Задержаны подозреваемые в хищении 20 млн рублей с банковских картAlexander AntipovЗлоумышленники отправляли своим жертвам SMS-сообщения, в которых утверждалось о блокировке банковской карты.

Полиция Санкт-Петербурга задержала пятерых подозреваемых в краже средств с банковских карт на общую сумму в 20 млн руб.

Как сообщается на сайте МВД России, злоумышленники отправляли своим жертвам SMS-сообщения, в которых утверждалось о блокировке банковской карты.

Мошенники под видом сотрудников службы безопасности банка предлагали «разблокировать», но для этого необходимо было позвонить на указанный в SMS-сообщении номер и указать свои банковские реквизиты.

В ходе обысков в квартирах задержанных сотруд…

Группировка Berserk Bear атакует инфраструктуру ГерманииAlexander AntipovФедеральные спецслужбы в очередной раз предупредили операторов критический инфраструктуры об угрозе.

Правительство Германии в очередной раз предупредило о киберпреступной группировке Berserk Bear, долгое время атакующей инфраструктуру страны.

Согласно уведомлению, группировка Berserk Bear атакует предприятия электро- и водоснабжения.

Как сообщается в документе, ранее в нынешнем году специалисты обнаружили в сетях одной из неназванных компаний признаки «удаленной компрометации».

Напомним, в 2018 году Федеральное управление по информационной безопасности уже предупреждало об атаках Berserk Bear на электроэнергетический к…

Суд может обязать авиакомпанию EasyJet заплатить18 млрд фунтов за утечку данныхAlexander AntipovЮридическая фирма PGMBM подала против EasyJet коллективный иск от имени пострадавших пассажиров.

Британской бюджетной авиакомпании EasyJet, возможно, придется выплатить 18 млрд фунтов стерлингов своим клиентам, затронутым недавно раскрытой утечкой данных.

Когда и как именно произошла утечка, EasyJet не уточнила.

От имени затронутых инцидентом пассажиров юридическая фирма PGMBM подала в Высокий суд Лондона коллективный иск, потребовав возместить им 18 млрд фунтов стерлингов (по 2 тыс.

фунтов стерлингов каждому пострадавшему).

Приложение Катара для отслеживания контактов с больными COVID-19 раскрывало данные пользователейAlexander AntipovЭксплуатация уязвимости позволяет получить доступ к конфиденциальной информации любого пользователя.

Специалисты из международной неправительственной организации Amnesty International обнаружили опасную уязвимость в приложении EHTERAZ для отслеживания контактов с зараженными, которое правительство Катара обязало граждан и резидентов страны установить на свои мобильные устройства.

Эксплуатация уязвимости позволяет злоумышленникам получить доступ к конфиденциальной информации, включая имя, идентификационный номер физического лица, информацию о состоянии здоровья и данные о местонах…

В ПО Emerson OpenEnterprise для SCADA обнаружено несколько уязвимостейAlexander AntipovЭксплуатация уязвимостей позволяет удаленно выполнить произвольный код с повышенными привилегиями.

Специалисты из «Лаборатории Касперского» выявили четыре уязвимости ( CVE-2020-10640, CVE-2020-10632, CVE-2020-10636 и CVE-2020-6970 ) в Emerson OpenEnterprise — решении для диспетчерского управления и сбора данных (SCADA), разработанном для нефтегазовой промышленности.

Остальные уязвимости могут быть использованы для повышения привилегий и похищения паролей учетных записей пользователей OpenEnterprise, однако для эксплуатации проблем требуется локальный доступ к целевой системе.

По результатам поискового зап…

Китайский ботнет DoubleGuns насчитывает миллионы жертвAlexander AntipovСпециалистам удалось лишь частично отключить инфраструктуру одного из крупнейших китайских ботнетов.

Специалисты компании Qihoo 360 раскрыли подробности об одном из крупнейших ботнетов в Китае под названием DoubleGuns.

Данный ботнет атакует только китайских пользователей и насчитывает миллионы жертв.

Он по-прежнему попадает на устройства через зараженные приложения (в основном, нелицензионные игры), распространяемые на китайских сайтах (в соцсетях и на игровых форумах).

Когда ботнет достиг таких размеров, что его уже нельзя было игнорировать, специалисты Qihoo 360 скооперировались с коллегами из компании Baidu для его ун…

В Минкомсвязи не поддержали инициативу депутатов о разблокировке TelegramAlexander AntipovМинкомсвязи пояснило отказ от идеи возможным злоупотреблением со стороны разработчиков подобных сервисов.

Министерство цифрового развития, связи и массовых коммуникаций РФ не поддержало инициативу депутатов «Справедливой России» о разблокировке мессенджера Telegram во время периода повышенной готовности, сообщает «Интерфакс».

Как пояснили в ведомстве, используемые в законопроекте термины, такие как «официальный сервис», не имеют раскрытия в тексте и не подлежат использованию, а формулировка «текущая ситуация» вызывает сомнение и имеет расширительное толкование.

В прошлом месяце депутаты Госдумы от «Спр…

Функция быстрой загрузки Windows 10 препятствует установке обновленийAlexander AntipovMicrosoft намерена устранить проблему в будущих релизах Windows.

Функция быстрой загрузки (Fast Startup), призванная ускорить процесс загрузки ОС при включении компьютера и активированная по умолчанию на большинстве «чистых» установок Windows 10, может препятствовать корректной инсталляции обновлений.

Функция быстрой загрузки совмещает в себе свойства спящего режима и завершения работы.

Казалось бы, это очень удобно, однако функция быстрой загрузки работает не так, как хотелось.

Согласно уведомлению Microsoft, на устройствах под управлением Windows 10 с включенной функцией быстрой загрузки могут возникнуть…

Более 30 баз данных интернет-магазинов выставлены на продажу в СетиAlexander AntipovПохищенные данные могут содержать адреса электронной почты, имена, хеши паролей, почтовые адреса и пр.

Неизвестный злоумышленник выставил на продажу в Сети более трех десятков баз данных SQL, похищенных у online-магазинов в разных странах.

Злоумышленник взламывает незащищенные серверы, копирует базы данных и оставляет сообщение с требованием выкупа за похищенную информацию.

В нескольких кошельках, управляемых злоумышленником, было зафиксировано более 100 проведенных транзакций на общую сумму в 5,8 BTC (более $51 тыс.).

Более половины из перечисленных баз данных были похищены у интернет-магазинов в Германии, …

Мы проанализировали эффективность «софта» для извлечения данных из мобильных устройств.

Первая — извлечение информации (рекомендуем ознакомиться со статьёй «Сheckm8, или новые горизонты извлечения данных из iPhone»).

Мы оценили время, затрачиваемое на анализ данных различными утилитами, и рассмотрели то, какие типы артефактов и в каком количестве при этом извлекаются.

Эта копия общедоступна; вы можете использовать её как для проверки полученных результатов, так и для собственных тестов.

Из результатов следует, что наиболее сбалансированной программой для анализа данных, извлечённых из мобильных устройств (по соотношению количества артефактов и времени, затраченного на анализ), является прог…

Работа с календарём и расписанием рабочего дня сотрудникаНастройка конфигурации агента для учёта рабочего времениРазработчиками программного комплекса StaffCop Enterprise подготовлена доступная «из коробки» специализированная конфигурация, которая так и называется — «Учёт рабочего времени».

И в том, и в другом случае откроется панель редактирования.

Отображаются начало и окончание рабочего периода, вычисляется общее время работы, активное время и время простоя, информация об опоздании, сверхурочных и продуктивности.

Продуктивное время по отделамОтчёт «Продуктивное время по отделам» отражает суммарное продуктивное (зелёный цвет) / непродуктивное (красный цвет) / нейтральное (серый цвет) врем…

Хотелось бы начать с вынужденного перехода многих сотрудников на удалённую работу в связи с мерами по самоизоляции в период эпидемии COVID-19.

М. Р.: Мы стараемся максимально поддерживать любой бизнес в это непростое время и предусмотрели ряд возможностей, не требующих дополнительных затрат.

Больше онлайн-активности — это также больше возможностей для злоумышленников, сейчас для них настало действительно золотое время.

М. Р.: Fortinet плотно работает с регуляторами на протяжении последних нескольких лет и получал сертификации ФСТЭК с 2014 года.

С тех пор мы отладили внутренние процессы для обеспечения выполнения требований ФСТЭК и в чём-то даже опередили других вендоров.

Проанализируем, как с помощью решения NetIQ Advanced Authentication реализовать дополнительные факторы аутентификации и устранить риски использования банальной связки «логин-пароль».

Мы хотим рассказать об одном из наиболее актуальных сегодня представителей этой линейки — программном средстве многофакторной аутентификации NetIQ Advanced Authentication.

Схема отказоустойчивой архитектуры NetIQ Advanced AuthenticationДля высоконагруженных сред NetIQ Advanced Authentication предлагает архитектуру с дополнительными компонентами: веб-серверами и балансировщиками нагрузки.

Настройка цепочек методов аутентификации в NetIQ Advanced AuthenticationСобытия аутентификацииКак говорилось выше, в NetIQ Ad…

Разберём интересный инцидент, в ходе которого решение класса DAM / DBF «Гарда БД» помогло выявить инсайдерские действия.

Все сделки фиксировались в CRM.

Проблема заключалась в том, что в CRM действия пользователя, который открывает данные по сделкам, абсолютно легитимны и неотличимы от его стандартных операций.

В «Гарде БД» настроена политика, выявляющая все факты открытия карточек сделок в CRM.

Дополнительно при мониторинге индексируются поля содержимого ответа (в формате XML или JSON), соответствующие полям веб-страницы, отображаемой пользователю в CRM: «ответственный за сделку», «регион сделки».

Мы провели сравнение всех представленных на российском рынке TLS-шлюзов отечественного производства, имеющих сертификаты безопасности.

В сравнении участвовали ViPNet TLS Gateway, «КриптоПро NGate», «Континент TLS», а также «С-Терра TLS», который должен появиться на рынке в ближайшем будущем.

Схожие требования прописаны и в приказе ФСТЭК России №17, который касается обеспечения безопасности данных, содержащихся в государственных информационных системах.

В то же время решения на базе TLS-шлюзов позволяют создавать защищённые соединения и без VPN-клиентов, с использованием одного лишь браузера и установленных сертификатов.

Рассматриваемые продукты:«КриптоПро NGate» (ООО «КРИПТО-ПРО»); ViPNet T…

Что такое шифрование на L2 и зачем оно нужно, какие бывают категории устройств для шифрования на L2 в сетях Ethernet и в чём состоят их особенности, какие модели специализированных шифраторов доступны отечественным заказчикам?

Тем не менее уже давно на мировом и российском рынке есть устройства для межсайтового шифрования на L2.

Транспортный и туннельный режимы шифрования на L2У шифрования на L2 есть два основных преимущества.

Долгое время на российском рынке не было специализированных устройств для шифрования каналов сетей Ethernet на L2, поэтому приходилось выбирать из следующих вариантов.

Пропускная способность устройств шифрования разных классовВ 2019 году были объявлены три семейства о…

Состав сервисов «Лаборатории Касперского» для корпоративного SOCСервисы «Лаборатории Касперского» для SOC нацелены на обеспечение эталонного подхода к защите, используя четыре ключевых элемента: управление знаниями, анализ угроз, активный поиск угроз и грамотно налаженный процесс реагирования на инциденты.

Сравнение классического SOC и SOC на основе сервисов «Лаборатории Касперского»Основные возможности сервисов «Лаборатории Касперского» для корпоративного SOCИспользование сервисов «Лаборатории Касперского» для SOC предоставляет организации следующие возможности и преимущества:Своевременное обнаружение угроз посредством использования машинного обучения и множества аналитических данных, что …

Сущность, состав и проблемы безопасности АСУ ТППод АСУ ТП понимается система, состоящая из персонала и комплекса средств автоматизации технологических процессов на объектах производства.

Изначально сходство между АСУ ТП и традиционными корпоративными ИТ-системами было незначительным.

В последние годы в России и за рубежом неуклонно растёт количество стандартов и регламентирующих документов в области обеспечения информационной безопасности АСУ ТП.

Это — и стандарты ISA/IEC, и рекомендации NIST, и приказы ФСТЭК России, и отраслевые документы министерств и ведомств.

RIPE Framework: System Population Characteristics (инвентаризационная информация об АСУ ТП); Network Architecture (схема сети); C…

Но делать нужно не то, что можешь, а то, что реально нужно людям.

Меньше администрирования, больше осмысления — вот что сегодня нужно сфере ИТ.

В. К.: Мой хороший товарищ и очень уважаемый мною человек и специалист Борис Николаевич Мирошников написал замечательную книгу — «Сетевой фактор.

Вычислителя — а не решателя, не интеллекта.

Действительно, любая — точнее, рекурсивная, что и есть практически любая — задача может быть решена, если достаточно ресурсов: памяти и времени.

Рассмотрим, как с помощью UserGate можно организовать защищённый удалённый доступ сотрудников к корпоративной сети, какие есть варианты подключения и что за возможности открываются при работе пользователей через SSL VPN с использованием многофакторной аутентификации с опубликованными на веб-портале UserGate приложениями.

В частности, сфокусируем внимание на возможностях доступа через SSL VPN с использованием многофакторной аутентификации (MFA-авторизация) к приложениям, опубликованным на веб-портале UserGate.

Публикация ресурсов:с помощью правил DNAT (без авторизации с возможностью ограничения доступа по IP-адресу источника),с помощью обратного проксирования (reverse proxy) с возможностью а…

В 18% и 4% случаев уязвимости были найдены в программном обеспечении АСУ ТП и числовом программном управлении используемого оборудования соответственно.

Мировой рынок специализированных наложенных средств защиты АСУ ТПРост мирового рынка специализированных средств защиты АСУ ТП в первую очередь основывается на неуклонной цифровизации внутренней информационной инфраструктуры производств и дальнейшей её консолидации с внешними общедоступными сетями.

