber insurance market which is currently estimated to be worth $7bn according to Munich Re.

There were nearly half a million ransomware incid…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This will give us multiple ways to install and integrate the Nikto web scanner into our tool sets.

GitHub-based installationWhile the Nikto web scanner can be installed from most operating systems’ software repositories, installation from GitHub will always ensure you have the latest version of Nikto working with your system.

To begin the installation from GitHub, clone the git repository:git clone https://github.com/sullo/niktoSwitch to the nikto/program folder:cd nikto/programYou can now use the Nikto website vulnerability scanner to scan any website or IP address.

First, refresh your APT package lists and install any pending updates:sudo apt-get update && sudo apt-get upgradeNext, instal…

Vertical privilege escalationVertical privilege escalation can best be illustrated with a look at a phishing email.

With horizontal privilege escalation, attackers need to use more sophisticated techniques and tools, exploit known security vulnerabilities, etc.

Privilege escalation techniquesThere are numerous privilege escalation techniques attackers use to gain high-level permissions and privileges.

We’ll be talking about the most common privilege escalation techniques in use, but a more in-depth list can be found here.

Privilege escalation on WindowsThe Windows operating system has many privilege escalation methods.

OpenVAS/GVM is a fully-featured vulnerability scanner, but it’s also one component of the larger “Greenbone Security Manager” (GSM).

* The problem encountered here is that OpenVAS was renamed GVM (Greenbone Vulnerability Management), so we need to adjust the commands appropriately.

*sudo apt install software-properties-common sudo add-apt-repository ppa:mrazavi/gvmA prompt like the following will be displayed:Press Enter and the PPA* will be added to the system.

We will install PostgreSQL and fetch package data before installing GVM:sudo apt install postgresql sudo apt updateWe should now be able to install OpenVAS/GVM.

We attempted a third scan using the subnet, but this time using one of …

This is how watching for indicators of attack, before an event fully happens, can work for you.

Indicators of attack vs indicators of compromise: main differencesIndicators of compromise consider, as we saw in the introduction, reactive detection of a security breach by showing evidence of a breached system.

Indicators of attack, or IoA reflect a series of events and actions attackers must execute in order to gain unauthorized access to a system or a network.

Indicators of attack detect an active attack in real time, before the final goal of the exploit, data theft, or similar operation is achieved.

For successful attack discovery, threat detection and the overall security of your network, …

While API access points may change over time, using an API wrapper will ensure the way you call the API always remains the same in your code.

Generate an API keyTo use the PHP API wrapper, you first need a SecurityTrails API™ key.

This will download the SecurityTrails API™ PHP Wrapper into your current folder:git clone https://github.com/arjitc/SecurityTrails-PHP-Wrapper.git cd SecurityTrails-PHP-WrapperIn this folder, you’ll find the API wrapper named securitytrails.php, which can now be included in your existing project.

These newer features are added to the API wrapper as well, and in order to access these new features we need to update the API wrapper.

To update your PHP-based API wrapp…

We’ll be focusing on those more sophisticated and targeted watering hole attacks, but their techniques don’t differ all that much.

Watering hole attack examplesThe most targeted groups for watering hole attacks are government agencies, human rights groups, public authorities and financial institutions.

While we mentioned that watering hole attacks aren’t among the most common types of cybercrime around, there have been a few notable real-world examples.

How to prevent watering hole attacksThe prevention of watering hole attacks, just like that of any highly targeted attacks, can be challenging.

ConclusionWhile not common, watering hole attacks are particularly dangerous as they use social e…

A couple of months ago we were delighted to share big news about one of the hottest features of SurfaceBrowser™: SQL Explorer.

Today we’re excited to announce the immediate availability of Regex (RLIKE) support for hostnames in SQL Explorer.

Find all domains that start with the word “paypal”The code will be similar to this:select domain.hostname from hosts where domain.hostname rlike "paypal[a-z]*.

We simply need to add “AND domain.subdomain is null” to our previous query:The output will look like:And is numeric regex supported?

Access SQL Explorer today The SQL Explorer preview is now available to interested customers.

Data loss prevention, or DLP, is a set of procedures and tools used to prevent data loss, by ensuring that an organization’s data isn’t misused or accessed by unauthorized users.

Why you should implement data loss preventionData loss prevention has been around for some time now.

Data loss prevention use casesEnsuring data security grows more challenging every day, making DLP solutions an attractive prevention method.

A good DLP solution should be able to classify sensitive data automatically, so measuring the percentage of wrong classification will help determine how much you can “trust” your DLP solution to protect critical data.

DLP is not the be-all end-allOkay so, you’ve started using a…

We were intrigued and wanted to investigate further, so for our second Recon Safari we’re going to look at what OSINT data we can uncover from these spoofed domains.

You can find all domains registered on 08-09-2018 in the spreadsheet above, categorized under the orange label.

In a couple of these orange-labelled domains, we were able to find historical WHOIS data pointing to a @census.gov email.

This WHOIS data should look familiar because we found WHOIS data associated with this person/organization in 7 of the spoofed domains identified above.

With the power of our “Associated Domains” engine, we discovered 400+ associated domains.

Simply put, Shodan is a search engine for IoT devices.

Shodan crawls the internet all day and night looking for IoT devices and indexes them for easy reference via a simple search query.

With this IoT device information, we’re able to discover many, many things about the public internet-connected devices in our homes, offices and beyond.

Recently SharedThe Recently Shared device list contains a frequently updated list of “trending” IoT devices.

This list features IoT devices which are newly discovered, or devices that are popular and are being shared on Shodan.

What happens in the sandbox, stays in the sandboxA sandbox is a preventative analysis technology used for security deception.

When running without a sandbox, an application can require access to many of your system’s critical resources.

Sandboxing programs - A good example of a sandboxing program is the popular Sandboxie, a sandbox for Windows.

By isolating threats and malware, security researchers can learn more about new threats, which will help stop future attacks.

Remember — what happens in the sandbox, stays in the sandbox.

Let’s now discover what Attack Surface Mapper is, by exploring the installation, configuration, and testing process.

Attack Surface Mapper, as its name implies, is a free, multi-platform (for Linux, macOS, and Windows) tool used to create a full map of your attack surface.

InstallationInstalling Attack Surface Mapper is pretty straightforward, requiring only three simple commands to get it working.

Let’s cover the process step by step:Download Attack Surface Mapper from their Github repo:$ git clone https://github.com/superhedgy/AttackSurfaceMapper Cloning into 'AttackSurfaceMapper'... remote: Enumerating objects: 66, done.

SummaryAttack Surface Mapper stands out among reconnaissance tools …

Cyber exposure is considered to be the worst-case scenario in the event of an organization suffering a cyber attack, and the probability of the attack occurring.

What you don’t know, will hurt you: The cyber exposure gapWhile talking about cyber exposure, there is one term we should go over to aid in understanding the entire concept of exposure.

Measure effectiveness, rinse, and repeatAfter every cyber exposure life cycle, there is that time when victories and losses both need to be counted and the effectiveness of cyber exposure techniques and tools is measured.

Cyber Exposure IndexThe Cyber Exposure Index is the result of a research project that looks at the amount of cyber exposure withi…

We’ve been having some Friday fun running SecurityTrails Recon Safari on Twitter.

And as a result, Recon Safari began in the form of long Twitter threads, eventually evolving into fun and digestible infographics, ultimately followed by a writeup on our blog.

For this first Recon Safari on our blog, we’re looking into recent data breaches to see what we uncover.

Our team’s initial reaction was to dig a bit into our OSINT data using SurfaceBrowser™, our go-to tool when we need to know everything quickly.

We hope you’ve enjoyed our first Recon Safari post on the SecurityTrails Blog and that you can see how SecurityTrails can make your infosec investigations so much easier.

Now you can integrate the SecurityTrails API™ into your existing SecureX Dashboards, by using a serverless relay running Amazon’s Lambda infrastructure.

Using the Cisco SecureX platform in conjunction with the SecurityTrails API™ module will empower your infosec efforts by taking your cyber threat intelligence endeavors to the next level.

Check the SecurityTrails module, and click on the Add New Module button.

Now we’re ready to start using the SecurityTrails module inside Cisco SecureX, by utilizing the AWS Lambda Serverless relay we’ve configured.

SummaryToday we’ve covered the integration between the power of SecurityTrails’ historic database and Cisco’s SecurityX platform.

На днях выступал с темой построения эффективного процесса повышения осведомленности по ИБ.

И хотя вторая часть выступления было посвящено конкретной платформе организации обучения по ИБ и организации фишинговых симуляций, первая часть является вендор-независимой и рассказывает о некоторых примерах и лайфхаках по этому вопросу.

Судя по комментариям коллег после презентации, много было полезного контента.

Так что я решил запостить его и в блог.

Презентация доступна у меня в Telegram-канале.

В ряде прошлых заметок я коснулся темы обнаружения угроз и показал отличия этих двух тем сейчас и 20 лет назад.

20 лет назад основным источником данных для обнаружения угроз служили сырой сетевой трафик (для сетевых систем обнаружения вторжений/атак) и журналы регистрации (для хостовых систем обнаружения вторжений).

Указанные источники данных для обнаружения угроз необходимо анализировать не только на границе Интернета и корпоративной сети и не только на границах сегментов и контуров внутренней сети, где обычно ставят сенсоры систем обнаружения атак.

Такой подход не позволял своевременно выявлять подготовку к реализации угроз злоумышленниками и не допускал работу на опережение.

За прошедшие…

В январе выступал на конференции Oracle Security Day с рассказом об актуальных на тот момент требованиях регуляторов к средствам защиты информации.

Оказывается видео этого выступления было официально выложено на Youtube:ЗЫ.

Понятно, что с января много воды утекло, но многие аспекты остаются пока еще актуальными.

В истории, послужившей причиной для данной заметки, вроде как это не так, но в теории такое вполне может быть.

Настраивайте права доступа мобильных приложений и не разрешайте им то, что не нужно.

Если вы достаточно известный человек, то что вы будете делать, если в Интернете появится ваши нелицеприятные видео или фото?

А если они еще и юридически будут подкованы, то цены такому специалисту не будет, а сам он будет нарасхват.

Почему "бизнес-коуч-тренеры" по продвижению себя в Инстаграмме есть и зашибают они немало денег, а консультантов по безопасности личного профиля нет?

Аналогичные манипуляции используют и организаторы онлайн-мероприятий по ИБ, которые пытаются их продавать, используя все те уловки, что и при подсчете голосов или числа инцидентов.

Аналогичная ситуация и с онлайн-мероприятиями, а я за последние почти 9 месяцев поучаствовал в многих из них.

Это, на минуточку, в 3 раза больше чем звезд в нашей галактике "Млечный путь".

Считать надо не число пришедших, а число дослушавших до конца.

Но увы, как и в случае с выборами, надо смотреть за пределы этих очевидных KPI.

Да-да, я не ошибся в заголовке и там должен быть именно "контент", а не "контекст".

дело в том, что мы привыкли, что системы обнаружения угроз работают преимущественно по сигнатурам и поэтому часто ставим знак равенства между "сигнатурой" и "механизмом обнаружения", что неправильно.

Обычно в качестве контента обнаружения рассматриваются сигнатуры, которые точно описывают ту или иную угрозу.

Например, таким образом можно выявлять редко запускаемые процессы на защищаемых серверах или контейнерах или можно без агентов на хостах выявить работу программ-шифровальщиков или установленные сети посторонние устройства, крадущие информацию.

Современные технологии обнаружения базируются не только на си…

Итак, при построении современной системы обнаружения угроз необходимо учитывать следующие аспекты:Угрозы постоянно эволюционируют – за ними должны эволюционировать и механизмы их обнаружения.

Существует немало способов улучшения сигнатурных методов обнаружения угроз.