Мировой рынок специализированных наложенных средств и систем защиты АСУ ТП активно развивается, но уже сейчас можно отметить, что он строго сегментирован.

Российский рынок специализированных наложенных средств защиты АСУ ТПХотя отечественный рынок…

Или, в более продвинутой реализации, — IGA (Identity Governance and Administration).

Рассмотрим, какие технологии и подходы уже находятся «под капотом» таких систем или в скором времени в них войдут.

Эта структура будет также весьма полезной и для предоставления удалённого доступа к данным, хранящимся на корпоративных серверах.

Вход на веб-ресурс и запрос на ввод дополнительного одноразового пароля (OTP), который может быть отправлен на телефон и адрес электронной почты.

Важно пересмотреть и обеспечить все возможные мероприятия по безопасному управлению доступом как сейчас, так и с расчётом на будущую перспективу.

Сегодня мы расскажем о самом сложном задании NeoQUEST- 2019 2020. Да-да, то самое, с цифровыми подписями и эксплуатацией уязвимости Foxit Reader. Да-да, все верно, существуют две версии этого задания, и в этой статье мы наконец как следует его разберем. Добро пожаловать под кат :) Читать дальше →

Всем привет. Сегодня рассмотрим пример, когда злоумышленнику удалось обойти Windows Defender, но не удалось — безопасника. Да, речь опять про mimikatz. Как, запуская mimikatz, обойти Windows Defender, можно почитать тут. А сегодня, как я и обещал, рассмотрим что-нибудь для «синей» команды. Если это хоть кому-нибудь поможет, значит — все не зря. Итак, поехали. Читать дальше →

Специалист по информационной безопасности — не самая простая, зато востребованная ИТ-профессия. Она пугает множеством терминов и своеобразных инструментов, хотя на деле доступна людям без технического бэкграунда. Изучив ИБ, вы будете работать с государственными корпорациями, банками, средним и крупным бизнесом, облачными сервисами и стартапами. Проще говоря, везде, где есть вероятность взлома. В этой статье подробно рассказываем, кто такой специалист по информационной безопасности, чем он занимается, сколько зарабатывает и как им стать. Бонусом — подборка книг для знакомства с профессией. Читать дальше →

Hello Planets by Augustinas Raginskis Иногда возникает задача управления трафиком в зависимости от географического положения клиента. Возможные области применения — блокировка некоторых локаций либо перенаправление трафика на итоговый сервер в зависимости от локации клиента. Традиционно подобные вещи реализуются при помощи библиотек GeoIP компании MaxMind. В статье расскажу, как это сделать. Читать дальше →

Управление удалёнными рабочими местами и кибербезопасность — две основных темы предстоящего вебинара. В среду, 27 мая в 15 часов по московскому времени, специалисты Quest расскажут об инструментах, которые упрощают управление IT в текущих условиях. Вебинар пройдёт на русском языке, ссылка на регистрацию в конце поста. На вебинаре представители вендора разберут несколько кейсов: Управление и учет в Office 365;

Перенос файловых шар в Teams;

Внедрение Teams и деление на группы;

Контроль сеансов удаленного подключения и производительности пользователей;

Недостатки восстановления данных в конфигурациях Azure AD;

Аудит гибридных рабочих нагрузок AD и Office 365;

Аудит рабочих станций;

Аудит удале…

Продолжаем нашу серию материалов про работу ДИТ Москвы по дальнейшей цифровизации столицы в период повышенной готовности. Одно из самых спорных нововведений ДИТ — это приложение «Социальный мониторинг», призванное контролировать местонахождение людей, отправленных на карантин (т.е. инфицированных либо имеющих подозрение на инфицирование коронавирусом). Это мобильное приложение, которое определяет местоположение по GPS, а чтобы человек не отправился гулять без смартфона — периодически просит его сделать селфи. В случае неустановки приложения при наличии предписания или неотправки селфи — Главное контрольное управление г. Москвы выписывает штраф в размере 4000 рублей. (не очень понятно, о как…

Здравствуйте!

В предыдущих публикациях мы поговорили о возможностях системы противодействовать спаму. Сегодня хочу затронуть вопросы безопасности, а также рассказать о том, что нового появилось в системе за прошедшее время. Читать дальше →

Еще полгода назад мало кто мог представить, что практически весь офисный контингент в одночасье перейдёт на дистанционную работу. Самые страшные кошмары для служб безопасности сбылись — Zoom, Skype, Telegram, WhatsApp Microsoft Teams, Gmail и др. стали основными каналами для обсуждения служебных вопросов, согласования документов, принятия решений. Конфиденциальные данные ещё никогда не были настолько доступны и уязвимы, о чем нам еще не раз, и не два предстоит услышать. Наряду с апокалиптической картиной в информационной безопасности, картина эффективности удалённой работы уже не воспринимается как синоним прокрастинации, падения продуктивности и бесконтрольной работы сотрудников. Не случай…

Банк аутсорсит свои проекты многим подрядчикам. «Внешники» пишут код, потом передают результаты в не совсем удобном виде. Конкретно процесс выглядел так: они передавали проект, который прошёл функциональные тесты у них, а затем тестировался уже внутри банковского периметра на интеграцию, нагрузку и так далее. Часто обнаруживалось, что тесты фейлятся. Тогда всё уходило обратно внешнему разработчику. Как вы можете догадаться, это означало большие сроки исправления ошибок. Банк решил, что можно и нужно перетащить весь пайплайн к себе «под крылышко» от коммитов до выпуска. Чтобы всё было единообразно и под контролем команд, отвечающих за продукт в банке. То есть как если бы внешний подрядчик пр…

По данным аналитиков, эти атаки произошли в январе 2020 года и использовали обновленную версию малвари ComRAT.

Напомню, что первое официальное упоминание хак-группы Turla было датировано 2008 годом и связано со взломом Министерства обороны США.

Вредонос ComRAT также известен под названием Agent.BTZ и является одним из старейших инструментов Turla.

Первая из этих функций — способность малвари собирать логи антивирусов с зараженного хоста и загружать их на один из своих управляющих серверов.

Эксперты пишут, что последняя версия ComRAT 4 захватывает управление одним из браузеров жертвы, загружает предопределенный файл cookie и затем обращается к Gmail.

Малварь размещалась в разделе «Образование» и называлась DEFENSOR ID.

Так, для работы DEFENSOR ID запрашивало несколько критически значимых разрешений, среди которых изменение системных настроек, а также доступ к ­Accessibility Service (Служба специальных возможностей).

Исследователи отмечают, что приложение попало в официальный магазин Google Play благодаря исключительной скрытности.

За счет этого приложение продержалось в Google Play несколько месяцев: DEFENSOR ID было добавлено в каталог 3 февраля 2020 года и в начале мая 2020 года обновилось до версии 1.4.

Вместе с DEFENSOR ID эксперты нашли и еще одно вредоносное приложение под названием Defensor Digital: оба вредоноса пользовались одн…

Сегодня в выпуске: исследование IPC-механизмов Android, хукинг нативных библиотек с помощью Frida, правильный способ завершения короутин в Kotlin, введение в Kotlin Flow и StateFlow, перегрузка операторов в Kotlin, оператор Elvis и основы функционального программирования.

А также подборка инструментов пентестера и библиотек для разработчиков.

Друг с другом и с операционной системой приложения могли общаться только через IPC-механизм Binder, который требовал авторизации для выполнения того или иного действия.

Хукинг нативных библиотек с помощью FridaHow to hook Android Native methods with Frida (Noob Friendly) — статья о перехвате функций нативных библиотек с помощью Frida.

Предположим, мы у…

Баг получил название StrandHogg и, по сути, он может обманом вынудить пользователя предоставить опасные привилегии вредоносному приложению, причем во время взаимодействия с приложением легитимными.

Суть StrandHogg в прошлом году хорошо объяснил редактор рубрики X-Mobile Евгений Зобнин: корень проблемы состоит в том, что в Android у активностей есть флаг taskAffinity.

Но по умолчанию значение taskAffinity равно имени пакета приложения, а это значит, что в ряде случаев можно незаметно всунуть активность своего приложения в стек активностей чужого.

Но, в отличие от своей предшественницы, проблема StrandHogg 2.0 не требует каких-либо специальных настроек в Android Manifest и использования taskA…

И для всего этого злоумышленники модифицируют официальный клиент Discord.

Если жертва клюнула на эту удочку, после установки троян модифицирует JavaScript-файлы клиента Discord, чтобы превратить его в малварь, которая способна похитить токен пользователя.

Используя этот токен, хакеры получают возможность войти в Discord под видом своей жертвы.

Так, после запуска исполняемого файла AnarchyGrabber3 и изменения файлов клиента Discord, троян практически никак не проявляет себя и не запускается снова.

Фактически, единственный способ удалить AnarchyGrabber3 — это удалить клиент Discord и установить его заново.

Атака получила название RangeAmp и, по сути, она представляет собой новый метод DoS’а, использующий некорректные имплементации атрибута Range Requests.

Эта функция была создана для приостановки и возобновления трафика в контролируемых (пауза и последующее возобновление действия) или неконтролируемых (перегрузка или отключение сети) ситуациях.

Эксперты рассказывают, что протестировали атаки RangeAmp против 13 провайдеров CDN и обнаружили, что все они уязвимы перед проблемой RangeRmp SBR, а 6 провайдеров также оказались уязвимы и для варианта RangeAmp OBR в определенных комбинациях.

Так, сообщается, что злоумышленники могут использовать атаку RangeAmp SBR для амплификации трафика в 724-43330 …

В беседе с журналистами операторы Maze заметили, что несколько раз требовали у банка выкуп, и, по идее, могут продать информацию о картах в даркнете.

Однако группировка покинула сеть банка не с пустыми руками, похитив данные карт.

Опубликованный теперь дамп объемом 2 Гб содержит номера платежных карт клиентов Banco de Costa Rica.

Хакеры пишут, что публикуя эти данные в открытом доступе, они не пытаются извлечь из этого выгоду, но хотят привлечь внимание к проблемам безопасности банка.

Данные идентификационного номера банка (BIN) показали, что это дебетовые карты Visa и MasterCard, действительно выпущенные Banco de Costa Rica­.

По данным аналитиков Red Canary, недавно обнаруженная хак-группа Blue Mockingbird активна с конца 2019 года и уже взломала тысячи корпоративных систем.

Исследователи пишут, что Blue Mockingbird атакует доступные из интернета серверы, на которых работают приложения ASP.NET, использующие уязвимые версии фремворка Telerik.

Специалисты признают, что пока у них нет полной картины активности этого ботнета, но они считают, что группировка Blue Mockingbird уже заразила как минимум 1000 систем.

«Как любая ИБ-компания, мы видим лишь ограниченный участок ландшафта угроз, и не можем знать точный масштаб данной угрозы, — пишут в Red Canary.

Так как зачастую компании вообще не имеют возможности обновить …

Это открывает злоумышленнику возможность скопировать любой файл в системе и использовать его в качестве аттача при переносе issue из одного проекта в другой.

Компания GitLab в рамках программы bug bounty выплатила за этот баг 20 тысяч долларов.

INFO В русской версии интерфейса issue перевели как «обсуждение», но мне кажется, что по смыслу ближе термин «баг», «ошибка» или «проблема», ведь именно их чаще всего и описывают в issue.

NamespaceFileUploader : FileUploader 29: moved = klass.copy_to(file, target_parent)lib/gitlab/gfm/uploads_rewriter.rb60: def find_file(project, secret, file) 61: uploader = FileUploader.new(project, secret: secret) 62: uploader.retrieve_from_store!

Редактируем описа…

Специалисты SentinelOne заметили, что новая версия вредоноса Sarwent открывает порты RDP на зараженных компьютерах.

Исследователи полагают, что это обусловлено тем, что операторы малвари могут продавать доступ к зараженным хостам другим преступным группам.

Во-вторых, теперь Sarwent создает на зараженных машинах новую учетную запись пользователя Windows, включает службу RDP, а затем вносит изменения в настройки брандмауэра Windows, чтобы разрешить внешний доступ через RDP к зараженному хосту.

Фактически это означает, что операторы Sarwent могут использовать созданную учетную запись для доступа к зараженному хосту и не будут блокированы локальным брандмауэром.

Пока неясно, что операторы Sarwe…

ИБ-эксперты и журналисты Bleeping Computer обнаружили, что сайт ebay.com сканирует локальные порты посетителей в поисках приложений для удаленной поддержки и удаленного доступа.

Многие из этих портов связаны с такими инструментами, как Windows Remote Desktop, VNC, TeamViewer, Ammy Admin и так далее.

Программа Обозначение Ebay Порт Неизвестно REF 63333 VNC VNC 5900 VNC VNC 5901 VNC VNC 5902 VNC VNC 5903 Remote Desktop Protocol RDP 3389 Aeroadmin ARO 5950 Ammyy Admin AMY 5931 TeamViewer TV0 5939 TeamViewer TV1 6039 TeamViewer TV2 5944 TeamViewer TV2 6040 Anyplace Control APC 5279 AnyDesk ANY 7070Первым на эту странность обратил внимание ИБ-специалист, известный как Nullsweep.

Тот высказал пре…

Исследование компании выявило, что получение доступа к ресурсам в локальной сети возможно для 93% компаний.

Причем 77% векторов атак связаны с недостаточной защитой веб-приложений, и для проникновения в локальную сеть может потребоваться всего 30 минут.

Одним из самых популярных оказался пароль, в котором использовались комбинации месяца и года в латинской раскладке (например, Jrnz,hm2019 или Fduecn2019).

Такие пароли встречались в каждой третьей компании, а в одной организации они были подобраны для более чем 600 пользователей.