Нельзя полагаться только на один метод обнаружения – необходимо комбинировать различные способы, взаимно дополняющие друг друга.

Современная система обнаружения угроз – это комбинация разного контента и методов обнаружения, различных источников данных, а также мест установки компонентов системы обнаружения угроз.

ориентированы только на один из классов средств обнаружения угроз – системы обнаружения вторжений/атак.

Основные методы обнаружения - это сигнатурный и эвристический (обнаружение аномалий).

Поменялось все - от техник и тактик злоумышленников до методов их обнаружения, от мест установки средств обнаружения до правил их эксплуатации.

Не обнаружение вторжений, не обнаружение атак, а обнаружение угроз, которые могут принимать разные формы и с которыми можно и нужно бороться различными методами на различных участках защищаемой сети или за ее пределами.

И это то, что нужно для современной организации, которая пытается бороться с реальными атаками, а не выстраивать систему защиты, ориентированную на требования регуляторов.

И это то, что нужно для современной организации, которая пытается бороться с …

Причем надо отметить, что MDM - это управление мобильным устройством, а не обеспечение его безопасности.

Не MSM (Mobile Security Management), не EMM, и даже не UEM, а именно MDM.

А надо напирать на то, что используется не MDM, а система централизованного управления и мониторинга, под которую уже попадают и решения класса UEM и все остальные.

Надо было найти картинку для заметки и я сразу вспомнил про одну конференцию по ИБ, в которой я участвовал онлайн во время пандемии.

И в первой десятке сайтов, услужливо предложенных мне Google, нашелся сайт Всероссийского научно-исследовательского геологического института, аббревиатура которого звучит как ВСЕГЕИ :-)ЗЗЫ.

Я на него писал отзыв и сейчас, спустя два месяца, думаю могу и в блоге повторить свои мысли здесь.

Возможно, это и обосновано (хотя обоснования не приведено), но это будет вводить еще большую путаницу вместо того, чтобы терминологическую путаницу устранять.

Например, бэкдор - это не столько дефект алгоритма, сколько намеренно оставленная уязвимость ПО (про ПО в определении ни слова).

Но почему-то не привести и ГОСТ 57580.1 к единому терминологическому аппарату (а там и не только терминологию, но и некоторые формулировки бы утрясти)?

Или не кризис?

Проект GlobalCIO на прошлой неделе проводил онлайн-конференцию, целиком посвященную вопросам аутсорсинга, который рассматривался с разных сторон.

Мне довелось рассмотреть эту тему в контексте кибербезопасности, а именно, на что стоит обратить внимание при передаче ключевых функций внешнему провайдеру.

Учитывая, что после заключения договора с аутсорсера спросить что-то будет сложно, стоит пристальное внимание уделять вопросам юридическим, о которых я и постарался рассказать в рамках короткого, 20-тиминутного выступления.

Видео моего выступления:А также сама презентация:

Кто-то считает, что эта тема уже набила оскомину и в ней нет ничего нового.

Сегодня настало время выстраивать полноценную стратегию организации удаленного доступа, какой бы она не была, - с помощью прямого доступа к корпоративным приложениям, с помощью VDI или RDP, с помощью DaaS или иных облачных сервисов.

Презентацию я также выложил на Slideshare - вроде доступ к нему уже не блокируется.

На подходе еще пара завершающих серию статей, раскрывающих детально чеклист, который я привел на конференции GIS Days 2020.

Вообще надо отметить, что уровень онлайн-конференций за последние полгода только вырос и это не может не радовать.

Продолжим вчерашнюю тему про дашборды для руководства, но выйдем за рамки темы АСУ ТП.

Сегодня я выложил видеозапись своего выступления (оно вдвое длиннее, чем на Kaspersky ICS Security Conference) с CISO Forum , прошедшем в этом сентябре, в рамках которого я вновь коснулся темы дашбордов, но уже в более расширенном варианте.

В начале сентября, первым моим очным мероприятием стала конференция Лаборатории Касперского Kaspersky ICS Security Conference, где я выступил на тему дашбордов по ИБ АСУ ТП.

Остальные видеозаписи с Kaspersky ICS Security Conference 2020 можно посмотреть в плейлисте на Youtube (постепенно туда выкладывают обработанные записи докладов).

Это мое выступление по сути продолжает прошлогоднее, в котором я рассказывал про измерение эффективности ИБ АСУ ТП.

Поэтому я дам ссылку еще и на него, чтобы можно было сложить А и Б, то, что мы измеряем, и то, как мы это визуализируем.

Оказалось, что я видео этого выступления в блоге не выкладывал, так что исправляюсь.

И карты "Тройка"/"Стрелка" могут спокойно циркулировать в семье между ее членами, не обязательно находясь в руках одного конкретного человека.

В итоге переложил это требование на своих поддопечных - на финансовые организации, которые уже сами выставляют требования к покупаемому софту.

Но вернусь к цели - бороться с коронавирусом это не поможет, но мэрия это не понимает, потому что см.

Четвертая цель сбора персданных москвичей - надевание москвичей на кукан, то есть продолжение отработки процесса мониторинга граждан на примере самого крупного города страны.

Если это получится здесь, то в менее населенных населенных пунктах это будет сделать чуть проще (хотя там появятся свои сложности из-за …

Попробовал свести в одну майндкарту важные управленческие модели, которые могут быть полезны руководителям департаментов и консультантам по информационной безопасности, а также инспекторам по защите персональных данных (DPO). На удивление, получился очень большой перечень. Держите майндкарту и общий список.Вот общий список:Strategy1. Governance by COBIT2. SWOT3. GAP analysis and Benchmarking4. Hype Cycle5. Components by COBIT (ex.Enablers)6. McKinsey 7-S FrameworkObjectives, KPIs and metrics7. Balanced Scorecard (BSC)8. Goal Cascade by COBIT9. ISO 27001 for IS objectives10. SMART11. Metrics12. Metric Life CycleProcesses13. PPT Triangle14. RACI chart CI Cycles15. PDCA16. OODA17. COBIT Implem…

Некоторые европейские надзорные органы, например, Финский DPA, не рекомендуют совмещать роли CISO и DPO из-за возможного конфликта интересов. Посветил этой проблеме 1 слайд в своей новой презентации "Employee Monitoring and Privacy", которую выложил на Патреон:

Выложил на Патреон детальную майндкарту для ИТ стартапов, которые планируют работать в ЕС и соответствовать GDPR - https://www.patreon.com/posts/43224350Кратко она выглядит так:

Недавно была опубликована свежая статистика по выданным сертификатам ISO, ISO Survey 2019. Выбрал самое важное.Общее количество выданных сертификатов на 31.12.2019, рост на 3.8% по сравнению с 2018 годом:Количество сертификатов по ISO 27001 выросло за год на 14%.Топ 10 стран по количеству сертификатов ISO 27001:China - 8356Japan - 5245United Kingdom of Great Britain and Northern Ireland - 2818India - 2309Italy - 1390Germany - 1175Spain - 938Netherlands - 938United States of America - 757Turkey - 729В России - 81, в Финляндии - 66.Больше всего сертификатов в отрасли ИТ - 8562.

Подготовил небольшую таблицу с ответом на вопрос "какие стандарты и лучшие практики использовать для защиты персональных данных". Есть из чего выбрать...Все ссылки и pdf-файл доступны мои подписчикам на Патреон - https://www.patreon.com/posts/42520555

Обновил и выложил на Патреон (платная подписка) все свои майндкарты по стандартам и "лучшим практикам", которые использую в своей работе. Держите весь список:ISMSISO 27001:2013 - https://www.patreon.com/posts/32914010The ISF Standard of Good Practice for Information Security 2020 (SoGP) - https://www.patreon.com/posts/36496886NIST SP 800-53 rev.5 "Security and Privacy Controls for Federal Information Systems and Organizations" - https://www.patreon.com/posts/42255805AuditISO 19011:2018 Guidelines for auditing management systems - https://www.patreon.com/posts/32391752Data Protection and PrivacyGDPR - https://www.patreon.com/posts/30623884One-page document with key points of GDPR - https://w…

У меня на Патреоне (платная подписка) опубликованы 2 документа, раскрывающие требования и рекомендации по легитимному использованию систем видеонаблюдения в контексте защиты персональных данных и выполнения требований GDPR (в частности, ограничения по размещению камер, необходимые уведомления, ограничения по длительности хранения и все такое). В принципе, на них стоит ориентироваться и при обработке ПДн по 152-ФЗ.CCTV and GDPR (checklist) - https://www.patreon.com/posts/39537997The 12 guiding principles in the Surveillance Camera Code of Practice - https://www.patreon.com/posts/41607308

Привет! Этим летом я пересмотрел и обновил все документы, входящие в мой комплект GDPR Implementation Toolkit, а также разработал несколько новых. Теперь все документы выровнены друг с другом, оформлены в одном стиле и актуализированы с учетом новых рекомендаций надзорных органов. Скачать их могут мои подписчики на Патреоне (платная подписка) - https://www.patreon.com/posts/gdpr-toolkit-2-0-41151893

I have prepared my GDPR Implementation Toolkit! It is available for my followers on Patreon:GDPR Short Assessment Template - https://www.patreon.com/posts/gdpr-short-30630519Data Protection Scope (template and example) - https://www.patreon.com/posts/data-protection-32496303GDPR Implementation Roadmap - https://www.patreon.com/posts/gdpr-roadmap-33173554The DPO's first 90 days checklist - https://www.patreon.com/posts/dpos-first-90-34493733List of GDPR documents - https://www.patreon.com/posts/list-of-gdpr-30630426Privacy Information Management System (PIMS) documents by ISO 27701 - https://www.patreon.com/posts/privacy-system-30748394GDPR RACI chart - https://www.patreon.com/posts/gdpr-rac…

В этом месяце я опубликовал на Патреоне (платная подписка) большую презентацию с обзором стандартов и "лучших практик" по управлению информационной безопасностью при взаимодействии с поставщиками - https://www.patreon.com/posts/36989990И еще несколько майндкарт по отдельным документам и подходам:NIST Supply Chain Risk Management - https://www.patreon.com/posts/36769458COBIT 2019 APO10.Managed Vendors - https://www.patreon.com/posts/36765092ISF SGP 2020. Supply Chain Management - https://www.patreon.com/posts/36730264ISO 27036 Information security for supplier relationships - https://www.patreon.com/posts/36357822

Моя презентация про использование RACI матрицы для распределения ответственности за внедрение и поддержание процессов соответствия GDPR, которую я сегодня рассказывал на конференции GDPR Day, доступна подписчикам моего Патреон - https://www.patreon.com/posts/37176801

Недавно ISACA анонсировала новую программу сертификации для специалистов по ИБ, а точнее, по privacy - Certified Data Privacy Solutions Engineer (CDPSE), которая будет доступна со следующего года. Для подтверждения нужно будет сдать экзамен, подтвердить необходимый опыт и ежегодно отчитываться о часах CPE (непрерывное обучение).От специалистов потребуются знания по 3м доменам: Privacy Governance, Privacy Architecture и Data Cycle. Подробнее представил информацию в виде майндкарты (в pdf и xmind доступна на Патреоне):А пока сертификация только набирает популярность, есть хорошая возможность для специалистов с опытом получить сертификат без экзамена. Для этого надо соответствовать критериям:H…

В апреле я подготовил и выложил на Патреон две большие презентации с разбором важных тем по обработке и защите персональных данных в контексте GDPR. 1. "GDPR and Personal Data Transfers". 30 слайдов про передачу ПДн между организациями и особенности трансграничного обмена данным.2. "GDPR and Security", это обновленный и сильно расширенный вариант моей старой презентации про требования информационной безопасности (был 21 слайд, стало 81).Если тема вам близка и интересна, то подписывайтесь на мой Патреон и получите доступ ко всем презентациям, майндкартам, чек-листам и шаблонам документов по управлению информационной безопасностью...