В ходе тестирования широко эксплуатировались известные уязвимости ПО, которые позволили проникнуть в локальные сети 39% компаний, например уязвимости в устаревших в…

Специалисты компании Google подсчитали, что примерно 70% проблем с безопасность в кодовой базе Chrome связаны с управлением памятью.

В общей сложности инженеры Google изучили 912 ошибок («высокой» или «критической» степени серьезности), исправленных в стабильной ветке Chrome с 2015 года.

Как оказалась, половина из вышеупомянутых 70% — это use-after-free уязвимости, возникающие из-за некорректного управления указателями памяти, что в итоге открывает внутренние компоненты Chrome для атак.

Так, имея дело с C и C ++, разработчики имеют полный контроль над управлением указателями памяти в приложении.

Инженеры Google пишут, что в период с марта 2019 года по настоящее время в Chrome было устранено…

Chinese security firm Qihoo 360 Netlab said it partnered with tech giant Baidu to disrupt a malware botnet infecting over hundreds of thousands of systems.The botnet was traced back to a group it calls ShuangQiang (also called Double Gun ), which has been behind several attacks since 2017 aimed at compromising Windows computers with MBR and VBR bootkits , and installing malicious drivers for financial gain and hijack web traffic to e-commerce sites.In addition to using images uploaded to Baidu Tieba to distribute configuration files and malware — a technique called steganography — the group has begun using Alibaba Cloud storage to host configuration files and Baidu's analytics platform Tong…

it is almost impossible for targeted users to spot the attack,it can be used to hijack the interface for any app installed on a targeted device without requiring configuration,it can be used to request any device permission fraudulently,it can be exploited without root access,it works on all versions of Android, except Q.it doesn't need any special permission to work on the device.

an app you're already logged into is asking for a login,permission popups that do not contain an app name,permissions asked from an app that shouldn't require or need the permissions it asks for,buttons and links in the user interface do nothing when clicked on,The back button does not work as expected.

Found thi…

Cybersecurity researchers today uncovered a new advanced version of ComRAT backdoor, one of the earliest known backdoors used by the Turla APT group, that leverages Gmail's web interface to covertly receive commands and exfiltrate sensitive data.

"The ComRAT v4 (or "Chinch" by the malware authors), as the new successor is called, uses an entirely new code base and is far more complex than its earlier variants, according to ESET.

"The main use of ComRAT is discovering, stealing, and exfiltrating confidential documents," the researchers said.

"Version four of ComRAT is a totally revamped malware family released in 2017," ESET researcher Matthieu Faou said.

"Its most interesting features are t…

The hacking team behind the "unc0ver" jailbreaking tool has released a new version of the software that can unlock every single iPhone, including those running the latest iOS 13.5 version.Calling it the first zero-day jailbreak to be released since iOS 8, unc0ver's lead developer Pwn20wnd said "every other jailbreak released since iOS 9 used 1day exploits that were either patched in the next beta version or the hardware.

"Utilizing native system sandbox exceptions, security remains intact while enabling access to jailbreak files," according to unc0ver, meaning installing the new jailbreak will likely not compromise iOS' sandbox protections Jailbreaking, analogous to rooting on Google's Andr…

Tools for CollaborationRemote working applicationsThe Increasing Importance of Cybersecuritythe need for government to provide consumers more digital services,the quick adoption of remote learning by the education sector, andthe need for the health system to develop innovative methods to deal with capacity problems.

The SolutionHow to Approach the Cybersecurity IssueMaking exploitable risks to applications visible regularly.

Partnering with sector experts and businesses that provide these services, with the increase in demand, is likely to result in faster innovation that will make adoption more straightforward for companies without the need to create in-house expertise.

Approach Cybersecur…

"The campaigns were based on several tools, including 'living off the land' tools, which makes attribution difficult, as well as different hacking tools and a custom-built backdoor.

"Despite the evidence for network discovery, we were not able to find any traces for lateral movement, most probably because threat actors were not able to find any vulnerable machines.

"The attacks against Kuwait and Saudi Arabia are a reminder that Iran's cyber espionage efforts have shown no sign of slowing down.

Given the crucial nature of the industries involved, Chafer's actions continue the trend of striking countries that act against its national ambitions.

"While these two are the most recent attack exa…

In terms of business models, it could be retainer-based or on-demand, Typical service providers of these families are MSSP and MDR.

In terms of business models, it could be retainer-based or on-demand, Typical service providers of these families are MSSP and MDR.

Typical service providers of these families are MSSP, MDR, and MSP.

Typical service providers of these families are MSSP, MDR, and MSP.

Typical service providers of these families are MSSP, MSP, and System Integrators.

The NXNSAttack MethodIsraeli cybersecurity researchers have disclosed details about a new flaw impacting DNS protocol that can be exploited to launch amplified, large-scale distributed denial-of-service (DDoS) attacks to takedown targeted websites.Called NXNSAttack , the flaw hinges on the DNS delegation mechanism to force DNS resolvers to generate more DNS queries to authoritative servers of attacker's choice, potentially causing a botnet-scale disruption to online services.

"We show how this inefficiency becomes a bottleneck and might be used to mount a devastating attack against either or both, recursive resolvers and authoritative servers.

"This can be easily achieved by buying a domain…

Have something to say about this article?

Comment below or share it with us on Facebook Twitter or our LinkedIn GroupThe Ukrainian police have arrested a hacker who made headlines in January last year by posting a massive database containing some 773 million stolen email addresses and 21 million unique plaintext passwords for sale on various underground hacking forums.In an official statement released on Tuesday, the Security Service of Ukraine (SBU) said it identified the hacker behind the pseudonym "Sanix," who is a resident of the Ivano-Frankivsk region of Ukraine, but it did not reveal his actual identity to the media.In January last year, the hacker tried to sell the massive 87-gigabyt…

Full nameMother's maiden nameDate of BirthNationalityGenderHashed login passwords with saltsUsername and nicknameMOIP account detailsAPI credentials with unencrypted passwordsRecent purchasesTelephone numberEmail and physical addressesAccess token for wirecard.com.brHave something to say about this article?

"Around 90% of users were Brazilian customers, although other nationalities were also present, including customers from Peru," Anurag said.

"The compromised server contained website and mobile site API logs, thereby exposing all production server information.

"Instances of personally identifiable information being exposed could potentially lead to identity theft and fraud since they can …

"We take the cybersecurity of our systems very seriously and have robust security measures in place to protect our customers' personal information.

However, this is an evolving threat as cyber attackers get ever more sophisticated," says EasyJet Chief Executive Officer Johan Lundgren.

"Since we became aware of the incident, it has become clear that owing to COVID-19, there is heightened concern about personal data being used for online scams.

Every business must continue to stay agile to stay ahead of the threat.

"As a precautionary measure recommended by the ICO, the airline has started contacting all customers whose travel and credit card details were accessed in the breach to advise them…

"The Bluetooth specification contains vulnerabilities enabling to perform impersonation attacks during secure connection establishment," the researchers outlined in the paper.

"Such vulnerabilities include the lack of mandatory mutual authentication, overly permissive role switching, and an authentication procedure downgrade.

"Given the widespread impact of the vulnerability, the researchers said they responsibly disclosed the findings to the Bluetooth Special Interest Group (SIG), the organization that oversees the development of Bluetooth standards in December 2019.The Bluetooth SIG acknowledged the flaw, adding it has made changes to resolve the vulnerability.

"The BIAS attacks are the f…

"We observed an interesting C2 communication protocol utilizing rare HTTP/HTTPS status codes (check IETF RFC 7231, 6585, 4918)," the researchers said.

"Several HTTP status codes (422-429) from the Client Error class let the Trojan know what the operators want to do.

After the control server sends the status 'Payment Required' (402), all these previously received commands are executed."

HTTP status codes are standardized responses issued by a server in response to a client's request made to the server.

By issuing remote commands in the form of status codes, the idea is to obfuscate any detection of malicious activity while scanning internet traffic.

The bug is dubbed the “StrandHogg 2.0” vulnerability (CVE-2020-0096) by the Promon researchers who found it, due to its similarity to the original StrandHogg bug discovered last year.

The original StrandHogg allowed attacks via the TaskAffinity Android control setting.

StrandHogg 2.0 attacks are also more difficult to detect, researchers wrote.

“We see StrandHogg 2.0 as StrandHogg’s even more evil twin,” said Tom Lysemose Hansen, CTO at Promon.

StrandHogg 2.0 exploits do not impact devices running Android 10, so users should update their devices to the latest firmware in order to protect themselves from attacks.

The Turla APT group has been spotted using an updated version of the ComRAT remote-access trojan (RAT) to attack governmental targets.

In the latest campaigns, Turla deployed ComRAT using its typical initial infection tools, including the PowerStallion PowerShell backdoor, according to ESET.

To talk to the C2, ComRAT v.4 uses either the Gmail web interface or an existing custom Turla protocol over HTTP.

The CampaignsAs is typical for Turla, the recent campaigns were focused on stealing sensitive documents, according to the analysis.

“The main use of ComRAT is stealing confidential documents,” ESET researchers explained.

Latest version of UnC0ver uses unpatched zero-day exploit to take complete control of devices, even those running iOS 13.5.

Calling it a “big milestone for jailbreaking,” one of its creators, a hacker called Pwn20wnd, heralded the new jailbreak release on Twitter, claiming it’s the first zero-day jailbreak for the iPhone platform since iOS 8.

The jailbreak only works on iPhones running iOS 11 through iOS 13.5 and does not work on iOS versions 12.3 to 12.3.2 and 12.4.2 to 12.4.5.

Jailbreak tools are software that take advantage of vulnerabilities in iOS to allow users sometimes full control of their device.

The company historically has cited security reasons for not permitting its users to t…

Even seeing data breaches in the news, more than half of consumers are still reusing passwords.

Researchers said that password reuse was the biggest security faux pas being committed by respondents.

Worse, 91 percent of respondents said they know using the same (or a variation of the same) password is a risk.

With breaches being disclosed daily – affecting large, popular brands like Macy’s and Marriott – why would consumers continue to reuse passwords?

When asked further about why they reuse passwords, 60 percent of users said they are afraid of forgetting their login information, while 52 percent said they want to “be in control” and know all of their passwords.

A lack of awareness about where and how open-source libraries are being used is problematic, researchers say.

A full 70 percent of applications being used today have at least one security flaw stemming from the use of an open-source library.

The analysis examined 351,000 external libraries in 85,000 applications, and found that open-source libraries are extremely, extremely common.

For instance, most JavaScript applications contain hundreds of open-source libraries – some have more than 1,000 different libraries.

The firm also found that cross-site scripting (XSS) is the most common vulnerability category found in open-source libraries – present in 30 percent of them.

A recent spear-phishing campaign has been spotted spreading a weaponized NetSupport Manager remote access tool (RAT), which is a legitimate tool used for troubleshooting and tech support.

Attackers use the ongoing coronavirus pandemic as a lure, as well as malicious Excel documents, to convince victims to execute the RAT.

“For several months now, we’ve been seeing a steady increase in the use of malicious Excel 4.0 macros in malware campaigns.

If a victim enables it, the macro is downloaded and the NetSupport Manager RAT is executed.

If allowed to run, the malicious Excel 4.0 macro downloads & runs NetSupport Manager RAT.

Unfortunately, the popular Kroger’s Home Chef service recently served up a side of data breach along with its perfectly measured ingredients.

The “encrypted passwords” are no guarantee against account takeover, security researchers warned.

In all, 8 million records were put up for sale from Home Chef starting two weeks ago, according to the outlet.

The Shiny Hunters group made a splash earlier this month, allegedly compromising 73.2 million user records from over 11 companies worldwide.

Researchers earlier this month also observed Shiny Hunters stealing log-in data for 91 million users of Indonesia’s largest e-commerce platform, Tokopedia, and then selling it on the dark web for $5,000.

According to an investigative journalist team, the Israeli authors of the infamous Pegasus mobile spyware, NSO Group, have been using a spoofed Facebook login page, crafted to look like an internal Facebook security team portal, to lure victims in.

The news comes as Facebook alleges that NSO Group has been using U.S.-based infrastructure to launch espionage attacks.

“Throughout 2015 and 2016, the IP address resolved to 10 domains,” the team wrote, one of which impersonated Facebook’s security team.

The lawsuit alleges that NSO Group used vulnerable WhatsApp servers to send malware to approximately 1,400 mobile devices.

In a related link to the NSO Group situation, the IP address provided to…

The Chafer APT has been active since 2014 and has previously launched cyber espionage campaigns targeting critical infrastructure in the Middle East.

“Researchers have found attacks conducted by this actor in the Middle East region, dating back to 2018,” according to a Thursday Bitdefender analysis.

Researchers believe the threat actors initially infected victims using tainted documents with shellcodes, potentially sent via spear-phishing emails.

Researchers believe the APT used NSSM for ensuring that its critical components, such as the RAT, are up and running.

“It’s likely that… local authorities were notified and decided to continue the investigation locally.”Cyber-EspionageResearchers l…

A methodology that helps here is long-tail analysis, an approach that looks for very weak signals from attackers who are technologically savvy enough to stay under the radar and remain undetected.

This grouping of data will create a distribution that might be skewed in a particular direction with a long tail, either to the left or right.

You might be particularly interested in the objects that fall within that long tail.

There are new, machine learning-based technologies that use integrated reasoning to automate long-tail analysis.

As the market matures and this capability becomes available, long-tail analysis will super-charge your cybersecurity efforts.

Cisco has hurried out a fix out for a critical remote code-execution flaw in its customer interaction management solution, Cisco Unified Contact Center Express (CCX).

Cisco’s Unified CCX software is touted as a “contact center in a box” that allows companies to deploy customer-care applications.

“The vulnerability is due to insecure deserialization of user-supplied content by the affected software,” according to Cisco, in a Wednesday security alert.

A successful exploit could allow the attacker to execute arbitrary code as the root user on an affected device.”An unauthenticated, remote attacker could exploit this flaw to execute arbitrary code on an affected device.

Those who are using Cisc…

A descendant of the infamous Zeus banking trojan, dubbed Silent Night by the malware’s author, has emerged on the scene, with a host of functionalities available in a spendy malware-as-a-service (MaaS) model.

Silent Night is advertised with a host of features, according to a Thursday analysis from Malwarebytes.

We don’t have enough data to say if the author of Silent Night was previously involved in developing Terdot, or just got inspiration from it.

And yet another variant of the attachment was a VBS script, where Silent Night was embedded directly, in obfuscated form.

“The design of Silent Night is consistent and clean, the author’s experience shows throughout the code,” researchers wrote.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

The siphoned information varies depending on the ransacked retailer and includes email addresses, hashed passwords, postal addresses, gender and dates of birth.

Cybercriminals can use this Personally Identifiable Information (PII) for all manner of nefarious activities, including identity theft or targeted phishing attacks.

The least you as a customer can do is to change your password on the site(s) and keep an eye out for suspicious emails.

Based on the number of abuse reports filed against the hackers’ bitcoin addresses, the site believes it to be just a fraction of the overall number.

Given the wealth of personal data that they may store on their customers, e-commerce sites pose a juicy …

ComRAT uses a Virtual FAT16 File System formatted in FAT16.

gpresult /z gpresult /v gpresult net view net view /domain netstat netstat -nab netstat -nao nslookup 127.0.0.1 ipconfig /all arp -a net share net use systeminfo net user net user administrator net user /domain net group net group /domain net localgroup net localgroup net localgroup Administrators net group "Domain Computers" /domain net group "Domain Admins" /domain net group "Domain Controllers" /domain dir "%programfiles%" net group "Exchange Servers" /domain net accounts net accounts /domain net view 127.0.0.1 /all net session route print ipconfig /displaydns 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 …

Has the landmark law helped build a culture of privacy in organizations and have consumers become more wary of sharing their personal data?

Any individual who has the slightest engagement in the privacy of their personal data online will likely be sympathetic to Barlow’s quote.

It’s been 2 years since the implementation of the General Data Protection Regulation (GDPR), the EU’s data protection and privacy regulation which aimed to give control to individuals over their personal data and to simplify the requirements on businesses.

It’s difficult to answer the question of whether GDPR has been successful as we don’t know what would have been the state of play if the data protection regulation…

ESET research into Winnti Group’s new backdoor – A dangerous Android app under the microscope – The BIAS Bluetooth bugESET researchers have published a deep-dive into a new backdoor, PipeMon, that the Winnti Group has deployed against several video gaming companies in Asia.

Also this week, ESET researchers released their analysis of “DEFENSOR ID”, a particularly insidious banking trojan that had snuck into Google Play.

Academics disclose a security flaw in the Bluetooth protocol that left a wide range devices vulnerable to the so-called BIAS attacks.

All this – and more – on WeLiveSecurity.com..

The DEFENSOR ID app made it onto the heavily guarded Google Play store thanks to its extreme stealth.

Its creators reduced the app’s malicious surface to the bare minimum by removing all potentially malicious functionalities but one: abusing Accessibility Service.

DEFENSOR ID was released on Feb 3, 2020 and last updated to v1.4 on May 6, 2020.

We believe that this is the reason the DEFENSOR ID trojan requests the user to allow “Modify system settings”.

Along with the malicious DEFENSOR ID app, another malicious app named Defensor Digital was discovered.

To be sure, encryption isn’t just limited to storing your data; you can also encrypt your communications and your web traffic, as well as your passwords.

All of these can be considered best practices to secure your private data, and we’ll walk you through some of the choices you have.

The disk is fully encrypted, including all your data, your software and the operating system you’re running.

Let’s say you’re working from a coffee shop and you are going to share some sensitive data with a client, a VPN will allow you to share that data over an encrypted network without anyone intercepting it.

Also worth considering is using a secure email platform, such as ProtonMail and others, that provide…

Most of all, the new release brings new or redesigned security and privacy controls, as well as better password protection.

Topping the list of the new additions is a pair of major upgrades: Enhanced Safe Browsing and Secure DNS.

“If you turn on Enhanced Safe Browsing, Chrome proactively checks whether pages and downloads are dangerous by sending information about them to Google Safe Browsing,” says AbdelKarim Mardini, Senior Product Manager at Google.

The Secure DNS feature, meanwhile, includes DNS over HTTPS (DoH) that encrypts your Domain Name System (DNS) lookups with the aim of protecting you against a host of threats to your privacy and security.

The “Clear browsing data” button has b…

The notorious APT group continues to play the video game industry with yet another backdoorIn February 2020, we discovered a new, modular backdoor, which we named PipeMon.

Recently, ESET researchers also discovered a campaign of the Winnti Group targeting several Hong Kong universities with ShadowPad and Winnti malware.

Attribution to the Winnti GroupMultiple indicators led us to attribute this campaign to the Winnti Group.

Some of the C&C domains used by PipeMon were used by Winnti malware in previous campaigns mentioned in our white paper on the Winnti Group arsenal.

The ManagerMain module is responsible for decrypting and injecting the Communication module, while the GuardClient module w…

Being able to manage most of your household from your smartphone may be convenient, but are the gadgets you choose safe?

Here are some of the Internet of Things (IoT) gizmos that may, for convenience’s sake, infringe on your privacy.

While everyone can appreciate the effort to keep your family and home safe, you have to do your due diligence on smart doorbells before buying one.

For example, researchers have found that some smart doorbells perform unexpected tasks.

Cheap smart security camerasKeeping up with the security theme, another popular type of IoT device is the smart security camera.

As many as 30 smartphones, laptops and other devices were tested – and all were found to be vulnerableA team of researchers has unveiled a new vulnerability in the Bluetooth wireless communication protocol that exposes a wide range of devices, such as smartphones, laptops, and smart-home devices, to the so-called Bluetooth Impersonation AttackS (BIAS).

The researchers tested the security weakness on a variety of devices, including laptops, tablets, and smartphones from popular consumer brands that were equipped with different versions of the Bluetooth protocol.

“We conducted BIAS attacks on more than 28 unique Bluetooth chips (by attacking 30 different devices).

During the pairing of two de…

The reports of the incursions started pouring in last Monday, when supercomputers in the United Kingdom and Germany were among the first victims.

Last Monday, the UK’s National Supercomputing Service ARCHER announced that it’d disabled access to its system following the exploitation of its login nodes.

BleepingComputer said that as many as nine German supercomputers may have fallen victim to the attacks.

Based on their analysis, the bad actor used compromised SSH credentials to gain access to the systems and use them to mine Monero.

EGI-CSIRT pointed out that there are victims in Europe, as well as in China and North America; however, it wasn’t able to confirm how the SSH credentials were s…

ESET research into malware taking aim at air-gapped networks – Dissecting a backdoor hitting high-profile targets in Asia – WannaCryptor three years laterThis week, ESET researchers published their findings about a previously unreported cyber-espionage toolkit that they dubbed Ramsay and that is designed to compromise, and steal documents from, air-gapped networks.

In another research effort, this time together with Avast, ESET experts released their analysis of Mikroceen, a RAT taking aim at multiple government agencies and organizations operating in critical infrastructure in Central Asia.

Three years after wreaking unprecedented havoc on computer systems worldwide, WannaCryptor remains a…

The flaw, which they dubbed PrintDemon, resides in Windows Print Spooler and affects all Windows versions since Windows NT4.0, released in 1996.

The component has remained largely unchanged since; another vulnerability affecting it was abused by the infamous Stuxnet a decade ago.

“An elevation of privilege vulnerability exists when the Windows Print Spooler service improperly allows arbitrary writing to the file system.

An attacker who successfully exploited this vulnerability could run arbitrary code with elevated system privileges.

Windows 7, 8.1, 10, and Windows Server 2008, 2012, 2016, and 2019 all contained the vulnerability.

We observed multiple instances of attacks involving this RAT, and all of them happened in Central Asia.

As we mentioned earlier, the Central Asian region joined Russia, Belarus and Mongolia as areas with victims of Mikroceen intrusions.

Attackers’ arsenalLet us describe the tools the attackers used in their campaign in Central Asia.

@echo off sc stop PCAudit sc delete PCAudit sc create PCAudit binpath= "C:\WINDOWS\syswow64\svchost.exe -k netsvcs" type= share start= auto displayname= "Windows Upload Manager" sc description PCAudit "Windows Help Service is a microsoft Windows component for System(Important).

This is an exception with no explanation, because the server doesn’t belong to any of…

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Virtually all respondents say improved security is a critical network requirement and top concern in the 5G era.

Adding standalone 5GEarly 5G networks are being designed in accordance with the already-approved non-standalone 5G standard.

71% expect to begin 5G network build-outs within 18 months, including one-third who have already begun or will do so in 2020.

99% view deployment of mobile edge clouds as an important aspect of 5G networks, with 65% saying they expect edge clouds on their 5G networks within 18 months.

“Mobile operators globally need to proactively prepare for the demands of a new virtualized and secure 5G world,” said Gunter Reiss, worldwide vice president of A10 Networks, …

Allot, a leading global provider of innovative network intelligence and security-as-a-service (SECaaS) solutions for communication service providers (CSPs) and enterprises, launched Allot BusinessSecure, a new solution that CSPs can offer their SMB and Enterprise customers to protect them from emerging cybersecurity threats, including malware, phishing, ransomware and crypto-mining, while increasing revenue.

Allot BusinessSecure is the newest member of the Allot Secure family of unified cybersecurity solutions, the world’s leading network-based security as a service solution, used by over 23 million consumer and business subscribers.

Using Machine Learning technology and network visibility …

PagerDuty, a global leader in digital operations management, announced new automation and intelligence capabilities in its Dynamic Service Directory, Business Response and Intelligent Triage solutions, to help teams reduce manual work, prevent outages and improve remote collaboration.

Irrespective of how many internal stakeholders an incident has, or where these people are located, Business Response gives everyone real-time visibility into incident progress.

With digital acceleration sitting at the center of business priorities, IT incidents are now an executive-level concern.

Reducing the costs and time burden associated with problem resolution is now paramount, and Business Response makes…

As the creator of PolyLogyx Endpoint Platform, PolyLogyx OSQuery Agent and PolyLogyx Kernel Library, PolyLogyx has significant experience in the field of endpoint detection and response (EDR).

“Our ambition is to re-define the way that threat intelligence is applied at the core, well beyond the IOC.

“We applied that thinking consistently in designing our endpoint security platform.

In addition, PolyLogyx Endpoint Platform relies on OpenC2 for response commands across systems.

Sridhar Jayanthi, CEO and co-founder, PolyLogyx, said: “We were very impressed by the innovation in EclecticIQ’s threat intelligence platform, and the pedigree of the team.

To drive Cortex-A78 and Cortex-X1 adoption, Cadence has delivered a comprehensive, digital full flow Rapid Adoption Kit (RAK) that helps customers optimize power, performance, and area (PPA) and boost overall productivity.

In addition, the Cadence Verification Suite and its engines have been optimized for the creation of Cortex-A78 and Cortex-X1 CPU-based designs, providing engineers with enhanced verification throughput.

Digital full flow RAKThe Cadence digital full flow RAK has been finely tuned to provide optimal power and performance and supports both 7nm and 5nm foundry process nodes.

The Cadence Verification Suite is comprised of best-in-class core engines, verification fabric technol…

Ekinops, a leading supplier of advanced networking solutions for service providers and global enterprises, announces its first major 10Gb/s access win in Europe with a seven-figure contract.

Ekinops recently released 10G-capable Ethernet Access Devices (EAD) and routers for the Enterprise Edge connectivity market with the ambition of entering this high-end segment.

“The 10Gb/s access market is a segment with few actors and a high price tag.

We have identified this segment as an opportunity for Ekinops to gain market share with Tier 1 service providers as it requires transport and access know-how.

This unrivalled technical capacity makes Ekinops’ solutions uniquely capable of supporting all …

Unisys announced the U.S. government certification of Unisys Stealth to protect information as it flows between Stealth-enabled endpoints.

Stealth is the first microsegmentation cybersecurity solution to be validated by the National Information Assurance Partnership (NIAP).

The NIAP evaluation is a comprehensive process that certifies products meet internationally-accepted standards for trusted security products and solutions.

Products must demonstrate that they meet all specified security requirements to achieve NIAP certification.

This updated certification follows the certification of Stealth by NIAP announced in 2018.

Led by AXA Venture Partners, investors in the round included Pitango Venture Capital, Y-Combinator, AI Alliance, Hyundai Motor Company, OMRON Ventures, Maverick Ventures (U.S.), Mindset Ventures and Redds Capital.

D-ID plans to direct the funds to grow its sales and marketing activities, as well as continue to invest in R&D.

D-ID provides privacy solutions to enterprises who record or photograph individuals.

The company’s photo protection and video anonymization solutions ensure the privacy of individuals caught on film or camera, and allows organizations to store the media without risking heavy fines.

“Their commitment to global privacy will aim to bolster industries, societies, and our co…

Intrusion announced that its Board of Directors has named Jack B. Blount to the position of President and Chief Executive Officer.

Michael L. Paxton, former Interim President and Chief Executive Officer, retains the positions of Chairman, Chief Financial Officer, Secretary and Treasurer.

“We are excited to have Jack join Intrusion.

He is an experienced executive with a tremendous amount of experience,” stated Michael L. Paxton, Vice President and CFO of Intrusion.

“I have never been more energized and excited about joining a company than I am now about Intrusion,” stated Jack B. Blount, President and CEO of Intrusion.

Nearly half (48%) of the UK public surveyed about the NHSX COVID-19 tracing app do not trust the UK government to keep their information safe from hackers.