Сегодня принял участие в виртуальной встрече специалистов по обработке и/или защите персональных данных, которую проводили мои друзья из RPPA и KPMG. На ней совсем кратко (у меня было всего 15 минут) рассказал про самые важные различия в подходах к работе с ПДн в России и Европе. Держите презентацию: Data protection RU vs EU from Andrey Prozorov, CISM Если со slideshare сложности, то можете скачать презентацию в ВК - https://vk.com/wall-153623342_3600Ну, и еще посмотрите мою январскую заметку на эту же тему "Различия в подходах к обработке и защите ПДн в Европе и России", там таблица и дополнительные комментарии.

Вышел в свет свежий выпуск журнала «CONNECT. Мир информационных технологий», с темой номера “Защита КИИ в отраслевом разрезе. О практической реализации требований № 187-ФЗ в отраслях”.

Открывает раздел моя статья: Субъекты КИИ: торопитесь не торопясь!

Правда, изначально тема звучала как “Общее состояние дел с выполнением требований законодательства в области защиты КИИ”, но редактору виднее =)

По приведённой выше ссылке на сайте издательства CONNECT качество иллюстраций в статье не самое лучшее, что особенно обидно для схемы, так что вот отредактированный авторский вариант: pdf, speakerdeck.com, slideshare.net.

Текст, к слову, подвергся минимальным правкам, но за время, пока публикация гото…

Рейтинг CNews Security: Крупнейшие компании России в сфере защиты информации публикуется с 2003 года, но только по итогам 2006 года, правда, сразу две компании, перешагнули годовую выручку в 1 миллиард рублей. Этими двумя компаниями были Информзащита и Лаборатория Касперского, которая в то время в свой отчёт ещё включала выручку ИнфоВотч.

Следующими в клуб миллиардеров вступили тоже сразу две компании: ЛЕТА и Эр-Стайл, но сделали они это только два года спустя. Обе эти компании в рейтинге CNews Security больше не участвуют. О причинах (наблюдая со стороны) можно только догадываться, но, видимо, дело в не самых ярких показателях.

Аналитики CNews не раскрывают состав стоящих за брендами юриди…

На организованной Гротек в сентябре онлайн-конференции “Кибербезопасность АСУ ТП критически важных объектов” одним из докладчиков выступил Алексей Валентинович Кубарев, заместитель начальника управления ФСТЭК России.

Доклад его мне представляется важным - как минимум с той точки зрения, что понятным человеческим языком сформулированы основные тезисы и даны ответы на многие вопросы и конкретную критику в адрес ФСТЭК России.

Взял на себя смелость в связи с этим улучшить монтаж исходного ролика, заодно заменив изображения слайдов на более качественные из публично доступной презентации. Впрочем, так как формат видео не слишком удобен для последующего оперативного поиска нужного ответа, решил вы…

По приглашению коллег из ЭКСПО-ЛИНК принял участие в их проекте “Безопасная среда” и прочитал короткий доклад про особенности мониторинга информационной безопасности для АСУ ТП.

Постарался перечислить основные сложности практического создания систем мониторинга для промышленных сегментов, а также варианты их (сложностей) нивелирования.

Запись велась и после обработки будет выложена на YouTube, а пока делюсь своей презентацией. Другие записи моих выступлений можно посмотреть здесь: https://zlonov.com/speeches/.

Знаете ли вы, что сегодня создать поддельное (deepfake) видео можно буквально за полчаса, не обладая при этом никакими специальными знаниями и не имея в своём распоряжении никаких особых вычислительных мощностей?

Само преобразование выполняется с помощью Wav2Lip, онлайн-демо которого можно протестировать на этой странице: https://bhaasha.iiit.ac.in/lipsync/.

Правда, у меня так и не получилось подобрать нужные исходные файлы, не приводящие к появлению ошибки: 413 Request Entity Too Large .

Так что пришлось воспользоваться чуть более сложным, но зато сработавшим вариантом на базе Google Colab.

Ну, и не могу не воспользоваться случаем процитировать вот этот свой твит:

Знаете ли вы, что сегодня создать поддельное (deepfake) видео можно буквально за полчаса, не обладая при этом никакими специальными знаниями и не имея в своём распоряжении никаких особых вычислительных мощностей?

Вот пример наложения слов персонажа Глеба Жеглова на выступление глубоко уважаемого мной Виталия Сергеевича Лютикова, который, надеюсь, не будет в обиде за этот невинный ролик =) Не самый впечатляющий результат, но зато единственные специальные утилиты, которые потребовались для создания этого видео - это браузер и простейший видеоредактор (и то только для нарезки исходных материалов). Всё остальное было сделано онлайн.

Само преобразование выполняется с помощью Wav2Lip, онлайн-демо…

Помню, как на заре становления темы ИБ АСУ ТП в России на меня произвело впечатление решение от одной компании, предлагающей специализированные промышленные межсетевые экраны с встроенной функцией VPN.

Экран как экран, VPN как VPN, но особенностью решения был аппаратный (физический) ключ, поворот которого исключал возможность удалённого подключения.

Позиционировалось этот как некая гарантированная защита от злоумышленников/разгильдяев как с легальным доступом, но, например, получающих доступ вне рамках установленной процедуры, так и от внешних злодеев (читай — хакеров).

Оперативно на сайте производителя подобных решений в современной линейке его оборудования найти не удалось, так что ссылок…

Помню, как на заре становления темы ИБ АСУ ТП в России на меня произвело впечатление решение от одной компании, предлагающей специализированные промышленные межсетевые экраны с встроенной функцией VPN.

Экран как экран, VPN как VPN, но особенностью решения был аппаратный (физический) ключ, поворот которого исключал возможность удалённого подключения.

Позиционировалось этот как некая гарантированная защита от злоумышленников/разгильдяев как с легальным доступом, но, например, получающих доступ вне рамках установленной процедуры, так и от внешних злодеев (читай - хакеров).

Оперативно на сайте производителя подобных решений в современной линейке его оборудования найти не удалось, так что ссылок…

Традиционный обзор новинок Государственного реестра сертифицированных средств защиты информации (СрЗИ) в этот раз будет не квартальным, а сразу полугодовым.

Средства сетевой защитыМежсетевые экраны (МЭ) — традиционно самый широко представленный тип средств защиты информации в реестре ФСТЭК России.

:№4228 — модуль доверенной загрузки Numa Arce Соответствует требованиям документов: Требования к СДЗ, Профиль защиты СДЗ(базовой системы ввода-вывода четвертого класса защиты.

ИТ.ОС.А2.ПЗ)№4220 — операционная система Аврора Соответствует требованиям документов: Требования доверия(4), Требования к ОС, Профиль защиты ОС(А четвертого класса защиты.

ИТ.ОС.А4.ПЗ)Корпоративнные и офисные приложения№4211…

Традиционный обзор новинок Государственного реестра сертифицированных средств защиты информации (СрЗИ) в этот раз будет не квартальным, а сразу полугодовым. Так что и новых сертификатов (выданных на серию) сегодня больше обычного - 50 штук.

Вот они, разбитые на отдельные (весьма условные, правда) подгруппы.

Средства сетевой защиты

Межсетевые экраны (МЭ) - традиционно самый широко представленный тип средств защиты информации в реестре ФСТЭК России. При этом отдельные решения (Check Point, FortiGate, Dionis DPS) одновременно совмещают в себе ещё и функции систем обнаружения вторжений (СОВ), а, например, Trend Micro Deep Security 10 дополнительно к МЭ и СОВ является сертифицированным средством…

На Rusprofile.ru (независимый источник информации о российских организациях) размещена бухгалтерская отчетность компаний за 2019 год.

Так что можно, не дожидаясь очередного отчёта CNews 100 или рейтинга TAdviser, бегло оценить, как обстоят дела у подрядчиков/конкурентов/партнёров с финансовым положением.

Например, если взять юридические лица, упомянутые в отчёте Anti-Malware.ru Сравнение токенов с аппаратной поддержкой алгоритмов ГОСТ и сертификатом ФСБ, то можно получить некоторое представление о тенденциях и перспективах отечественного рынка аппаратных токенов. Юрлицо

Токен

Выручка 2018, млн руб

Выручка 2019, млн руб

Дельта АО «Актив-софт»

Рутокен S, РУТОКЕН ЭЦП 2.0

1168

1231

5 % ISBC Gro…

Сформулированный для краткости немного в вольной форме вопрос в теме этого поста развернуть можно так: Необходимо ли организации получать лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации в случаях, когда организация осуществляет лицензируемый вид деятельности для собственных нужд? Вопросу не один год, найти на него ответ можно и в законодательстве и в других источниках, но мне понравилась формулировка коллег из УЦСБ, с которыми этот вопрос недавно обсуждали.

Официальный ответ зафиксирован в Постановлении Правительства РФ №79 от 03.02.2012 «О лицензировании деятельности по ТЗКИ», а неофициальный звучит так: Те пункты, где фигурируют «работы» — нужна лиц…

Пару советовТеперь я Клауд Практитионер!100 минут (сдал минут за 50)65 вопросов90 евро~неделя подготовки, но на экзамене пришлось понервничать.

Лучше, конечно, не рисковать и потратить месяц.Все в облако, ну и я в облако.

).Подходы Amazon к миграции данных, много финансовых вопросов про стоимость сервисов.Я не могу сказать, что сертификация расчитана на какою-то конкретную роль.

Могу предположить, что такая политика увеличивает продажы за счёт перездач.Очень много было вопросов с несколькими правильными ответами (выбери два-три из них).

Вероятность угадать 2 из 5-ти существенно ниже, чем 1 из 4х (0.11 против 0.25).В целом, конечно, экзамен базовый, проходной и опциональный, если ваша цель A…

Продолжая цикл материалов, рассказывающих про проект Atomic Threat Coverage и их инициативу по развитию коммьюнити вокруг MITRE ATT&CK, не могу не анонсировать их второй двухнедельный спринт Open Security Collaborative Development (OSCD) по наполнению и распространению знаний и общих проблем кибербезопасности. В этот раз ребята сфокусируются на Threat Simulation, Threat Detection и Incident Response и будут разрабатывать тесты для , и , улучшая их покрытие фреймворков MITRE ATT&CK и ATC RE&CT. Спринт стартует 5-го октября и продлится 2 недели. Если идея глобального объединения для борьбы с угрозами вам близка, то смело пишите ребятам в телегу и записывайтесь: @aw350m3 @zinint @yugoslavskiy …

Достойный материал про напрасно позабытый метод HTTP Request Smuggling, который позволил управлять корпоративными мобильными устройствами (вплоть до полного сброса), отправляя поддельные запросы на MDM сервер Citrix, и получить $17,000+ в качестве вознаграждения по Bug Bounty. https://medium.com/@ricardoiramar/the-powerful-http-request-smuggling-af208fafa142

Управление уязвимостями. Кто кого? Задумывались ли вы, насколько эффективно выявляете и устраняете уязвимости? Positive Technologies решили выяснить, как ИБ-специалисты оценивают качество управления уязвимостями в своих компаниях. Приглашаем принять участие в опросе. Результаты будут опубликованы в виде аналитической статьи на сайте Positive Technologies. Опрос анонимный. https://ru.research.net/r/JZGBRBG

Помните материал про , где автор рассказывал об унификации процесса обмена и реагирования на угрозы ИБ, с привязкой к MITRE ATT&CK? Сегодня я хочу вам рассказать об одном проекте под названием Atomic Threat Coverage. Ребята подружили Atomic Red Team, предназначенный для проведения автоматизированных тестов, имитирующих действия RedTeam, с проектом Sigma и их правилами обнаружения угроз, обвязали все это вокруг MITRE ATT&CK, прикрутив туда аналитику и визуализацию. Т.е по факту вы получаете собственную структурированную базу знаний, с возможностью загрузки/выгрузки как публичной, так и собственной аналитики, и все это с наложением на самый популярный рабочий фреймворк от MITRE. Недавно они з…

Помните я недавно рассказывал об Atomic Threat Coverage? На днях вышло интервью с основателем этого проекта, Даниилом Югославским. Даня рассказал про свой профессиональный рост в качестве специалиста, сферу обнаружения и реагирования на угрозы, и свои defensive-проекты. Для досугового просмотра рекомендую. https://www.youtube.com/watch?v=3nMhmbZnmdg

DetectionLab — проект, позволяющий за несколько часов развернуть небольшую виртуальную лабу на базе Windows, для использования ее в исследовательских целях и тестировании. В чем суть? Весь деплой и конфигурация уже автоматизированы (DevOps, мать его) на базе Terraform, Ansible и Vagrant, а Packer вам пригодится только если вы решите использовать собственные образы ОС. На выходе вы получаете 4 сконфигурированные тачки с правильными настройками логирования, рабочий домен, log forwarder, Splunk и пр. Все это можно использовать для самых разнообразных целей и гибко менять. Хотите видеть какие типы событий и журналов генерят бинари, инструменты или техники атак, пишите SIGMA правила, администрир…

Я не любитель писать о таких событиях, но 10 000 подписчиков на канале это серьезный юбилей. Только представьте 10 000 человек разных возрастов и специальностей, объединенных тематикой информационной безопасности. В связи с этим хочу выразить огромную благодарность каждому из вас за доверие. Это новая отправная точка для меня, дальше — больше.