O ver a third of respondents (36%) are concerned that the app might allow the government to collect data on them.

Our solutions include Anomali ThreatStream®, Anomali Match™, and Anomali Lens™.

Commenting on the news, Paul Bischoff, privacy advocate, Comparitech.com, stated:Surveillance creep is a big concern with contact tracing apps.

In China for instance, it appears state-controlled tracing apps are going to become an permanent fixture of everyday life.

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

A team of Chinese academics have found a new way to abuse HTTP packets to amplify web traffic and bring down websites and content delivery networks (CDNs).

Named RangeAmp, this new Denial-of-Service (DoS) technique exploits incorrect implementations of the HTTP “Range Requests” attribute.

HTTP Range Requests are part of the HTTP standard and allow clients (usually browsers) to request only a specific portion (range) of a file from a server.

The feature was created for pausing and resuming traffic in controlled (pause/resume actions) or uncontrolled (network congestion or disconnections) situations.

Source: ZDNet

Privacy Settings / PENDINGThis site uses functional cookies and external scripts to improve your experience.

Which cookies and scripts are used and how they impact your visit is specified on the left.

You may change your settings at any time.

Your choices will not impact your visit.

NOTE: These settings will only apply to the browser and device you are currently using.

More than two dozen SQL databases stolen from online shops in various countries are being offered for sale on a public website.

In total, the seller provides over 1.5 million rows of records but the amount of stolen data is much larger.

The attacker is hacking into insecure servers that are reachable over the public web, copies the databases, and leaves a note asking for a ransom in return of the stolen data.

Victims have 10 days to pay BTC 0.06 ($525 at current price) a wallet provided in the ransom note, else the hacker makes the database public or uses it as they please.

Source: Bleeping Computer

Below is a table that compares the state of the current algorithm’s security level against resistance to a quantum powered cryptanalysis (more is better).

Details include how many bits of security it has and the algorithm that can compromise or lessen its security:As you can see, some algorithms are going to be broken due to Shor’s algorithm, which we briefly covered in “Quantum Security Series Part 1”.

Quantum algorithmsFirst, let’s showcase the two algorithms responsible for introducing doubt into the community—about the duration of safety for these classical encryption protocols:Grover’s quantum algorithm Grover’s search quantum algorithm was designed for searching particular targets thr…

Check out the following new features we are proud to announce today:Company Activity LogA new block area named ‘Activity’ was added to the SurfaceBrowser™ left menu.

Company Associated DataGaining insight on all the data associated with a company has always been one of our main goals.

Mergers & AcquisitionsThe new ‘Mergers and Acquisitions’ feature will give you intelligence data to detect when the changes happened, the company involved, and the domain name associated with that event.

This new feature aims to help you detect any merger or acquisition in time, giving you access to the new acquired company data.

SurfaceBrowser™ aims to help researchers, companies and IT teams get the most cri…

GOSINT was designed to help security analysts collect and review security intelligence data from structured and unstructured third-party threat intelligence feeds.

Multiple APIs : Multiple third-party APIs are supported for analyzing threat data.

More specifically, GOSINT users and scenarios would include:Blue-team/DevOps users - It can be used for proactive monitoring and filtering of threat intelligence data and detecting possible network threats.

- It can be used for proactive monitoring and filtering of threat intelligence data and detecting possible network threats.

Now we can proceed to create a ‘gosint’ user, and then connect to that user:sudo useradd -m gosint sudo useradd gosint su…

What’s important to note here is that DevSecOps doesn’t aim to replace traditional security testing, as the security testing that occurs at the end of the SDLC is still important, but now it’s not the only security testing that takes place.

DevSecOps does, however, bring some changes to the traditional security testing and software development process.

Top 5 DevSecOps recommended practicesSuccessfully integrating a DevSecOps approach into your DevOps pipeline entails changes across the organizations and requires the adoption of a different mindset, practices, tools and resources (with one of those sources being OWASP).

Let’s look at a few best practices for DevSecOps implementation:Automati…

Last week we scratched the surface of what quantum information and quantum security are, saw how current encryption algorithms could be broken and explored how to secure a classical SSH protocol tunnel to make it quantum attack resistant.

In this post we’ll dive a little deeper into the random and mysterious world of quantum teleportation and quantum key distribution.

They did this with a satellite code named “Micius” (named after the ancient philosopher Mozi), launched on August 2016 to perform experiments regarding quantum networks and quantum security.

Quantum vs. post-quantum cryptographyWhy is the discipline of quantum encryption important, or the creation of a quantum internet, when p…

Let’s explore their different projects and examine their list of web application security risks.

Top 10 OWASP web application security risksStarting with their most well-known project, the OWASP Top 10 of web application security risks is, fundamentally, just what the name implies—a resource that provides organizations, developers and consumers with an overview of the most critical vulnerabilities that plague applications and show their risk, impact and how to mitigate those risks.

And what are those 10 web application security risks?

Top 5 OWASP projectsWe’ve mentioned that, while the OWASP Top 10 list of web application security risks is their most well-known project, there are other wort…

We’ve looked into both of these scenarios, and today, we have a list of the 5 best information security and cybersecurity certifications, all of which are well-respected, relevant and high paying!

CISM - Certified Information Security ManagerEstimated salary: $137,058This one is aimed at those that want to validate their expertise in managing enterprise information security teams.

CISM, or Certified Information Security Manager, offers more career advancements, and in turn higher earning potential to those who earn the credentials.

CISM will show to your employers that you are an expert in information security governance, information risk management, incident management and information secu…

So what is “quantum computing”, and what changes will be needed in the (possibly) near future regarding traditional IT security?

You can see in the image below a picture taken from a Microsoft Research team video, showcasing a quantum computing quest.

As this exists, there are several implementations from different vendors and developers using quantum computing languages such as IBM’s Qiskit and QASM, among others.

We merely need to be patient, to witness and even become part of the “quantum computing revolution”!

In the meantime, feel free to continue reading the next chapter of this fascinating quantum computing security series: Random and Mysterious - Quantum Security Series - Part 2.

Today we’ll be reviewing one such tool: Jok3r.

Jok3r is an automated framework designed to help penetration testers investigating flaws in network infrastructure or website/web-applications.

Jok3r adopts the philosophy of “not reinventing the wheel” and combines over 50+ existing tools and scripts for pentesting.

Installing Jok3r on LinuxJok3r recommends that you use Docker and the Jok3r Docker Image to install the software.

We should first audit the 2 scripts to make sure that it’s safe to install Jok3r via the scripts.

И Газпром и небольшую котельную, и РЖД и курьерскую службу, и Сбербанк и микрофинансовую организацию или ломбарж.

Все используемое на ОКИИ ПО и железо должно быть включено в реестр отечественного или евразийского ПО или реестр радиоэлектронной продукции.

Потом надо провести анализ требований Правительства по переходу на отечественное ПО и железо, поискать аналоги и оценить сроки амортизации используемого оборудования и сроки действия прав на ПО.

После проведения анализа из пункта выше список используемого и планируемого ПО и железо должен быть согласован с Минцифрой и Минпромторгом (а могут ведь и не соглассовать).

Он хоть и не понимал ничего в объекте регулирования, но и не лез туда особо …

Например, может оказаться так, что аналитики перегружены инцидентами и не успевают их отрабатывать, что приводит к переполнению очереди и нарушению установленного SLA.

Посколько аналитиков второй линии в SOC обычно меньше (бывают исключения) и они дороже обходятся компании, то их избыточная нагрузка может негативно сказаться на показателях работы SOC.

Учитывая возраст аналитиков в этом SOC и некий соревновательный дух среди его состава, такая геймификация позволила улучшить показатели реагирования на инциденты (без снижения его качества).

Либо речь идет о непонимании реальной работы SOC, в котором время принятия инцидента в обработку может составлять минуты (пока прилетит сигнал тревоги в S…

По прошлой заметке , посвященной дашборду оценки персонала в SOC, в одном из закрытых чатиков по SOCам возник вопрос относительно верхнего крайнего правого прямоугольника (KPI) с показателем по обучению.

Мол, он не был раскрыт на дашборде кроме последнего блока по квалификации аналитиков разных подразделений SOC.

Если вдуматься, нас интересует не просто число обученных сотрудников (если мы не для галочки измеряем этот показатель) и рейтинг провайдеров обучения, но и понимание, насколько в лучшую сторону меняется эффективность и результативность аналитиков после обучения.

Иными словами, мы хотим понимать, обучение меняет что-то в деятельности сотрудников SOC или нет?

Тогда можно добавить сле…

Вообще, карточные игры по ИБ - это то, что делается достаточно легко и быстро.

И вот часть из них была посвящена геймификации, а точнее различным примерам онлайн и не очень игр в области кибербезопасности.

Несколько примеров онлайн-игр по ИБ.

Каждый год ИТ-департамент Университета Техаса, в рамках национального месячника ИБ, подготавливает новые игры по ИБ для своих сотрудников и студентов.

Среди других примеров карточных ИБ -игр я бы упомянул:

ExcelПродолжим про дашборды в SOC и посмотрим на достаточно редкий пример, а точнее на кадровой вопрос SOC.

В случае с кадрами, что может интересовать руководителя SOC или руководителя служб ИБ, в состав которой входит SOC?

Я не буду подробно расписывать, как считать eNPS (это несложно), но на дашборде у нас будет примерно такая картина.

Это плохой знак и с ним надо будет что-то делать.Еще один показатель, пришедший к нам из западного менеджмента, - это абсентеизм.

Но это уже выходит за рамки статьи, в которой я хотел показать, что прежде чем мы зададимся вопросом о том, какие дашборды мне нужны в SOC, стоит задать иной вопрос - что меня волнует в SOC?

В целом, эти метрики неплохи, если мы знаем, зачем они нам и что мы хотим сделать на их основе.

Начинается все с прототипа, который постепенно доводится до состояния инструмента, помогающего принимать решения, а не "картины, закрывающей дырку в стене".

Чтобы дашборд "попал" в нужную аудиторию - надо понимать, что мы хотим (и хотим ли) и что она хочет?

Чтобы дашборд "попал" в нужную аудиторию - надо понимать, что мы хотим (и хотим ли) и что она хочет?

Но я там уже недавно публиковал одну заметку про SOC на удаленке и не могу сказать, что она была воспринята положительно.

Но это мы уже определили раньше, когда говорили о возможностях нарушителя.

Зачем нам еще городить огород со сложностью реализации угрозы, и так усложняя непростую методику?

Кстати, в одной из прежних редакций проекта методики ГОСТ 18045 использовался, но от него потом отказались.

Это на этапе эксплуатации опасность определяет приоритет мер защиты, а на этапе проектирования - определяет наиболее уязвимые компоненты ИС.

Как и предполагалось уровень сложности реализации угрозы - это тоже самое, что и уровень возможностей нарушителя; один в один.

Тактический, описывающий как раз тактики и техники, то есть то, чему посвящен основной блок методики ФСТЭК.

А самое неприятное, что и сопоставление TTP ФСТЭК и MITRE очень сложно реализовать, так как у нас постеснялись признать применение общепринятой методики и решили "пойти своим путем".

Так и ФСТЭК могла бы поступить.При этом ATT&CK - это не про моделирование угроз, это про понимание конкретных действий, совершаемых киберпреступниками.

Согласно нему угрозой считается совокупность ранее определенных:То есть оформление этого множества превратит специалистов по моделированию угроз в апологетов супрематизма.

Большинство компаний будет не в состоянии оформить даже одну угрозу, не говоря уже о…

По итогам этого блиц-анализа, растянутого на несколько дней, я сформирую список конкретных предложений и направлю его в ФСТЭК.

И в Интернет этот вредоносный код никогда не попадал, как и в смежные с атакующей системой тоже.

А зачем я их реализовывал, если я не считал их актуальными для себя?

Странный абзац.Разобравшись с актуальными для себя типами нарушителей и тем, какие цели они преследуют, я по таблице 2 определяю потенциал нарушителя, а по таблице 3 его возможности.

Пожалуй, единственное, что точно можно сказать, что Н4 по ФСТЭК - это тоже самое, что и Н6 по ФСБ.Мы подошли к концу пятого раздела, по итогам которого у меня должны сформироваться списки:

А я продолжаю свое путешествие по проекту методики моделирования угроз и перехожу к 4-му разделу, который позволяет оценить мне потенциал нарушителя или, как написано в методике, условия реализации угроз безопасности информации.

В ПО, в архитектуре, в конфигурации, в организации процесса.

Причем первые три типа уязвимостей могут быть не только на уровне общесистемного и прикладного ПО, сетевого оборудования и средств защиты, но и на уровне микропрограммного ПО, то есть на уровне BIOS, процессоров, контроллеров и т.п.

Но я так и не понял, что, а самое главное, как это должно быть определено.

Зачем мне подробное описание типов доступа нарушителей и как я его должен использовать (кроме п.6.5)?

Учитывая, что для государственных структур эта методика будет обязательной, то боюсь, что они не смогут выполнить это требование.

Я еще могут понять, когда ущерб считается для всех бухгалтеров, для всех имеющих доступ к ПДн, для всех, имеющих доступ к конфиденциальной информации, для всех коммутаторов в ЦОДе и т.п.

Я бы порекомендовал авторам внимательно посмотреть на использование слов "каждый", "все", "всех" и т.п., и разрешить активно использовать группирование сущностей, которые используются при моделировании угроз.

Например, в примере 2, утечка - это негативные последствия, а в п.3.3 - это уже неправомерный доступ.

Тем более, что в майской версии проекта методики 2015-го года такой пер…

Многие коллеги уже высказались по поводу проекта новой методики ФСТЭК по моделированию угроз ( тут тут ) и мне бы не хотелось повторять за ними.

Проведя такое моделирование для системы удаленного доступа я действительно получил такой список, но что с ним делать дальше я так и не понял.

Пока я не дошел до следующих пунктов, задамся вопросом, а надо ли мне при моделировании учитывать возможные неправомерные действия, осуществляемые при ремонте компонентов моей системы?

Также не совсем понятно, почему я не могу воспользоваться моделью угроз от разработчика системы, который гораздо лучше знает свое детище, чем другие лица?

И задача службы ИБ как раз и состоит в том, чтобы оценить эти риски и да…

Пусть наш гарант и отправил всех на оплачиваемые выходные, но ИТ-системы, которые обслуживают экономику страны, продолжают работать и их продолжают атаковать.

А можно... можно развлекаться.

Пока там всего один ребус, но их число будет расти.

Еще на сайте "Авангарда" можно найти смешные гороскопы и другие проекты из серии " Пока все дома ", которые будут развиваться.

Ну а с точки зрения образования там продолжают публиковаться различные видео с выступлений специалистов по ИБ на различных конференциях.

Сейчас я бы хотел рассмотреть эту историю, но уже с другими примерами, немного с другой точки зрения.

Иногда просматривая новости на различных солидных ресурсах, натыкаешься на рекламу, которую обычно пропускаешь уже на автомате.

И дальше их реклама может быть показана на РБК, на Mail.ru, на Анекдотах, на hh.ru и т.п.

Загружаются в том числе и ссылки на вредоносные ресурсы :-( Поэтому, с точки зрения мониторинга Web-трафика, стоит ориентироваться не на технологии, работающие по принципу белых/черных списков, а на что-то более продвинутое.

Например, есть решения, которые анализируют на лету посещаемые страницы и вырезают оттуда все вредоносное и опасное, заново пересобирая страницу уже в без…

Недавно ISACA анонсировала новую программу сертификации для специалистов по ИБ, а точнее, по privacy - Certified Data Privacy Solutions Engineer (CDPSE), которая будет доступна со следующего года. Для подтверждения нужно будет сдать экзамен, подтвердить необходимый опыт и ежегодно отчитываться о часах CPE (непрерывное обучение).От специалистов потребуются знания по 3м доменам: Privacy Governance, Privacy Architecture и Data Cycle. Подробнее представил информацию в виде майндкарты (в pdf и xmind доступна на Патреоне):А пока сертификация только набирает популярность, есть хорошая возможность для специалистов с опытом получить сертификат без экзамена. Для этого надо соответствовать критериям:H…

В апреле я подготовил и выложил на Патреон две большие презентации с разбором важных тем по обработке и защите персональных данных в контексте GDPR. 1. "GDPR and Personal Data Transfers". 30 слайдов про передачу ПДн между организациями и особенности трансграничного обмена данным.2. "GDPR and Security", это обновленный и сильно расширенный вариант моей старой презентации про требования информационной безопасности (был 21 слайд, стало 81).Если тема вам близка и интересна, то подписывайтесь на мой Патреон и получите доступ ко всем презентациям, майндкартам, чек-листам и шаблонам документов по управлению информационной безопасностью...

Сегодня принял участие в виртуальной встрече специалистов по обработке и/или защите персональных данных, которую проводили мои друзья из RPPA и KPMG. На ней совсем кратко (у меня было всего 15 минут) рассказал про самые важные различия в подходах к работе с ПДн в России и Европе. Держите презентацию: Data protection RU vs EU from Andrey Prozorov, CISM Если со slideshare сложности, то можете скачать презентацию в ВК - https://vk.com/wall-153623342_3600Ну, и еще посмотрите мою январскую заметку на эту же тему "Различия в подходах к обработке и защите ПДн в Европе и России", там таблица и дополнительные комментарии.

Посмотрел на новый проект методики моделирования угроз безопасности информации от ФСТЭК России. Документ интересен в качестве методического, из него можно взять много полезных идей и моделей (например, сам процесс моделирования угроз, примеры негативных последствий, виды нарушителей и их возможности, тактика нарушителей).Но проблема в том, что предполагается, что он будет обязательным для широкого списка ИС:"Методика определяет порядок и содержание работ по моделированию угроз безопасности информации, включая персональные данные, в информационных (автоматизированных) системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, в том числе отнесенных к объектам…

Наконец-то удалось выделить достаточно времени для вдумчивого изучения книг COBIT 2019. На текущий момент комплект состоит из 4х базовых (COBIT® 2019 Framework: Introduction and Methodology, COBIT® 2019 Framework: Governance and Management Objectives, COBIT® 2019 Design Guide: Designing an Information and Technology Governance Solution, COBIT® 2019 Implementation Guide: Implementing and Optimizing an Information and Technology Governance Solution) и дополнительной книги Implementing the NIST cybersecurity framework using COBIT 2019.Как и прошлые редакции методологии COBIT ее крайне полезно использовать для управления ИТ, и довольно удобно (после некоторой адаптации) применять и для управлен…

Кратко подведу итоги ведения страницы на Патреон (доступ к контенту по платной подписке) за 1й квартал 2020 года. Это вторые 3 месяца моей активности на этой платформе, про итоги первых трех я писал в заметке тут.1. Наличие подписчиков очень меня дисциплинирует, за первые 3 месяца года я подготовил и опубликовал следующие материалы:ISO 27001 Mindmap. Майндкарта по стандарту ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements.Evolution of Data Protection Law in Europe (with short description). Краткая история развития privacy в Европе, требуется для подготовки к экзамену CIPP/E.CIPP/E Resource List (for the exam preparation…

Опубликовал на Патреоне 3 майндкарты с основными положениями Privacy Operational Life Cycle, соответствующие второй одноименной секции материалов для подготовки к экзамену CIPM. Майндкарты крайне полезны и для подготовки к экзамену (это материалы из официального гайда) и для понимания того, как выстраивать процессы обработки и защиты ПДн в организации... Ссылка для подписчиков - https://www.patreon.com/posts/cipm-privacy-35142365

Опубликовал на Патреоне 3 майндкарты с основными положениями Privacy Program Governance, соответствующие первой одноименной секции материалов для подготовки к экзамену CIPM. Майндкарты крайне полезны и для подготовки к экзамену (это материалы из официального гайда) и для понимания того, как выстраивать процессы обработки и защиты ПДн в организации...Ссылка для подписчиков - https://www.patreon.com/posts/cipm-privacy-34901536

Пересмотрел и обновил свой перечень полезных ссылок по GDPR и выбрал 5 самых важных (которые сам регулярно использую), держите:https://gdpr-text.com - постатейный текст GDPR с возможностью открытия до 3х языков одновременно (втч и русский)https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_en - все официальные рекомендации EDPB и WP29https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr - детальный гайд по GDPR от ICOhttps://iapp.org/news - новости по privacy от IAPPhttps://www.patreon.com/AndreyProzorov/posts?filters%5Btag%5D=GDPR - мои шаблоны и майндкарты по GDPR на Патреоне (ак…

К сожалению, нашей цивилизации не удалось быстро справится с проблемой коронавируса COVID-19, поэтому стоит ориентировать на изменение подходов к ИБ в России и Мире.Спецпредставитель президента РФ по вопросам цифрового и технологического развития Дмитрий Песков свои комментарии уже дал: "На IT-отрасль, я думаю, что в целом (влияние - ред.) нейтральное, потому что будут позитивные факторы и негативные. Негативные факторы - они понятны, общеэкономические, но для IT-отрасли мы ожидаем резкого роста капитализации и востребованности в области онлайн-образования, медицины, корпоративной связи. Акции этих компаний пойдут вверх в ближайшее время, долгосрочный эффект будет положительный", - сказал о…

На прошлой неделе посетил IAPP Helsinki KnowledgeNet (собрание членов IAPP), на котором выступал Trevor Hughes (President and CEO of the IAPP) с обзором общих тенденций по privacy в Мире. Отметил для себя некоторые мысли, держите:Про IAPP. Организация насчитывает более 55 000 членов в 120+ странах. Всего в Мире более 150+ представительств (chapters), финское насчитывает более 400 членов и входит в TOP10 по количеству.Про сертификации IAPP. Организация выдала более 25 000 сертификатов специалистов по privacy (CIPP, CIPM, CIPT). Самая популярная сертификация - CIPP-E, ее получили более 10 000 человек (и я в том числе, смотрите мою заметку об этом).Законодательство в Мире. Рекомендуется присма…

Коллеги из финской компании NIXU, про чью отличную игру по ИБ я недавно писал в блоге (Nixu hACME social engineering playing cards), выпустили еще один набор полезных карточек - Nixu CyberBogies. Этот набор используется для проведения брейншторма по выявлению и анализу потенциальных источников угроз ИБ (по сути, модель нарушителя).Cyber Bogies help you identify cybersecurity threats from the systems you are protecting.Скачать карточки и посмотреть дополнительную информацию можно тут - https://github.com/nixu-corp/NixuCyberBogies и тут - https://www.nixu.com/blog/gamify-your-threat-modeling-nixu-cyber-bogiesP.S. Отдельно отмечу, что преступника, специалиста по вредоносному ПО из Восточной Ев…

Обновил свою майндкарту с основными этапами внедрения СУИБ по ISO 27001. Скачать ее в pdf и xmind могут подписчики моего Патреон - https://www.patreon.com/posts/isms-roadmap-34193352В этой версии карты добавил некоторые рекомендации и положения из ISO 27003-2017, а также заменил часть про контекст и заинтересованных лиц на положения из COBIT2019, там они описаны лучше... Кстати, из COBIT2019 также взял и доработал под СУИБ идею с "болевыми точками" и "триггерами", их адаптированный перечень также можно скачать на моем Патреон - https://www.patreon.com/posts/isms-pain-points-34186195

Стандарт ISO 27001:2013 был пересмотрен в 2019 году и признан актуальным ("This standard was last reviewd and confirmed in 2019. Therefore this version remains current"), в ближайшие годы его изменение не ожидается...P.S. Но стоит учитывать, что 2 раза в его текст были внесены мелкие технические корректировки.Cor.1:2014Page 12, Subclause A.8.1.1ReplaceControlAssets associated with information and information processing facilities shall be identified and an inventory of these assets should be drawn up and maintained. with ControlInformation, other assets associated with information and information processing facilities shall be identified and an inventory of these assets shall be drawn up an…

На сайте используется куки для наилучшего представления.

Если Вы продолжите использовать сайт, это будет означать, что Вас это устраивает.

Принятые в конце прошлого года поправки в Федеральный закон «Об электронной подписи» в числе прочего уточняют порядок проверки реальности личности обратившегося в Удостоверяющий центр.

Конкретно в описываемом мной случае оказалось, что для начала полноценной работы необходимо… в течение суток предоставить селфи руководителя с паспортом в руках.

Собственно, это мной для удобства чтения те, кто собрался что-то делать с селфи с паспортом, названы УЦ, Оператор и Сервис.

Могу предположить, что есть некий внутренний регламент УЦ, по которому его партнёры (центры регистрации) могут принимать заявления, но при этом обязаны сфотографировать заявителя с паспортом в руках.

Схема движения селфи с паспо…

№3960 — программное обеспечение Veeam Availability Suite (версия 9)Соответствует требованиям документов: ТУСертифицировано решение для виртуализации рабочих мест от Huawei.

№4181 — программное изделие Kaspersky Managed Protection Infrastructure on PremiseСоответствует требованиям документов: Требования доверия(4), ТУРешение от Позитив Текнолоджиз для ИБ АСУ ТП.

№4183 — защищенный программный комплекс 1С:Предприятие 8sСоответствует требованиям документов: РД НДВ(2), ТУСоответствует требованиям документов: РД НДВ(2), ТУ №4198 — программное обеспечение OpenText Documentum 16.4Соответствует требованиям документов: ЗБСоответствует требованиям документов: ЗБ №4201 — программное обеспечение IBM Ma…

У компании Qualys есть хороший бесплатный онлайн-сервис по анализу конфигурации SSL любых веб-серверов в Интернете: SSL Server Test.

Дабы не приводить в посте детальные скриншоты по каждому из 30 номинантов, свёл их в таблицу.

В конце концов, задача упомянутых выше сайтов — лишь представлять компанию-владельца, и вряд ли какие-то существенные данные, кроме разве что электронной почты в формах обратной связи, с их помощью собираются и обрабатываются.

С другой стороны, корректная настройка сайта для получения A+ и тем более А настолько несложная, что даже у меня это получилось сделать для собственного сайта ZLONOV.ru.

Рейтинг сайта ZLONOV.ru при сканировании Qualys SSL LabsКстати, на сайте Qu…

Не могу сказать, что на рынке есть недостаток курсов по ИБ АСУ ТП, хотя, конечно, тематика КИИ и 187-ФЗ частично растворила в себе тему безопасности промышленных систем.

Поэтому для сохранения чистоты специализации в перечень курсов ниже не стал включать те, которые одновременно посвящены безопасности значимых объектов КИИ и заодно АСУ ТП — мне представляется методологически некорректным так смешивать темы (подходы для ГИС, ИСПДн и АСУ ТП всё же различаются).

Также не стал рассматривать всё, связанное с повышением осведомлённости, хотя в первом абзаце и упоминал этот тип обучения.

Собственно, вот что в итоге получилось.

также Курсы по 187-ФЗ и безопасности КИИ — в некоторые из них включены …

Спустя полгода после прошлой публикации пришла пора обновить списки чатов и каналов по информационной безопасности и близким тематикам.

Начну с чатов.

Всего же сегодня в списке 38 чатов (из итоговой версии списка исключил чаты с числом участников менее 100).

Для каналов пока нижнюю границу для отсечки не стал устанавливать, но в следующий раз точно введу.

Если знаете ещё что-то подходящее по теме — пишите в комментариях или другим удобным способом.

Не смею нарушать традицию и завершаю очередной уходящий год подборкой самых популярных постов за прошедшие 12 месяцев.