Gitlab - достаточно популярный продукт для разработки, благодаря self-hosted решению его часто можно встретить на поддоменах компаний. Помимо того, что в нем также присутствует регистрация без подтверждения email’а (смотрим в предыдущие посты), это еще и отличная возможность собрать информацию о сотрудниках. Без аутентификации доступен следующий API метод - gitlab.company.local/api/v4/users/{id} На самом gitlab - эта ручка также доступна, например https://gitlab.com/api/v4/users/7154957: {"id":7154957,"name":"Bo0oM","username":"webpwn","state":"active","avatar_url":"https://secure.gravatar.com/avatar/4e99709ca6b52f78d02cb92a5bc65d85?s=80\u0026d=identicon","web_url":"https://gitlab.com/webpw…

Скорость реагирования имеет существенное значение в современной среде угроз, поэтому рынок не долго думая придумал очередной класс решений под названием SOAR. Прежде всего SOAR это логическое дополнение для решений SIEM, позволяющие автоматизировать реагирование на инциденты. Такой усложненный вариант If This Then That. Тренд рынок уловил и наполнился решениями под разные размеры кошелька. Для тех, кто не хочет иметь ничего общего с энтерпрайзом, можно попробовать выйти из положения собственными силами или поддержать другой проект с открытым исходным кодом. Вот например ребята делают Shaffle SOAR, пока сыровато, но уже есть возможность создания разных workflow, интеграция с TheHive, Cortex …

Курс Microsoft, нацеленный на кибербезопасность, выглядит очень взвешенно: постепенное поглощение сильных ИБ-игроков (CyberX, Hexadite и др.), доработка собственной продуктовой экосистемы, все это очень амбициозно. Взять хотя бы их платформу Microsoft Defender ATP (Advanced Threat Protection), которая помимо Windows уже работает под Linux, macOS и Android. К сожалению в России Defender ATP не очень популярен, там не менее многие компании используют его в составе того же Office 365, поэтому вот вам хорошо структурированный материал по работе с ним: https://techcommunity.microsoft.com/t5/microsoft-defender-atp/become-a-microsoft-defender-atp-ninja/ba-p/1515647

🔥Мы знаем, что вы будете делать 22–23 апреля 2021 года На сроки постапокалипсиса IRL мы повлиять не можем. Но дату постапокалипсиса в стенах отдельно взятой конференции по кибербезопасности мы уже назначили. Ждем всех 22 и 23 апреля следующего года на OFFZONE 2021 в Москве (можете не проверять, это четверг и пятница;) Все обещания в силе:

— если вы сохранили билет на OFFZONE 2020, вы сможете по нему посетить OFFZONE 2021;

— если сохраненный билет был куплен до 12 марта 2020 года, при встрече мы подарим вам эксклюзивную футболку;

— если новые даты не подходят, вы можете сдать билет и вернуть 100% от его стоимости до 21 марта 2021 года включительно. Даты — в календарь, ожидание — на максимум,…

Кому, как не крупнейшему CDN провайдеру и разработчику решения против DDoS-атак делать аналитический отчет по трендам в DDoS? Если коротко, то первый квартал особо без изменений, в большинстве своем L2-L3/4, дешевизна все еще делает DDoS актуальным, есть незначительные изменения по сравнению с пошлым годом: - Атаки стали длиться дольше

- Количество атак выше 10 Гбит/с сократилось

- Количество атак ниже 10 Гбит/с возросло

- Зафиксировано 34 типа атаки L2-L3/4 В конце не обошлось без рекламы решения от DDoS. Как же без этого? :) https://blog.cloudflare.com/network-layer-ddos-attack-trends-for-q1-2020/

Национальное агентство Великобритании по признанию и сравнению международных квалификаций и навыков UK NARIC признало сертификацию CISSP эквивалентной уровню RQF Level 7, что по европейской системе сопоставимо с уровнем квалификации магистра. Из-за этой новости сейчас у многих пылает пятая точка. Мнения разделились, кто-то пишет, что 4 года усердной учебы никак не могут быть эквивалентны 3-часовому экзамену, а кто-то наоборот заверяет, что сдать CISSP было куда сложнее, чем получить степень магистра в его учебном заведении. Но большинство, конечно склоняются к тому, что это абсурд. Признание UK NARIC уже вступило в силу и распространяется на территории Великобритании и Европы на всех, кто у…

Передавайте привет 17-ти летнему багу в Windows DNS.

SIGRed CVE-2020-1350, CVSS: 10,0 https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/ https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/

Friday Squid Blogging: Diplomoceras MaximumDiplomoceras maximum is an ancient squid-like creature.

It lived about 68 million years ago, looked kind of like a giant paperclip, and may have had a lifespan of 200 years.

As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Read my blog posting guidelines here.

Posted on November 27, 2020 at 4:33 PM • 0 Comments

But they may still do lasting damage to American democracy for a shocking reason: the moves have come from trusted insiders.

American democracy is an information system, in which the information isn’t bits and bytes but citizens’ beliefs.

More likely, this spiral will not directly lead to the death of American democracy.

But it may turn American democracy into an unworkable confrontation between two hostile camps, each unwilling to make any concession to its adversary.

Public outrage, alternatively, can sometimes force officials to back down, as when people crowded in to denounce the Michigan Republican election officials who were trying to deny certification of their votes.

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

On That Dusseldorf Hospital Ransomware Attack and the Resultant DeathWired has a detailed story about the ransomware attack on a Dusseldorf hospital, the one that resulted in an ambulance being redirected to a more distant hospital and the patient dying.

“Where the patient is suffering from a slightly less severe condition, the attack could certainly be a decisive factor,” he says.

And where causation is established, Hartmann points out that exposure for criminal prosecution stretches beyond the hackers.

In the Düsseldorf case, for example, his team was preparing to consider the culpability of the hospital’s IT staff.

Could they have better defended the hospital by monitoring the network mo…

More on the Security of the 2020 US ElectionLast week I signed on to two joint letters about the security of the 2020 election.

That said, it is imperative that the US continue working to bolster the security of elections against sophisticated adversaries.

At a minimum, all states should employ election security practices and mechanisms recommended by experts to increase assurance in election outcomes, such as post-election risk-limiting audits.

The second was a more general call for election security measures in the US:Obviously elections themselves are partisan.

Bottom line: election security officials and computer security experts must be able to do their jobs without fear of retribution…

Indistinguishability ObfuscationQuanta magazine recently published a breathless article on indistinguishability obfuscation — calling it the “‘crown jewel’ of cryptography” — and saying that it had finally been achieved, based on a recently published paper.

Indistinguishability obfuscation is more relaxed.

This is a pretty amazing theoretical result, and one to be excited about.

What it means in theory is that we have a fundamental theoretical result that we can use to derive a whole bunch of other cryptographic primitives.

This could very well be on the same trajectory, and perhaps in twenty to thirty years we will be celebrating this early theoretical result as the beginning of a new theo…

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Symantec is reporting on an APT group linked to China, named Cicada.

Cicada has historically been known to target Japan-linked organizations, and has also targeted MSPs in the past.

The group is using living-off-the-land tools as well as custom malware in this attack campaign, including a custom malware — Backdoor.Hartip — that Symantec has not seen being used by the group before.

Among the machines compromised during this attack campaign were domain controllers and file servers, and there was evidence of files being exfiltrated from some of the compromised machines.

The attackers extensively use DLL side-loading in this campaign, and were also seen leveraging the ZeroLogon vulnerability th…

The US Military Buys Commercial Location DataVice has a long article about how the US military buys commercial location data worldwide.

The U.S. military is buying the granular movement data of people around the world, harvested from innocuous-seeming apps, Motherboard has learned.

This isn’t new, this isn’t just data of non-US citizens, and this isn’t the US military.

We have lots of instances where the government buys data that it cannot legally collect itself.

But the USSOCOM contract and additional reporting is the first evidence that U.S. location data purchases have extended from law enforcement to military agencies.

Over at Lawfare, Susan Hennessey has an excellent primer on how Trump loyalist Michael Ellis got to be the NSA General Counsel, over the objections of NSA Director Paul Nakasone, and what Biden can and should do about it.

The NSA general counsel is not a Senate-confirmed role.

It’s an odd setup — ­and one that obscures certain realities, like the fact that the NSA general counsel in practice reports to the NSA director.

The Pentagon general counsel has the final call in making a selection.

For example, if the panel has ranked a first-choice candidate, the general counsel is empowered to choose one of the others.

Blockchain voting is a spectacularly dumb idea for a whole bunch of reasons.

But now I have this excellent paper from MIT researchers:“Going from Bad to Worse: From Internet Voting to Blockchain Voting”Sunoo Park, Harvard Michael Specter, Neha Narula, and Ronald L. RivestAbstract: Voters are understandably concerned about election security.

More importantly: given the current state of computer security, any turnout increase derived from with Internet- or blockchain-based voting would come at the cost of losing meaningful assurance that votes have been counted as they were cast, and not undetectably altered or discarded.

This state of affairs will continue as long as standard tactics such as…

Upcoming Speaking EngagementsThis is a current list of where and when I am scheduled to speak:The list is maintained on this page.

Posted on November 14, 2020 at 12:35 PM • 0 Comments

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Your data lives in a pod that is controlled by you.

Data generated by your things — your computer, your phone, your IoT whatever — is written to your pod.

If you want your insurance company to have access to your fitness data, you grant it through your pod.

If you want your thermostat to share data with your air conditioner, you give both of them access through your pod.

Once users have a Solid Pod, the data there can be extended, linked, and repurposed in valuable new ways.

The attacks were facilitated by scams targeting employees at GoDaddy, the world’s largest domain name registrar, KrebsOnSecurity has learned.

In response to questions from KrebsOnSecurity, GoDaddy acknowledged that “a small number” of customer domain names had been modified after a “limited” number of GoDaddy employees fell for a social engineering scam.

But in the attacks earlier this year that affected escrow.com and several other GoDaddy customer domains, the assailants targeted employees over the phone, and were able to read internal notes that GoDaddy employees had left on customer accounts.

This suggests the attackers behind the March incident — and possibly this latest one — succeede…

Conor Freeman of Dublin took part in the theft of more than two million dollars worth of cryptocurrency from different victims throughout 2018.

A fraudulent SIM swap allows the bad guys to intercept a target’s incoming phone calls and text messages.

At least twice in the past few years OGUsers was hacked, and its database of profiles and user messages posted online.

One way to protect your accounts against SIM swappers is to remove your phone number as a primary or secondary authentication mechanism wherever possible.

Many online services require you to provide a phone number upon registering an account, but in many cases that number can be removed from your profile afterwards.

President Trump on Tuesday fired his top election security official Christopher Krebs (no relation).

The dismissal came via Twitter two weeks to the day after Trump lost an election he baselessly claims was stolen by widespread voting fraud.

Krebs, 43, is a former Microsoft executive appointed by Trump to head the Cybersecurity and Infrastructure Security Agency (CISA), a division of the U.S. Department of Homeland Security.

As part of that role, Krebs organized federal and state efforts to improve election security, and to dispel disinformation about the integrity of the voting process.

Tags: Christopher Krebs, CISA, Cybersecurity and Infrastructure Security Agency, President Trump, Rumor …

An increasing number of websites are asking visitors to approve “notifications,” browser modifications that periodically display messages on the user’s mobile or desktop device.

These so-called “push notifications” rely on an Internet standard designed to work similarly across different operating systems and web browsers.

The company’s site currently is ranked by Alexa.com as among the top 2,000 sites in terms of Internet traffic globally.

And almost invariably, those messages include misleading notifications about security risks on the user’s system, prompts to install other software, ads for dating sites, erectile disfunction medications, and dubious investment opportunities.

Indeed, Malw…

Your email account may be worth far more than you imagine.

It’s bad enough that many ransomware gangs now have blogs where they publish data stolen from companies that refuse to make an extortion payment.

Now, one crime group has started using hacked Facebook accounts to run ads publicly pressuring their ransomware victims into paying up.

The Facebook ad blitz was paid for by Hodson Event Entertainment, an account tied to Chris Hodson, a deejay based in Chicago.

“I thought I had two-step verification turned on for all my accounts, but now it looks like the only one I didn’t have it set for was Facebook,” Hodson said.

Of course, it didn’t cost the ransomware group anything.

The body of a man found shot inside a burned out vehicle in Canada three years ago has been identified as that of Davis Wolfgang Hawke, a prolific spammer and neo-Nazi who led a failed anti-government march on Washington, D.C. in 1999, according to news reports.

A key subject of the book Spam Kings by Brian McWilliams, Hawke was a Jewish-born American who’d legally changed his name from Andrew Britt Greenbaum.

Spam Kings author McWilliams notes that Hawke changed his name with regularity and used many pseudonyms.

“I could definitely see this guy making someone so mad at him they’d want to kill him,” McWilliams told CTV.

Tags: AOL, Brian McWilliams, CTV, Davis Wolfgang Hawke, Jesse James, Sp…

Leaving aside the notion that victims might have any real expectation the attackers will actually destroy the stolen data, new research suggests a fair number of victims who do pay up may see some or all of the stolen data published anyway.

“Unlike negotiating for a decryption key, negotiating for the suppression of stolen data has no finite end,” the report continues.

With stolen data, a threat actor can return for a second payment at any point in the future.

So they pay for it hoping the threat actor deletes the data.

'”Tags: Coveware, Emsisoft, Fabian Wosar, ransomware

and 19-year-old Kingston, Pa. resident Kyell A. Bryan hijacked social media and bitcoin accounts using a mix of voice phishing or “vishing” attacks and “SIM swapping,” a form of fraud that involves bribing or tricking employees at mobile phone companies.

According to the indictment (PDF), Milleson and Bryan used their phished access to wireless company employee tools to reassign the subscriber identity module (SIM) tied to a target’s mobile device.

Milleson and Bryan are facing charges of wire fraud, unauthorized access to protected computers, aggravated identity theft and wire fraud conspiracy.

Bryan allegedly used the nickname “Champagne” on OGusers.

Tags: Champagne, Jordan K. Milleson, K…

“Multiple hospitals have already been significantly impacted by Ryuk ransomware and their networks have been taken offline,” Carmakal said.

So far, however, nothing like hundreds of facilities have publicly reported ransomware incidents.

But there have been a handful of hospitals dealing with ransomware attacks in the past few days.

–Becker’s Hospital Review reported today that a ransomware attack hit Klamath Falls, Ore.-based Sky Lakes Medical Center’s computer systems.

Tags: alex holden, Charles Carmakal, Department of Homeland Security, fbi, Health and Human Services, Hold Security, Mandiant, ransomware, Reuters, Ryuk

In March 2020, KrebsOnSecurity alerted Swedish security giant Gunnebo Group that hackers had broken into its network and sold the access to a criminal group which specializes in deploying ransomware.

The Gunnebo Group is a Swedish multinational company that provides physical security to a variety of customers globally, including banks, government agencies, airports, casinos, jewelry stores, tax agencies and even nuclear power plants.

That transaction included credentials to a Remote Desktop Protocol (RDP) account apparently set up by a Gunnebo Group employee who wished to access the company’s internal network remotely.

Indeed, companies that persist in viewing cyber and physical security as…

The latest cracks in Widevine concern the encryption technology’s protection for L3 streams, which is used for low-quality video and audio streams only.

Google says the weakness does not affect L1 and L2 streams, which encompass more high-definition video and audio content.

“As code protection is always evolving to address new threats, we are currently working to update our Widevine software DRM with the latest advancements in code protection to address this issue,” Google said in a written statement provided to KrebsOnSecurity.

Most modern smartphones and mobile devices support much more robust L1 and L2 Widevine protections that do not rely on L3.

Further reading: Breaking Content Protect…

Some of the world’s largest Internet firms have taken steps to crack down on disinformation spread by QAnon conspiracy theorists and the hate-filled anonymous message board 8chan.

That idea was floated by Ron Guilmette, a longtime anti-spam crusader who recently turned his attention to disrupting the online presence of QAnon and 8chan (recently renamed “8kun”).

The same is true for Centauri Communications, a Freemont, Calif.-based Internet Service Provider that serves as N.T.

“ARIN has received a fraud report from you and is evaluating it,” a spokesperson for ARIN said.

Technology Inc., QAnon, Ron Guilmette

Following a brief disruption, the sites have come back online with the help of an Internet company based in St. Petersburg, Russia.

A large number of 8kun and QAnon-related sites (see map above) are connected to the Web via a single Internet provider in Vancouver, Wash. called VanwaTech (a.k.a.

But they confirmed that CNServers had indeed terminated its service with Spartan Host.

That person added they weren’t a fan of either 8kun or QAnon, and said they would not self-describe as a Trump supporter.

QAnon: A Timeline of Violent Linked to the Conspiracy TheoryTags: 8chan, 8kun, CNServers, ddos-guard, Nick Lim, OrcaTech, QAnon, Ron Guilmette, Ryan McCully, Spartan Host Ltd., VanwaTech

KrebsOnSecurity has learned the data was stolen in a lengthy data breach at more than 100 Dickey’s Barbeque Restaurant locations around the country.

On Monday, the carding bazaar Joker’s Stash debuted “BlazingSun,” a new batch of more than three million stolen card records, advertising “valid rates” of between 90-100 percent.

Today, the company shared a statement saying it was aware of a possible payment card security incident at some of its eateries:“We received a report indicating that a payment card security incident may have occurred.

We are utilizing the experience of third parties who have helped other restaurants address similar issues and also working with the FBI and payment card n…

Many thanks to the great folks at Recorded Future, who have sponsored my writing for the past week.

The Security Intelligence HandbookThe newly-released third edition of Recorded Future’s popular book, “The Security Intelligence Handbook: How to Disrupt Adversaries and Reduce Risk With Security Intelligence” paints a clear picture of security intelligence, as well as actionable guidance for disrupting the threat actors targeting your organization right now — and in the future.

Download “The Security Intelligence Handbook” today to unlock unparalleled value, amplify impact across your security teams, examine use cases, build a winning program, and sharpen your intelligence advantage.

Recorde…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Three men have been arrested in Nigeria, suspected of being members of an organised cybercrime gang that has targeted over 500,000 government agencies and private sector companies around the world.

If unsuspecting users were tricked into opening the malicious file attachments, hackers were able to remotely infiltrate organisations and steal data.

In all, according to a press release by Interpol, some 26 different malicious programs, including spyware and remote access tools, were distributed in the attacks, including AgentTesla, Azorult, Loki, Spartan, Nanocore, and Remcos.

A sophisticated BEC scammer will exploit their access to privileged information found in the hacked company’s email ac…

All this and much more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault.

Hosts:Graham Cluley – @gcluleyCarole Theriault – @caroletheriaultGuest:Tim Harford – @TimHarfordShow notes:Sponsor: LastPass LastPass Enterprise makes password security effortless for your organization.

LastPass Enterprise simplifies password management for companies of every size, with the right tools to secure your business with centralized control of employee passwords and apps.

Go to lastpass.com/smashing to see why LastPass is the trusted enterprise password manager of over 33 thousand businesses.

Follow the show:Fo…

Security firm Sophos is contacting “a small subset” of its customers warning that their details have been exposed following a breach in security.

It’s easy to imagine how a fraudster could, for instance, create a targeted attack against a company disguised as a response from Sophos’s customer support department.

Sophos says that the data is no longer exposed, which is obviously good – but doesn’t help if the data has already been scooped up by someone with malicious intent.

There is no word in its email to customers as to whether Sophos has informed the Information Commissioner’s Office of the security breach, but it does say that it is implementing controls in an attempt to prevent similar…

And that’s why a user might forget that they ever installed the fake modpack, especially as it hides its icon.

In addition, a command & control server can send instructions to the app telling it to open Google Play, Facebook, or play YouTube videos.

Perhaps the most annoying thing about the fake Minecraft mods is that their victims have a very hard time figuring out why their browser (or Google Play, or Facebook, or YouTube) keeps opening.

They are likely to conclude that the problem lies in the browser (or whichever app the fake modpack loads).

According to the firm, the number of users who have installed the apps range from 500 to an eye-watering one million.

Last Friday, the day before it was scheduled to play a football match against West Bromwich Albion, Manchester United revealed that it had fallen victim to a cyber attack.

What Manchester United chose not to do is give any details of the “cyber attack” it had suffered.

Despite the lack of information offered in the press release, I wouldn’t be surprised if Manchester United had been hit by ransomware.

Currently it’s the equivalent of a football match being played in an impenetrable pea souper.

The Information Commissioner’s Office (ICO) has been informed about the incident, and Manchester United says it is working with expert advisers to investigate what occurred, and “minimise the ongoing …

The FBI is warning internet users to be on their guard against copycat websites that spoof FBI-related domain names.

The FBI shared a list of some of the spoofed FBI-related internet domain names that it has identified, all of which could potentially be used to trick the general public.

Never provide personal information of any sort via email.

Be aware that many emails requesting your personal information may appear to be legitimate.

Disable or remove unneeded software applicationsVerify that the website you visit has a Secure Sockets Layer (SSL) certificate.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Graham Cluley Security News is sponsored this week by the folks at Recorded Future.

Security intelligence is an outcomes-centric approach to reducing risk that fuses internal and external threat, security, and business insights across an entire organization.

Recorded Future’s new “Security Intelligence Handbook” explains the different ways to disrupt adversaries and reduce risk with security intelligence at the center of your security program.

Get your copy of “The Security Intelligence Handbook” for free right now.

About Recorded FutureRecorded Future delivers the only complete security intelligence solution powered by patented machine learning to lower risk.

So, you’re a ransomware gang and you want to ensure that you have caught the attention of your latest corporate victim.

You could simply drop your ransom note onto the desktop of infected computers, informing the firm that their files have been encrypted.