Согласен, многовато что-то про КИИ =) Но, куда деваться — тема актуальная и интересная многим (в Telegram-чате КИИ 187-ФЗ, например, число участников уже 3000 превысило).

В 2019 году кроме курсов, постов, докладов, дайджестов и проч.

по КИИ сосредотачивался ещё на одной узкой теме: Аутентификация, биометрия, электронная подпись, основной площадкой для которой выбрал сеть ВКонтакте.

2020-ый, как известно, будет високосным, так что у нас всех будет на целый день больше для реализации своих планов!

Примерно с середины уходящего года творческий коллектив авторов в лице меня выпускал еженедельные Дайджесты по теме безопасности критической информационной инфраструктуры.

Всего за это время вышло 25 Дайджестов, включая самый свежий сегодняшний.

Общее число подписчиков на сегодня превышает уже полторы сотни человек, но и дальше продолжает расти, поэтому решил поделиться подборкой ссылок на все выпущенные Дайджесты, чтобы у всех была возможность ознакомиться с прошлыми выпусками.

На мой взгляд — неплохая получилась коллекция ссылок на материалы по КИИ и ГосСОПКА.

Подойдёт как для первичного знакомства, так и для глубокого погружения в тематику.

Ранее в блоге уже публиковал подборку курсов по 187-ФЗ и безопасности КИИ и даже пару раз её обновлял.

П. Г. Демидова объявил о возможности пройти очно-заочное обучение с применением дистанционных технологий по пяти программам повышения квалификации.

Итоговое тестированиеСам курс во многом состоит из текстового цитирования нормативно-правовых актов, не сопровождается ни голосом, ни видео, ни (почти) изображениями.

По завершении обучения Обучающийся, успешно освоивший образовательную программу и прошедший итоговую аттестацию, получает документ о квалификации установленного образца в соответствии со ст.

Тест лёгкий, поэтому почему бы не воспользоваться простой возможностью бесплатно пройти пр…

Принял сегодня участие в итоговой в этом году конференции из серии мероприятий Код ИБ: Код ИБ Итоги.

Рассказал кратко, что можно было успеть за 20 минут, про итоги года уходящего и тех вызовах, которые ожидают нас в году грядущем.

На Speaker Deck:На SlideShare (для тех, кто, например, настроил VPN):Сразу после меня выступал Валерий Комаров и отлично дополнил рассказом о правовой ответственности субъектов КИИ.

Почитайте его блог, если интересуетесь этой тематикой — Валерий много пишет про законодательство и конкретно про тему КИИ.

Организаторам ЭКСПО-ЛИНК в очередной раз спасибо за приглашение и успехов их мероприятиям в следующем году!

Пару советовТеперь я Клауд Практитионер!100 минут (сдал минут за 50)65 вопросов90 евро~неделя подготовки, но на экзамене пришлось понервничать.

Лучше, конечно, не рисковать и потратить месяц.Все в облако, ну и я в облако.

).Подходы Amazon к миграции данных, много финансовых вопросов про стоимость сервисов.Я не могу сказать, что сертификация расчитана на какою-то конкретную роль.

Могу предположить, что такая политика увеличивает продажы за счёт перездач.Очень много было вопросов с несколькими правильными ответами (выбери два-три из них).

Вероятность угадать 2 из 5-ти существенно ниже, чем 1 из 4х (0.11 против 0.25).В целом, конечно, экзамен базовый, проходной и опциональный, если ваша цель A…

И если в доХДшном мире это, по сути, уже свершилось, то HD/4k/8k контент пока ещё держится за счёт торрентов (у нас и в Европе) и юзнетов (штаты).Сегодня стримминг выигрывает, в основном, за счёт удобства.

Периодически приложение Radarr, установленное в Docker на домашнем NASe, синхронизируется с IMDB.

если его нет, Radarr скачает 1080p, а когда 4к релиз выйдет - перекачает и заменит HD на 4к5.

Через него можно управлять и Radarr и qBittorrent7.

Помогает мой docker-compose Jackett позволяет интегрировать все ваши торрент-треккеры в одном окне.Это удобноЧтобы нормально работала интеграция с Radarr нужно поставить галку "strip russian letters", т.к.

Тогда запускать питоновские скрипты можно сразу из павершела (хот-кей WIN+X и сразу "i" или "a" для админа).Код пишу я в SublimeText - он бесплатный для некоммерческого использования.

Часто то, что было сложно в Python 2, делается одной строкой в Python 3.

Даже в официальном репозитории могут быть библиотеки с бэкдором.Если нужно общаться питоном по сети - вначале я обкатываю все запросы в Postman 'е.

Пачка скриптов собирает отчеты с разных мест и в 7 утра у меня в ящике одно письмо только с теми цифрами, которые мне интересны (+ история за каждый день в базе данных)- чтобы упростить рутинное обслуживание СЗИ.

Здесь, как и с умным домом - подумай, вначале, что именно и как ты хочешь упрости…

параллельно с работой и сдать сам экзамен, но я халявил - выполнил только часть лаб и практически забил на слайды (чего и вам советую, в экзамене ничего из слайдов нет).

Лабораторки дают по 2 CPE балла, которые можно перезачать в тот же CISSP.Экзамен выглядит примерно так: зайдите в Кали, проNMAPьте сеть, сохраните вывод в файл.

У меня на всё про всё ушло 35 минут, из которых 15 минут я ждал, пока OpenVAS закончит скан.Но формат мне понравился.

Ну не видел я пока ни в одной крупной компании Snort с SecurityOnion.

Каких-либо ценных практических знаний вы, скорее всего, не получите, но представление о мучениях опенсорс ИБшников составите.Другие подобные статьи: Сдал CEH

Domain fronting весьма любопытная техника обхода сетевых средств мониторинга, которая эксплуатирует особенности современной архитектуры крупных интернет узлов (Google, Amazon...). Домеин фронтинг использовал Тор, использовал Телеграмм чтобы мимикрировать свой трафик под гуглозапросы, но лавочку прикрыли. Точнее не прикрыли, а сузили до родных сервисов.В кратце суть такова:Как работает HTTPS:curl -H "Host: " "https://www.host.com/path"Весь пакет HTTP целиком со всеми хэдэрами шифруется. При этом "www.host.com" копируется в открытом виде в SNI header (это, кстати, опционально). Именно SNI хэдэр - это то, что вы видите на файрволе/прокси/DNS если не заглядываете в HTTPS.Если вам нужен любой из…

Типичное применение питона для меня: POST/GET запросы к какому-нибудь серверу или СЗИ.

"Пробить по базе" хэш или айпи, сложить результат в csv файл или отобразить на экране.

Это гораздо удобней сделать из командной строки одной строчкой, чем ждать пока загрузится вебконсоль СЗИ и 10 раз повторять одни и те же действия снова снова.

Второе любимое дело для питона - собирать дневную статистику с СЗИ и хранить историю.

Тоже для бэкапа, на всякий случай..Оч люблю моменты, когда можно "покодить по хозяйству": использовать питон для решения повседневных задач.

Например, таким:Запрос должен отработать за пару минут и выдать инфу по всем текущим и уволенным сотрудникам Сбербанка, и это штатная операция.

Именно так AD и работает, и ничего с этим не сделаешь.

Активная Директория - публичное место.Можно запретить доступ на чтение к пользовательским контейнерам - и вы что-нибудь сломаете.

Можно выключить PowerShell на рабочих местах, но это не так просто сделать, ничего не сломав.

Если ты не отсыпешь мне биткоинов, я сообщу твоему начальнику что ты посещал порносайты в рабочее время".

Да, они могут смотреть в HTTPS и искать угрозы в скачиваемых файлах, но только для 0.7% трафика.

#Хотя Umbrella - это просто DNS сервер, вам нужен толстый клиент на мобильных станциях, так как Umbrella использует протокол eDNS / DNSCRYPT для идентификации клиентов.

Кстати eDNS поля в каждом пакете уверенно идентифицируют вас в общем потоке DNS траффика ;)Сам протокол DNS не сохраняет адрес источника запроса.

Неизвестные DGA домены Umbrella детектит только как "Newly seen domains", куда попадает масса всего легитимного, поэтому Cisco сама рекомендует не блокировать эту категорию.

Трафик на любой другой порт будет просто дропаться.Если вы ждёте, что Umbrella расскажет вам почему тот или иной …

Прилетело на него 20 атак - ИДСка создала 20 ивентов, несмотря на то, что сервер выдал 404 на каждую попытку.

К сожалению, ни одно правило Cisco не сконфигурировано таким образом, чтобы сохранять ответы сервера.

В самом низу добавляем опцию и сохраняем новое правилоБлагодаря ей 3 следующих пакета в течении одной сессии будут сохранены в pcap.

Теперь нужно сходить в настройки Intrusion Policy ( Policies > Access Control > Intrusion, затем выбрать нужную политику и кликнуть "карандашик" ), найти старое правило и выключить, найти новое правило и включить5.

Закомиттить изменения и задеплоить политику на устройствоРаботает :)Теперь о недостатках - редактировать правила в Cisco IDS нельзя, каждый…

Рекомендации, в целом, стандартны - выделенная система для привилегированного доступа.

Необычно тут то, что система с максимальным уровнем доступа (например enterprise admin) - это физический ПК, а менее привилегированные системы - это ВМ.

Обычно всё наоборот: компьютеры используются для повседневных задач, а для админского доступа подгружают защищённую ВМ, но это не спасает от атак уровня гипервизора и кейлоггеров.

Откройте powershell на вашем корпоративном ПК и запустите такой командлет ( RSAT должны быть установлены ):Get-LocalGroupMember -name Administrators |?

Полезно так же составить лист таких учёток, добавить туда VIP и почтовые ящики , подгрузить список устройств из CMDB и скормить…

AV stands for "another vulnerability"Конечно, все об этом знают (а кто не знает - тот догадывается), но ваш антивирус работает не на вас.

Можно было сидеть и смотреть как прилетают события в консоли управления по мере начала рабочего дня в разных часовых поясах, а поделать ничего было нельзя.

SLA у поддержки вендора в таких случаях обычно "best effort".Началось все с того, что у разработчиков возникли проблемы с использованием доверенного сертификата в MS VisualStudio, поэтому они решили использовать самоподписанный сертификат для подписи кода.

МакАфии нельзя забирать файлы из корпоративной сети, можно только проверят хэши в облаке (кстати делает он это через DNS.

Одумались.Конечно, когда р…

внутри DDE ссылкаЕсли кликнет "yes" ссылка запустится и мелькнет окно браузераПо ссылке завёрнутый в base64 обфуцированный powershell скрипт,который отключает логирование и загружает закодированный руткит.

Агент находится целиком в памяти, на диск ничего не записывается, поэтому традиционные антивирусы его не заметят.Полностью пропатченный Windows 10 x64 со свежим топ5 антивирусом ничего не заметит.

Сетевые средства безопасности будут молчать (все хосты, юзер-агенты и сетевые пакеты белые и пушистые).

Сетевые фаил-сканнеры (типа Cisco AMP) даже если и умеют смотреть в HTTPS траффик, то ничего там не увидят т.к.

Промежуточные сервера и с2 могут подниматься скриптами и меняться несколько раз …

Идёт на ЛинкедИн, покупает премиумакк и собирает ящики сотрудников организации, фильтрует сотрудников ИБ, отмечает HR.HR - лучшая маскировка.

Лучше всего мимикрировать под стиль служебных писем: уведомлений от ITSM системы, почтового сервера, мессенджера, корпоративного портала и т.д.

Стэк корпоративных технологий легко вычислить по анкетам ИТ сотрудников на LinkedIn.Ну или можно использовать шаблоны от MS Office365.

Там не густо, но и, конечно, не пусто).К счастью, чтобы не быть съеденным медведем не нужно бежать быстрее всех, нужно бежать не последним.

Многофакторная аутентификация сделает вас чуть более сложной целью (тут есть свои подводные камни ), и фишеры переключатся на 80% других к…

И запишите в них все имеющиеся у вас контроли / инструменты ИБ.Если превентивных контролей у вас >80% - поздравляю, ваш уровень 0.

В далеком 2003 Гартнер предрёк гибель IDS в пользу IPS.Спустя 14 лет роль IDS почти невозможно преуменьшить.

Скажи мне, как у тебя настроена IDS, и я скажу кто твоя служба ИБ.Конечно, IDS должна стоять в разрыв и блокировать 100% вредоносную активность, но количество правил Prevention и Detection обычно отличается на порядок.

А куда нам нужно смотреть чтобы в следующий раз поймать нарушителя на ступеньку раньше?Переход к детектированию угроз повлечет за собой увеличение штата ИБ.

Наш мозг вообще очень любит охоту и благодарит за нее солидной порцией эндорфинов.О…

Я согласен, но вот не представляю себе сколько сил надо потратить на разворачивание и поддержку этого хозяйства.

Хорошее делоИскать неизвестные девайсы можно с помощью скрипта, который дампит CAM таблицы маршрутизаторов и парсит MAC адреса по вендорам.

SANS - самый уважаемый институт повышения квалификации в мире ИБ с соответствующими понтами и ценником.

В Америке он уже давно съел весь рынок, поэтому в последнее время вектор развития направлен на Европу и Азию.

Можно пройти в слепую, можно использовать подсказки (Daily NetWars это не соревнование.