Well, how about the approach taken by the ransomware that hit South American retail giant Cencosud last week?

That’s nothing unusual, but Egregor’s novel twist is that it can also tell businesses that their computer systems are well and truly breached by sending its ransom note to attached printers.

Part of the ransom message, which is the same as that left on infected computers, reads:— EGREGOR — What happened?

All this and much more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault, joined this week by Chris Cochran from the Hacker Valley Studio podcast.

Hosts:Graham Cluley – @gcluleyCarole Theriault – @caroletheriaultGuest:Chris Cochran – @chriscochrcyberShow notes:Sponsor: LastPass LastPass Enterprise makes password security effortless for your organization.

Go to lastpass.com/smashing to see why LastPass is the trusted enterprise password manager of over 33 thousand businesses.

Sponsor: Recorded Future Recorded Future empowers your organization, revealing unknown threats before they impact your b…

In the early hours of Monday morning, Managed.com – a major provider of managed web hosting solutions – discovered it was the victim of a co-ordinated ransomware attack, encrypting not only its own systems but also the websites of customers.

With luck, the technical team at Managed.com will be able to restore systems and secure them against reinfection.

Although it’s unclear how many days or weeks it may take them to recover their customers’ websites – time that no online business can afford to be without an online presence.

But even if Managed.com does recover its systems, that isn’t necessarily the end of the problem.

According to Bleeping Computer, the REvil ransomware gang is currently …

Cryptocurrency exchange Liquid has revealed that it was hacked last week, after a malicious attacker managed to seize control of its DNS records, seized control of some internal email accounts, and gained access to the firm’s document storage infrastructure.

In a blog post, Liquid CEO Mike Kayamori explained that last Friday the cryptocurrency exchange’s domain name hosting service incorrectly transferred control of its DNS records to a hacker.

From the sound of things, there was a colossal security failure when it came to keeping Liquid’s DNS records out of the hands of unauthorised parties.

It’s unclear what additional security measures Liquid and its DNS provider may have had in place to…

Сначала в Голливуде (The Italian Job, 2003), а затем и в Болливуде (Players, 2012).

Нужно помнить, что в 1969 году не только не было Интернета, но даже локальные вычислительные сети только-только зарождались.

Это комический элемент в сюжете: Лайл утверждает, что это он изобрел пиринговую сеть Napster, а Шон Фэннинг украл его идею.

В новой версии фильма взлом командного центра управления движением — это вполне рядовая операция, необходимость в которой возникает в процессе обсуждения тактики.

Она взламывает системы этого «лучшего в мире хакера» и узнает, что он, собственно, живет рядом, в Гоа.

И хотя пандемия, мягко говоря, потрепала мировые рынки, интерес к инвестициям никуда не делся: с начала 2020 года число пользователей трейдинговых приложений только растет.

Уязвимости в приложенияхКак и в любом ПО, в трейдинговых платформах регулярно находят уязвимости.

Проблемы нашлись как в веб-, так и в мобильных приложениях.

Заплатку для одной из обнаруженных дыр выпустили еще в 2012 году, но у авторов финтех-приложения так и не дошли руки, чтобы ее скачать.

Чтобы избежать потерь, связанных с уязвимостями и ошибками в коде, создателям трейдинговых платформ стоит еще на стадии разработки внедрять механизмы защиты, такие как автоматическое разлогинивание пользователя, шифрование и запрет …

Сообщество попутчиков BlaBlaCar пришло в Россию в 2014 году, и за шесть лет в нем зарегистрировалось более 25 миллионов человек.

Маршруты они выбирают как популярные, так и не очень.

Когда пользователь откликается на объявление, мошенники в чате на сайте BlaBlaCar просят его связаться с ними в WhatsApp и отправляют номер телефона.

Когда речь заходит об оплате поездки, жертве предлагают «купить билет» по ссылке якобы на BlaBlaCar (название сервиса присутствует в адресе сайта).

Обратите внимание — не войти в профиль, как на настоящем сайте BlaBlaCar, а просто ввести информацию.

Они обманывают всех — и продавцов, и покупателей, и регулярных, и разовых посетителей.

Ложное сообщение о подписке на Amazon PrimeВам приходит письмо (как вариант — SMS) о том, что вы якобы приобрели подписку на премиум-сервис Amazon и в ближайшее время за нее снимут деньги.

Подтверждение заказа на Amazon, который вы не делалиВаша Sony PlayStation скоро будет отправлена по указанному вами адресу.

Представьте: вам неожиданно пишет начальник и просит для неких производственных нужд приобрести пачку подарочных карт Amazon и срочно отправить ему.

Вот на что в первую очередь стоит смотреть, если вы торгуете на Amazon.

Начиная с июля этого года мы обнаружили в Google Play более 20 приложений, заявленных как каталоги модов для Minecraft, но на самом деле превращавшие смартфоны и планшеты в инструмент для показа рекламы чрезвычайно назойливым способом.

Фейковые моды для Minecraft в Google PlayНа момент написания поста большую часть найденных нами недобросовестных приложений из Google Play уже удалили, доступны оставались только пять:Zone Modding MinecraftTextures for Minecraft ACPESeeded for Minecraft ACPEMods for Minecraft ACPEDarcy Minecraft ModСамое скромное из них насчитывало более 500 установок, а самое популярное — более 1 000 000.

Мы сообщили Google о перечисленных выше вредоносных приложениях и на м…

А расчет на то, что пользователя увлечет игра и в дальнейшем он потратит в ней побольше реальных денег.

Лотерея к новому сезону в PUBG MobileВ мобильном многопользовательском шутере как раз только-только стартовал новый сезон, в рамках которого в нем появились предметы, монстры и механики из другого популярного шутера — Metro: Exodus.

На этом этапе предлагаются две привычные игрокам в PUBG Mobile опции — войти через Twitter или через Facebook.

Вводите — и, ура, вам говорят, что все хорошо и что в течение 24 часов у вас появится заветный предмет.

Как не попасться на фишинг в PUBG MobileЗлоумышленники действительно хорошо подготовились к старту нового сезона в PUBG Mobile: странички с розыгры…

Готовы отдать все за хорошую скидку и не задумываясь доверяете онлайн-продавцам?

И не потому, что так делают хорошие мальчики и девочки, а потому, что только так вы можете получить хоть какие-то гарантии.

Если вы оплатили покупку на левом сайте и продавец пропал с радаров, никто не вернет вам деньги.

Проверяйте условия возвратаНелишним будет перед покупкой изучить правила магазина о том, можно ли вернуть игру, если она не понравилась, и как поступить, если она не запустилась.

Так что в любые интернет-магазины лучше заходить из дома (предварительно как следует защитив свою домашнюю сеть).

Напротив, она активно используется уже не первый год.

Да, применение этой технологии уменьшает «поверхность атаки», но тем не менее многие киберугрозы остаются релевантными и для виртуальных рабочих мест.

Защита ВМ осложняется тем, что на них нецелесообразно использовать обычные решения, разработанные для десктопов, — хотя бы потому, что это может создать лишнюю нагрузку на платформу виртуализации и занять ресурсы, необходимые для других задач.

Это решение разрабатывалось в том числе и в расчете на применение в среде VDI.

Оно поддерживает интеграцию с основными платформами VDI (VMware Horizon, Citrix Virtual Apps and Desktops, Microsoft VDI) и управление через единую консоль.

Это не могло не сказаться на рынке труда и методах работы, в том числе и на безопасности.

Респондентами стали более 8000 человек, работающих в компаниях малого и среднего бизнеса с персоналом не более 250 сотрудников.

Интервью проводились в Бразилии, Бельгии, Китае, Франции, Германии, Италии, Японии, Люксембурге, Малайзии, Мексике, Нидерландах, России, Испании, ЮАР, Турции, ОАЭ, Великобритании и в США.

В частности — продолжать совершенствовать методы удаленной работы и, что не менее важно, удаленной защиты рабочих мест.

Узнать о том, что именно волнует современных сотрудников компаний и чего они ждут от современных работодателей, можно в полной версии отчета (на английском языке).

Простые в развертывании и не требующие навыков программирования, такие сервисы дают возможность использовать инструменты ransomware, по сути, любому желающему.

В этом случае угрозой за невыплату отступных становится не уничтожение информации, а ее публикация в открытых источниках или продажа на закрытом аукционе.

Злоумышленниками была зашифрована база данных компании, что привело к отключению от корпоративных сервисов сотен тысяч сотрудников, работавших в 60 странах.

Три недели потребовалось на восстановление большей части корпоративной инфраструктуры, что вынудило Cognizant включить в прогноз финансовых результатов второго квартала 2020 года ущерб в размере $50–70 млн.

Часто воротами для н…

Как выявить шпионящее приложение — и что с этим можно сделать?

В компании также считают, что заниматься подобным сбором сведений «вполне законно» и что их SDK полностью соответствует Общему регламенту по защите данных (GDPR).

Если предположить, что каждый пользователь загрузил такое приложение единожды, то можно примерно оценить, что у каждого 16-го жителя планеты на устройстве есть приложение, следящее за его перемещениями.

Так что даже если вы раскошелились на приложение, к сожалению, это еще не значит, что разработчики не попытаются заработать еще больше, продавая ваши данные.

Но вместе с тем оно сможет продавать эти данные, и пользователю будет непросто понять, делает оно это или нет.

Успели возникнуть целые империи ботов, занимающихся чем угодно — от майнинга криптовалют до промывки мозгов избирателям.

Чуть больше четырех лет назад в этом же блоге я написал о предстоявшей сессии «Спроси меня о чем угодно» на Reddit с сотрудниками GReAT, которые планировали в прямом эфире отвечать на вопросы пользователей в течение одного-двух часов.

Вопросов оказалось столько, что команда отвечала на них четыре с лишним часа!

Но кое-что осталось неизменным: 12 ноября мы снова проведем AMA с сотрудниками GReAT, а вы опять сможете задать им абсолютно любые вопросы.

Не забудьте подписаться на нас в Twitter, где мы разместим ссылку, по которой можно будет зайти на Reddit и спросить нас о че…

Важно: большинство настроек безопасности и конфиденциальности, о которых мы расскажем, находится в личном кабинете на сайте EA, а не в клиенте Origin.

Пароль в Origin меняется так:В личном кабинете нажмите Безопасность в меню слева.

или — и нажмите .

Введите полученный по электронной почте или в приложении код и нажмите Включить проверку при входе .

А если вы не ограничиваете свою геймерскую жизнь тайтлами EA, почитайте посты о том, как обезопасить Steam и Battle.net.

Во-первых, отсылать артефакты на проверку можно будет по API — интегрируйте OpenTIP в свои процессы анализа тем способом, который считаете наиболее быстрым и удобным.

Во-вторых, когда речь идет об исполняемом файле, кроме вердиктов о том, что именно в нем кажется подозрительным, OpenTIP теперь выдает больше первичного сырья для анализа.

Ну и наконец, в настройках появится кнопка «Private submission», которая позволит проверять артефакты, вообще никак не сообщая миру о том, что они были загружены на OpenTIP.

Просто закинуть на OpenTIP подозрительный файл самостоятельно.

Но максимальную пользу из OpenTIP извлекут те, кто будут пользоваться им не от случая к случаю, а встроят его в повседневны…

Год назад, когда ничто не предвещало событий 2020-го, мы рассказывали о консьерж-сервисах, продающих билеты в театры и на концерты в несколько раз дороже, чем на официальных сайтах площадок.

В последнее время мы наблюдаем множество фейковых сайтов, продающих несуществующие билеты на выставки и спектакли.

Маяковского умалчивает о труппе и других работниках театра и не приводит публикации в СМИ.

Мошенники этого не учли: на тот же самый спектакль они предлагают театралам купить билеты на три соседних места.

Если жертва все же решила взять билеты на фейковом сайте, ее перенаправят на форму оплаты.

Tactic; TechniqueInitial Access (TA0001); External Remote Services (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192) Execution (TA0002); Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047) Persistence (TA0003); Registry Run Keys / Startup Folder (T1060), Scheduled Task (T1053), Valid Accounts (T1078) Defense Evasion (TA0005); Code Signing (T1116), Deobfuscate/Decode Files or Information (T1140), Disabling Security Tools (T1089), File Deletion (T1107), Masquerading (T1036), Process Injection (T1055) Credential Access (TA0006); Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056) Discovery (TA0007); Ac…

Why so serious?

Через некоторое время отдел кадров удаляет фото (снимки экрана здесь и далее частично заретушированы, чтобы не раскрывать реальные имена), но оно упорно возвращается, его опять удаляют, и так происходит еще несколько раз.

В отделе кадров понимают, что намерения у кота самые серьезные, уходить он не хочет, и призывают на помощь веб-программиста — человека, который делал сайт и разбирается в нем, а сейчас его администрирует.

Программист заходит на сайт, еще раз удаляет надоевшего кота, выявляет, что его разместили от имени самого отдела кадров, затем делает предположение, что пароль отдела кадров утек к каким-то сетевым хулиганам, и меняет его.

Кот больше не появляется.

Теперь мы знаем, что исследуемый компьютер работал под управлением ОС Windows 7 Professional с пакетом обновления SP1, а, значит, знаем, с какими криминалистическими артефактами можем столкнуться, и какие из них нам могут понадобиться.

Неплохим началом может стать поиск потенциальных механизмов закрепления в системе, которые позволяют вредоносным программам осуществлять повторный запуск после перезагрузки компьютера.

Начнем с простого: возьмем файл реестра NTUSER.DAT из каталога пользователя (С:\Users\%username%\) с самой свежей датой модификации и извлечем из него данные при помощи все того же RegRipper.

Если мы снова хотим получить номер записи необходимого нам файла средствами fls и find…

Прогнозы:Everyday we work hard to make life of our clients better and happier

Today, Talos is publishing a glimpse into the most prevalent threats we’ve observed between November 13 and November 20.

Instead, this post will summarize the threats we’ve observed by highlighting key behavioral characteristics, indicators of compromise, and discussing how our customers are automatically protected from these threats.

Spotting a single IOC does not necessarily indicate maliciousness.

Detection and coverage for the following threats is subject to updates, pending additional threat or vulnerability analysis.

As always, please remember that all IOCs contained in this document are indicators, and that one single IOC does not indicate maliciousness.

Start by building a complete inventory of everything connected to the industrial network, noting how critical each asset is to the business.

Cisco Cyber Vision simplifies the collaborative workflow I just described.

For OT teams, Cyber Vision is an easy way to group assets into zones and to define the normal state for various parts of the network.

As a side benefit, Cyber Vision gives OT the operational insights to improve production efficiency.

Where partnership is optional for the coyote and badger, it’s a must-have for IT and OT teams working to secure industrial networks.

Within our Cisco Identity Service Engine (ISE) 3.0 release, we started talking about dynamic visibility.

Dynamic visibility has context that can be updated from the cloud and throughout the session to keep up with threats.

Build zero trust: If your endpoints are not continually analyzed with analytics to build and maintain trust, based on several identifiers regardless of location—you are not doing zero trust within the workplace.

With visibility that is dynamic, you can reduce mean time to remediation, automate threat containment, and build zero trust within the workplace.

To learn more about ISE 3.0, take a look at What’s New in 3.0, At-a-Glance, or visit our ISE product page.

Emotet is one of the most heavily distributed malware families today.

Cisco Talos observes large quantities of Emotet emails being sent to individuals and organizations around the world on an almost daily basis.

Emotet is often the initial malware that is delivered as part of a multi-stage infection process and is not targeted in nature.

Emotet has been observed taking extended breaks over the past few years, and 2020 was no exception.

Let’s take a look at what Emotet has been up to in 2020 and the effect it’s had on the internet as a whole.

Weak encryptionThe Nibiru ransomware is a .NET-based malware family.

It traverses directories in the local disks, encrypts files with Rijndael-256 and gives them a .Nibiru extension.

Rijndael-256 is a secure encryption algorithm.

However, Nibiru uses a hard-coded string “Nibiru” to compute the 32-byte key and 16-byte IV values.

The decryptor program leverages this weakness to decrypt files encrypted by this variant.

We tried to determine which security practices, or factors, appeared to correlate most with the desired outcomes of a security program.

The resulting report, dubbed the Cisco Security Outcomes Study, will be released on December 1 – sign up to be the first to know when it comes out.

We used the high-level security functions defined in NIST Cybersecurity Framework for this.

NIST security functions most strongly correlated with overall security program successThe surprising thing about this chart is that it’s telling us that the Identify, Detect, and Respond functions contribute to a successful security program more than Protect.

Sign up and be the first to know when the Security Outcomes Stu…

Everyone is talking zero trust, Cisco included.

But the first step for a zero trust model for your application workloads is understanding your environment.

Without that level of understanding, you will struggle to effectively deploy zero trust (micro-segmentation) policy enforcement at the workload level.

Enforcement without this level of understanding limits your zero trust policy effectiveness.

For more information on a comprehensive zero trust strategy, here are couple of valuable resourcesShareShare:

Today, Talos is publishing a glimpse into the most prevalent threats we’ve observed between November 6 and November 13.

Instead, this post will summarize the threats we’ve observed by highlighting key behavioral characteristics, indicators of compromise, and discussing how our customers are automatically protected from these threats.

Additionally, please keep in mind that IOC searching is only one part of threat hunting.

Detection and coverage for the following threats is subject to updates, pending additional threat or vulnerability analysis.

As always, please remember that all IOCs contained in this document are indicators, and that one single IOC does not indicate maliciousness.

You could even then speak of observable domains as having certain requirements that satisfy the type of analytics you would like to perform.

Telemetry is the data that represents changes in that domain that feeds your behavioral analytics outcomes.

My suggestion is that you begin with these questions and then hold security analytics to them to see if they are competent to answer them daily, weekly, monthly, etc.

Your business must always remain “Under analytics” and only then will you be one step ahead of your attackers.

To learn more, visit the Cisco Secure Network Analytics webpage.

Secure the workloads that apps run onProtecting workloads is the most dynamic way to ensure security for applications and the environments that run them.

Cisco Secure Workload protects your applications by generating app behavior- driven policies and enforces it across any multi-cloud environment.

Secure access to apps across all users and devicesThis is critical for all organizations to guarantee integrity of all users and devices that access their applications.

Cisco’s Duo Beyond enables you to establish user-device trust and secure access to applications.

This helps you identify corporate versus personal devices with easy certificate deployment, block untrusted endpoints, and give users …

Cisco Talos has observed a new version of a remote access trojan (RAT) family known as CRAT.

Apart from the prebuilt RAT capabilities, the malware can download and deploy additional malicious plugins on the infected endpoint.

Cisco Talos has recently discovered a new version of the CRAT malware family.

This version consists of multiple RAT capabilities, additional plugins and a variety of detection-evasion techniques.

In the past, CRAT has been attributed to the Lazarus Group, the malicious threat actors behind multiple cyber campaigns, including attacks against the entertainment sector.

Cisco Tetration release 3.4 expands support for micro-segmentation, workload and container securityCisco Tetration, a leader in micro-segmentation and workload security, announces significant new enhancements, available now, that help security architects achieve the protection required for today’s heterogeneous multicloud environments.

One of the key challenge’s businesses face is how to provide a secure infrastructure for applications without compromising business agility.

Many companies like Per Mar Security Services choose Tetration to be the foundation of their zero-trust and broader cybersecurity plan, protecting their critical applications from compromise.

This latest Tetration releas…

Remote desktop technology is not new and there are a number of solutions available, ranging from platform-independent implementations, such as VNC, to third-party services that make remote desktop connections a breeze to set up and use.

One remote desktop implementation that stands out is Window’s Remote Desktop Services, which relies on the Remote Desktop Protocol (RDP) for communication.

RDP as a targetAs convenient as this may be, remote desktop solutions—and RDP in particular—come with their share of security concerns.

Then, in May 2019, a vulnerability in the way Remote Desktop Services handles RDP requests was disclosed.

Further highlighting concerns about RDP attacks, is the large nu…

Today, Talos is publishing a glimpse into the most prevalent threats we’ve observed between October 30 and November 6.

Instead, this post will summarize the threats we’ve observed by highlighting key behavioral characteristics, indicators of compromise, and discussing how our customers are automatically protected from these threats.

Additionally, please keep in mind that IOC searching is only one part of threat hunting.

Detection and coverage for the following threats is subject to updates, pending additional threat or vulnerability analysis.

As always, please remember that all IOCs contained in this document are indicators, and that one single IOC does not indicate maliciousness.

IT versus OTUnlike information technology (IT) security, OT security is focused on securing physical processes and assets rather than digital assets like containers and SQL databases.

How Azure Defender for IoT works for youBy incorporating agentless technology from Microsoft’s recent acquisition of CyberX, Azure Defender for IoT enables IT and OT teams to identify critical vulnerabilities and detect threats using IoT/OT-aware behavioral analytics and machine learning—all without impacting availability or performance.

Unified IT/OT security monitoring and governance: Azure Defender for IoT is deeply integrated with Azure Sentinel and also supports third-party tools such as Splunk, IBM QRada…

Howdy folks,I’m proud to announce that for the fourth year in a row, Microsoft Azure Active Directory (Azure AD) has been recognized as a “Leader” in Gartner Magic Quadrant for Access Management, Worldwide.

: Azure AD natively offers comprehensive logging, dashboard, and reporting capabilities, as well as identity analytics with Azure AD Identity Protection.

API access control : We offer built-in centralized policy management, management of security tokens, token translation, and developer self-service support.

In addition, Azure AD offers native integration with the Azure API Management service or with third-party API gateway products for more advanced API security.

In addition, Azure AD o…

Azure Sphere first entered the IoT Security market in 2018 with a clear mission—to empower every organization on the planet to connect and create secure and trustworthy IoT devices.

Mike Czamara, a General Manager at Microsoft, leads a team dedicated to the critical environment and availability of Azure Datacenters worldwide.

The end-to-end solution includes secured hardware, the custom-built Azure Sphere OS, the cloud-based Azure Sphere Security Service, and ongoing servicing by Microsoft security experts for more than ten years.

I knew nothing could come close to the level of security Azure Sphere could offer,” says Adolfo.

For every Azure datacenter, security is the greatest priority, an…

Figure 1: Legacy access modelIn a Zero Trust security model, every access request is strongly inspected for anomalies before granting access.

Connect apps to an identity based, secure access solutionWith Microsoft Azure Active Directory (Azure AD), it’s easy to connect all your applications through a single identity-based control plane.

Azure AD pre-authenticates every request, ensuring that only verified traffic ever gets to your app; thus giving you another layer of protection.

Protecting you in real-timeMicrosoft Cloud App Security integrates natively with Azure AD conditional access to extend real-time security into the session for both your cloud and on-premises applications.

This nati…

In recent months, we’ve detected cyberattacks from three nation-state actors targeting seven prominent companies directly involved in researching vaccines and treatments for COVID-19.

The targets include leading pharmaceutical companies and vaccine researchers in Canada, France, India, South Korea, and the United States.

The attacks came from Strontium, an actor originating from Russia, and two actors originating from North Korea that we call Zinc and Cerium.

Learn more at the official Microsoft blog.

As businesses adapt to the increase in remote work and unmanaged device use, Cloud Access Security Broker (CASB) use has accelerated.

According to the most recent report from Gartner, “CASBs (have become) essential elements of cloud security strategies.”We believe that Cloud App Security is a critical component of any security portfolio to enable a Zero Trust security approach.

Learn moreRead this complimentary copy of the Gartner Magic Quadrant for Cloud Access Security Brokers for the analysis behind Microsoft’s position as a Leader.

You can also read Forrester’s Total Economic Impact ™ of Microsoft Cloud App Security for details on how Cloud App Security can save time and money.

* Gartne…

Key Layers to Building a Smarter SOCWe recommend that security operations center teams implement the following three key layers of a smarter system on a chip (SOC) architecture when looking to generate continuous value from your Azure security stack with managed security services.

The world of security data collection has evolved.

That’s where Azure Sentinel comes in, supplying correlation and analytics rules and filtering massive volumes of events to obtain high-context alerts.

Azure Sentinel uses machine learning to proactively find anomalies hidden within acceptable user behavior and generate alerts.

For more information about Microsoft Security Solutions, visit the Microsoft Security we…

Today, Microsoft alongside our biggest silicon partners are announcing a new vision for Windows security to help ensure our customers are protected today and in the future.

In collaboration with leading silicon partners AMD, Intel, and Qualcomm Technologies, Inc., we are announcing the Microsoft Pluton security processor.

Pluton design redefines Windows security at the CPUToday, the heart of operating system security on most PCs lives in a chip separate from the CPU, called the Trusted Platform Module (TPM).

Windows devices with Pluton will use the Pluton security processor to protect credentials, user identities, encryption keys, and personal data.

The Pluton security processor will provid…

As a unified, scalable, cloud-native, security information event management (SIEM), Forrester Consulting found that Azure Sentinel delivers on these needs.

Providing alert detection, threat visibility, proactive hunting, and threat response across your enterprise, the commissioned study, The Total Economic Impact of Microsoft Azure Sentinel, conducted by Forrester Consulting shows that Azure Sentinel delivers:A three-year 201 percent return on investment (ROI) with a payback period of less than six months.

“Thanks to the management efficiencies with Azure Sentinel, I was able to reprogram the work effort of around four FTEs.

Download the full Forrester Total Economic Impact of Microsoft Azu…

Because resource access is specific to a platform’s needs, Tcb Launch compares the OEM’s SMM access policy with several levels of Windows SMM isolation requirements to determine the level of isolation provided.

SMIs are suspended during DRTM, so the new root of trust established by DRTM can evaluate the security of the SMM access policy.

Intel Hardware ShieldIntel® Hardware Shield, a part of the Intel vPro® platform, uses CPU hardware and firmware to enforce the platform’s SMM access policy.

The module first verifies the integrity of the hardened SMM code used to enforce the SMM access policy.

The module first verifies the integrity of the hardened SMM code used to enforce the SMM access po…

While nobody could have predicted the world’s current state, it has provided a very real-world test of the investments we have made implementing a Zero Trust security model internally.

Much of the credit for this success goes to the Zero Trust journey we started over three years ago.

Zero Trust has been critical in making this transition to a work-from-home model relatively friction-free.

Before I jump in, I just want to mention that this blog will assume you’ve completed some of the foundational elements needed for a Zero Trust security model.

As such, how you think about Zero Trust and your investments might be different than the company across the street.

Microsoft Endpoint Data Loss Prevention Endpoint Data Loss Prevention (DLP) | What it is and how to set it up in Microsoft 365.

To help our customers to address this challenge, today we are excited to announce the general availability of Microsoft Endpoint Data Loss Prevention (DLP).

Figure 2: Data loss prevention event alerts show in the new dashboard in Microsoft 365 compliance center.

Endpoint DLP general availability will start rolling out to customers’ tenants in Microsoft 365 E5/A5, Microsoft 365 E5/A5 Compliance, and Microsoft 365 E5/A5 Information Protection and Governance starting today.

You can sign up for a trial of Microsoft 365 E5 or navigate to the Microsoft 365 compliance cen…

Over the past few years, we significantly increased our investment in building risk management and compliance solutions, inclusive of information archiving and management.

Additionally, we invested in extending the Microsoft compliance ecosystem to be beyond Microsoft 365 with 30+ pre-built data connectors, Microsoft Graph eDiscovery API, and workflow customizations in communication compliance.

In recognition of these investments, I am delighted to announce that Gartner has listed Microsoft as a Leader in its 2020 Magic Quadrant for Enterprise Information Archiving.

For more details about our information archiving solution, visit our website and stay updated with our blogs.

Gartner research…

Security keys and your phone’s built-in security keys are reshaping the way users authenticate online.

So, today we are releasing a new open source security key test suiteThe protocol powering security keysUnder the hood, roaming security keys are powered by the FIDO Alliance CTAP protocols , the part of FIDO2 that ensures a seamless integration between your browser and security key.

Over the last two years, our test suite grew to include over 80 tests that cover all the CTAP2 features.

Back in March 2020, we demonstrated our test suite to the FIDO Alliance members and offered to extend testing to all FIDO2 keys.

We got an overwhelmingly positive response from the members and have been work…

Presenting a Driving License is simple, right?

Mobile Driving License ISO StandardThe ISO 18013-5 “Mobile driving licence (mDL) application” standard has been written by a diverse group of people representing driving license issuers (e.g.

This ISO standard allows for construction of Mobile Driving License (mDL) applications which users can carry in their phone and can use instead of the plastic card.

Instead of handing over your plastic card, you open the mDL application on your phone and press a button to share your mDL.

Compared to the plastic card, this is a huge improvement; a plastic card shows all your data even if the verifier doesn’t need it.

Open source software is the foundation of many modern software products.

It is paramount that these open source components are secure and reliable, as weaknesses impact those that build upon it.

Google cares deeply about the security of the open source ecosystem and recently launched the Open Source Security Foundation with other industry partners.

syzkaller, a kernel fuzzing tool from Google, has been instrumental in finding kernel vulnerabilities in various operating systems.

Given the overall success of these efforts, we plan to continue hosting fuzzing internships every year to help secure the open source ecosystem and teach incoming open source contributors about the importance of fuzz…

In Android 11, Gboard also launched the contextual input suggestion experience by integrating on-device smarts into the user's daily communication in a privacy-preserving way.

In Android 11, Gboard launched a consistent and coordinated approach to access contextual input suggestions.

The smart input suggestions are rendered with a transparent layer on top of Gboard’s suggestion strip.

Gboard strives to build privacy-preserving effortless input products for users to freely express their thoughts in 900+ languages while safeguarding user data.

We will keep pushing the state of the art in smart input technologies on Android while safeguarding user data.

To check whether you have any compromised passwords, Chrome sends a copy of your usernames and passwords to Google using a special form of encryption.

Additionally, Chrome Password Manager allows you to autofill saved passwords into iOS apps or browsers if you enable Chrome autofill in Settings.

Earlier this year, Chrome began securing and blocking what’s known as “mixed content”, when secure pages incorporate insecure content.

Additionally, Chrome 86 will block or warn on some insecure downloads initiated by secure pages.

Currently, this change affects commonly abused file types, but eventually secure pages will only be able to initiate secure downloads of any type.

Posted by Kylie McRoberts, Program Manager and Alec Guertin, Security EngineerGoogle’s Android Security & Privacy team has launched the Android Partner Vulnerability Initiative (APVI) to manage security issues specific to Android OEMs.

As part of that effort, we have a range of existing programs to enable security researchers to report security issues they have found.

For example, you can report vulnerabilities in Android code via the Android Security Rewards Program (ASR), and vulnerabilities in popular third-party Android apps through the Google Play Security Rewards Program.

Google releases ASR reports in Android Open Source Project (AOSP) based code through the Android Security Bulletin…

This blog post outlines recent improvements around how users interact with the lockscreen on Android devices and more generally with authentication.

Secondary Tier - Biometrics: The second tier consists primarily of biometrics, or something the user is.

These constraints reflect the length of time before a biometric falls back to primary authentication, and the allowed application integration.

You can see a summary of the details in the table below, or the full details in the Android Android Compatibility Definition Document (CDD).

Improvements to BiometricPromptAndroid 10 introduced the BiometricManager class that developers can use to query the availability of biometric authentication and…

Google’s Advanced Protection Program helps secure people at higher risk of targeted online attacks, like journalists, political organizations, and activists, with a set of constantly evolving safeguards that reflect today’s threat landscape.

As a first step, today Chrome is expanding its download scanning options for users of Advanced Protection.

Advanced Protection users are already well-protected from phishing.

In August 2019, Chrome began warning Advanced Protection users when a downloaded file may be malicious.

If you’re a user at high-risk of attack, visitg.co/advancedprotectionto enroll in the Advanced Protection Program.

To take it one step further, and as of today, we are announcing increased reward amounts for reports focusing on potential attacks in the product abuse space.

The nature of product abuse is constantly changing.

Identification of new product abuse risks remains the primary goal of the program.

The final reward amount for a given abuse risk report also remains at the discretion of the reward panel.

We plan to expand the scope of We plan to expand the scope of Vulnerability Research Grants to support research preventing abuse risks.

Pixel 4a ioXt certificationToday we are happy to announce that the Pixel 4/4 XL and the newly launched Pixel 4a are the first Android smartphones to go through ioXt certification against the Android Profile.

The report documents the evaluation of Pixel 4/4 XL and Pixel 4a against the ioXt Android Profile.

Security by Default is one of the most important criteria used in the ioXt Android profile.

Screenshot of the presentation of the Android Device Security Database at the Android Security Symposium 2020In partnership with those teams, Google created Uraniborg, an open source tool that collects necessary attributes from the device and runs it through this formula to come up with a raw score.…

Uninitialized memory bugs occur in C/C++ when memory is used without having first been initialized to a known safe value.

For kernel stack initialization we adopted the CONFIG_INIT_STACK_ALL from upstream Linux.

Finding Heap Memory Safety Bugs in the Wild (GWP-ASan)Android 11 introduces GWP-ASan, an in-production heap memory safety bug detection tool that's integrated directly into the native allocator Scudo.

Software Tag-Based KASANContinuing work on adopting the Arm Memory Tagging Extension (MTE) in Android, Android 11 includes support for kernel HWASAN, also known as Software Tag-Based KASAN.

Software Tag-Based KASAN is available in 4.14, 4.19 and 5.4 Android kernels, and can be enabled …

Android 11 continues to make important strides in these areas, and this week we’ll be sharing a series of updates and resources about Android privacy and security.

As shared in the “All things privacy in Android 11” video, we’re giving users even more control over sensitive permissions.

Android 11 adds new modules, and maintains the security properties of existing ones.

For example, Conscrypt, which provides cryptographic primitives, maintained its FIPS validation in Android 11 as well.

We’re working with various government agencies and industry partners to make sure that Android 11 is ready for such digital-first identity experiences.

Using an NFC security key on iPhoneBoth the USB-A and Bluetooth Titan Security Keys have NFC functionality built-in.

You can use a Lightning security key like the YubiKey 5Ci or any USB security key if you have an Apple Lightning to USB Camera Adapter.

In order to add your Google Account to your iOS device, navigate to “Settings > Passwords & Accounts” on your iOS device or install the Google app and sign in.

In order to add your Google Account to your iOS device, navigate to “Settings > Passwords & Accounts” on your iOS device or install the Google app and sign in.

This capability, available for both personal and work Google Accounts, simplifies your security key experience on compatible i…

The Advanced Protection Program is our strongest level of Google Account security for people at high risk of targeted online attacks, such as journalists, activists, business leaders, and people working on elections.

Anyone can sign up to automatically receive extra safeguards against phishing, malware, and fraudulent access to their data.Since we launched, one of our goals has been to bring Advanced Protection’s features to other Google products.

Over the years, we’ve incorporated many of them into GSuite Chrome , and most recently, Android .

We want as many users as possible to benefit from the additional levels of security that the Program provides.Today we’re announcing one of the top r…