Помните материал про , где автор рассказывал об унификации процесса обмена и реагирования на угрозы ИБ, с привязкой к MITRE ATT&CK? Сегодня я хочу вам рассказать об одном проекте под названием Atomic Threat Coverage. Ребята подружили Atomic Red Team, предназначенный для проведения автоматизированных тестов, имитирующих действия RedTeam, с проектом Sigma и их правилами обнаружения угроз, обвязали все это вокруг MITRE ATT&CK, прикрутив туда аналитику и визуализацию. Т.е по факту вы получаете собственную структурированную базу знаний, с возможностью загрузки/выгрузки как публичной, так и собственной аналитики, и все это с наложением на самый популярный рабочий фреймворк от MITRE. Недавно они з…

Ребята из Positive Technologies прямо сейчас рассказывают про внутрянку PHDays, и в частности про то, как изнутри устроен Standoff. https://www.youtube.com/watch?v=0T6WI1Jbm9A

OWASP спустя 6 лет (только вдумайтесь где был вебчик 6 лет назад и сейчас!) наконец обновило свое руководство по тестированию безопасности веб-приложений — OWASP Web Security Testing Guide v4.1. Из основного — обновили внешний вид, добавили несколько новых разделов и уже набросали план для будущей 5 версии документа. Правда несмотря на то, что сейчас документ неплохо обновили, фундаментальных изменений все таки стоит ждать только в следующей версии руководства. https://owasp.org/www-project-web-security-testing-guide/

Компания Cisco опросила руководителей ИБ и ИТ в различных индустриях по всему миру и выпустила отчет с текущими тенденциями, рекомендациями и прогнозами на 2020 год. Технической информации не ждите, отчет построен на базе ответов CISO, поэтому присутствует очень много бизнес-аналитики, рассуждений на тему эффективности ИБ и минимизации рисков. В целом проблема актуальная и интересная, руководитель службы не всегда способен доносить и адаптировать свои идеи руководству, отсюда и проблема с ценностью ИБ в организациях, которая вроде как и не нужна, лучше мы нормального админа возьмем, который все настроит. Интересно, если бы опрашивали исключительно российских CISO, такой отчет получилось бы …

Хм. Ресурс ZecOps опубликовал информацию о найденных уязвимостях в iOS, позволяющих с помощью отправки письма выполнить удаленное выполнение кода на устройстве жертвы. Атаке подвержены только пользователи, работающие с почтой через стандартный почтовый клиент на iOS. Проблема кроется в реализация функции MFMutableData в библиотеке MIME, которая приводит к переполнению буфера кучи. Забавно, но как заверяют авторы материала, одна из уязвимостей предположительно эксплуатируется начиная с января 2018 еще с iOS 11.2.2 и по сей день, включая iOS 13.4.1. Есть патч, но пока в формате бета-версии iOS 13.4.5.

Ну и как это обычно бывает на iOS, сами по себе найденные проблемы причинить вред пользовате…

Я не любитель писать о таких событиях, но 10 000 подписчиков на канале это серьезный юбилей. Только представьте 10 000 человек разных возрастов и специальностей, объединенных тематикой информационной безопасности. В связи с этим хочу выразить огромную благодарность каждому из вас за доверие. Это новая отправная точка для меня, дальше — больше.

Очень красивый бесплатный курс по OWASP Top 10 с элементами геймификации. https://application.security/free-application-security-training

Для любителей пострелять по своим веб-сервисам и приложениям делюсь своей подборкой средств для нагрузочного и стресс-тестирования. Каждый инструмент имеет свои плюсы и минусы, и честно признаться не с каждым мне удалось поработать, поэтому рекомендовать что-то конкретное сложно, но когда есть выбор каждый может найти себе инструмент под необходимую задачу :) https://yandex.ru/dev/tank/ [Tool | Free]

https://jmeter.apache.org/ [Tool | Free]

http://tsung.erlang-projects.org/ [Tool | Free]

https://gatling.io/ [Tool | Free/$]

https://k6.io/ [Tool | Free/SaaS]

https://locust.io/ [Tool | Free]

https://loader.io/ [SaaS | Free/$] https://artillery.io [Tool | Free/$]

https://github.com/wg/wrk [Tool…

Скорость реагирования имеет существенное значение в современной среде угроз, поэтому рынок не долго думая придумал очередной класс решений под названием SOAR. Прежде всего SOAR это логическое дополнение для решений SIEM, позволяющие автоматизировать реагирование на инциденты. Такой усложненный вариант If This Then That. Тренд рынок уловил и наполнился решениями под разные размеры кошелька. Для тех, кто не хочет иметь ничего общего с энтерпрайзом, можно попробовать выйти из положения собственными силами или поддержать другой проект с открытым исходным кодом. Вот например ребята делают Shaffle SOAR, пока сыровато, но уже есть возможность создания разных workflow, интеграция с TheHive, Cortex …

Учитесь предотвращать киберугрозы на практике🔥 Взломайте банк в виртуальной платформе CyWar. Она создана специально для студентов HackerU. Соревнуйтесь в более 100 практических заданиях со студентами со всего мира. Присоединяйтесь к 11 потоку практического курса «Специалист по информационной безопасности»🚀 8 преподавателей-практиков, среди них:

— Ilon Mindel, автор программы обучения, CEO в HackerU Solutions, разработчик CyWar

— Евгений Строев, руководитель направлением безопасности прикладных систем в АО «Тинькофф Банк». Читайте подробности и оставляйте заявку на сайте:

Небольшое исследование на тему популярности security.txt спустя 3 года после его появления. Кто не в курсе это .well-known файл, позволяющий в кратчайшие сроки найти способ связаться с службой ИБ исследуемого домена для обсуждения вопросиков. Если коротко — пока все плохо, но постепенно ситуация начинает улучшаться. Исследователь проанализировал около миллиона сайтов на предмет наличия security.txt, включая различные поля и, например, на топ 1000 сайтов приходится только 10% соответствующих. https://community.turgensec.com/security-txt-progress-in-ethical-security-research/ Понятно, что на сегодняшний день security.txt не успел стать стандартом со всеми вытекающими и еще находится на стадии…

Есть такой проект OSS-Fuzz от Google, платформа непрерывного фазинга, куда Google приглашает проекты с открытым исходном кодом и позволяет искать уязвимости, баги и сообщать о них непосредственно разработчикам. С момента запуска OSS-Fuzz найдены тысячи уязвимостей, и их количество только увеличивается, естественно многие из них даже не имеют никакого CVE идентификатора, и лишь сотни из них по-настоящему исправляются, большинством никто даже не занимается. Проблема усложняется тем, что для категоризации работы OSS-Fuzz требуется слишком много ресурсов: не все найденные проблемы опасны, и не на все в результате получат CVE и какие-либо исправления. Этот вопрос сообществу еще предстоит решить,…

Ребята в прямом эфире рассказывают про атаки на интерфейс USB. Отличный вариант разнообразить воскресенье 🙂 https://www.youtube.com/watch?v=0bMxAdq1adc

Как проходит Security CheckUp, лучшие кейсы 20 мая в 14:00 состоится совместный вебинар АйТеко и Check Point, посвященный возможностям Security CheckUP и интересным кейсам, связанным с проверкой безопасности. Check Point Security CheckUP — это инструмент, позволяющий инспектировать зеркалируемый трафик с гарантией невмешательства в работу сети. В ходе анализа даются ответы на такие вопросы, как: Какие опасные приложения Web 2.0 используются в вашей сети? Каким видам вторжений изо дня в день подвергается ваша сеть? Какая конфиденциальная информация отсылается из организации во внешний мир? Есть ли ботнеты в вашей сети? 20 мая, с 14:00 до 15:30

Участие в вебинаре бесплатное. Зарегистрироватьс…

The Bluetooth standard includes a legacy authentication procedure and a secure authentication procedure, allowing devices to authenticate to each other using a long term key.

Those procedures are used during pairing and secure connection establishment to prevent impersonation attacks.

In this paper, we show that the Bluetooth specification contains vulnerabilities enabling to perform impersonation attacks during secure connection establishment.

Such vulnerabilities include the lack of mandatory mutual authentication, overly permissive role switching, and an authentication procedure downgrade.

We refer to our attacks as Bluetooth Impersonation AttackS (BIAS).

This is new news:Revealing yet another super-power in the skillful squid, scientists have discovered that squid massively edit their own genetic instructions not only within the nucleus of their neurons, but also within the axon -- the long, slender neural projections that transmit electrical impulses to other neurons.

This is the first time that edits to genetic information have been observed outside of the nucleus of an animal cell.

[...]The discovery provides another jolt to the central dogma of molecular biology, which states that genetic information is passed faithfully from DNA to messenger RNA to the synthesis of proteins.

In 2015, Rosenthal and colleagues discovered that squid "edit…

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School and a board member of EFF.

This personal website expresses the opinions of neither of those organizations.

It's an interesting read, mostly about the government surveillance of him and other journalists.

He speaks about an NSA program called FIRSTFRUITS that specifically spies on US journalists.

Between you, Poitras, and Greenwald, pretty sure you guys can't stand up to a full-fledged nation-state attempt to exploit your IT.

I wanted them to send encrypted random junk back and forth constantly, to hide when they were actually sharing real data.

I assumed that all the countries Ledgett listed above -- plus the US and a few more -- had a full take of what Snowden gave the journalists.

He said he knows of seven recent armed robberies in the region where every suspect wore a mask.

[...]Just how many criminals are taking advantage of the pandemic to commit crimes is impossible to estimate, but law enforcement officials have no doubt the numbers are climbing.

Reports are starting to pop up across the United States and in other parts of the world of crimes pulled off in no small part because so many of us are now wearing masks.

In March, two men walked into Aqueduct Racetrack in New York wearing the same kind of surgical masks as many racing fans there and, at gunpoint, robbed three workers of a quarter-million dollars they were moving from gaming machines to a safe.

Other ro…

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School and a board member of EFF.

This personal website expresses the opinions of neither of those organizations.

A new malware, called Ramsey, can jump air gaps:ESET said they've been able to track down three different versions of the Ramsay malware, one compiled in September 2019 (Ramsay v1), and two others in early and late March 2020 (Ramsay v2.a and v2.b).

Each version was different and infected victims through different methods, but at its core, the malware's primary role was to scan an infected computer, and gather Word, PDF, and ZIP documents in a hidden storage folder, ready to be exfiltrated at a later date.

Other versions also included a spreader module that appended copies of the Ramsay malware to all PE (portable executable) files found on removable drives and network shares.

This is belie…

Friday Squid Blogging: Vegan "Squid" Made from ChickpeasIt's beyond Beyond Meat.

A Singapore company wants to make vegan "squid" -- and shrimp and crab -- from chickpeas.

As usual, you can also use this squid post to talk about the security stories in the news that I haven't covered.

Read my blog posting guidelines here.

Posted on May 15, 2020 at 4:19 PM • 1 Comments

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School and a board member of EFF.

This personal website expresses the opinions of neither of those organizations.

US Cyber Command has uploaded North Korean malware samples to the VirusTotal aggregation repository, adding to the malware samples it uploaded in February.

The first of the new malware variants, COPPERHEDGE, is described as a Remote Access Tool (RAT) "used by advanced persistent threat (APT) cyber actors in the targeting of cryptocurrency exchanges and related entities."

This RAT is known for its capability to help the threat actors perform system reconnaissance, run arbitrary commands on compromised systems, and exfiltrate stolen data.

TAINTEDSCRIBE is a trojan that acts as a full-featured beaconing implant with command modules and designed to disguise as Microsoft's Narrator.

The trojan "…

New U.S. Electronic Warfare PlatformThe Army is developing a new electronic warfare pod capable of being put on drones and on trucks.

...the Silent Crow pod is now the leading contender for the flying flagship of the Army's rebuilt electronic warfare force.

Army EW was largely disbanded after the Cold War, except for short-range jammers to shut down remote-controlled roadside bombs.

Historically, cyber operations occurred over landline networks and electronic warfare over radio-frequency (RF) airwaves.

(Insiders call this cognitive electronic warfare).

And while his attack in many cases requires opening a target laptop's case with a screwdriver, it leaves no trace of intrusion and can be pulled off in just a few minutes.

That opens a new avenue to what the security industry calls an "evil maid attack," the threat of any hacker who can get alone time with a computer in, say, a hotel room.

Ruytenberg says there's no easy software fix, only disabling the Thunderbolt port altogether.

"All the evil maid needs to do is unscrew the backplate, attach a device momentarily, reprogram the firmware, reattach the backplate, and the evil maid gets full access to the laptop," says Ruytenberg, who plans to present his Thunderspy research at the Black Hat…

Another California Data Privacy LawThe California Consumer Privacy Act is a lesson in missed opportunities.

It was passed in haste, to stop a ballot initiative that would have been even more restrictive:In September 2017, Alastair Mactaggart and Mary Ross proposed a statewide ballot initiative entitled the "California Consumer Privacy Act."

While the proposed privacy initiative was initially met with significant opposition, particularly from large technology companies, some of that opposition faded in the wake of the Cambridge Analytica scandal and Mark Zuckerberg's April 2018 testimony before Congress.

The initiative was withdrawn, and the state legislature passed (and the Governor signed)…

It's the oldest squid attack on record:An ancient squid-like creature with 10 arms covered in hooks had just crushed the skull of its prey in a vicious attack when disaster struck, killing both predator and prey, according to a Jurassic period fossil of the duo found on the southern coast of England.

This 200 million-year-old fossil was originally discovered in the 19th century, but a new analysis reveals that it's the oldest known example of a coleoid, or a class of cephalopods that includes octopuses, squid and cuttlefish, attacking prey.

Reforma said the complaint centers on Camilo Constantino Rivera, who heads the unit in the Mexican Special Prosecutor’s office responsible for fighting corruption.

In September 2019, prosecutors with the Southern District of New York unsealed indictments and announced arrests against 18 people accused of running an ATM skimming and money laundering operation that netted $20 million.

The Mexican attorney general’s office could not be immediately reached for comment.

Further reading:Alleged Chief of Romanian ATM Skimming Gang Arrested in MexicoTracking a Bluetooth Skimmer Gang in MexicoTracking a Bluetooth Skimmer Gang in Mexico, Part IIWho’s Behind Bluetooth Skimming in Mexico?

Tags: Camilo …

Since then, various online crime forums and Telegram chat channels focused on financial fraud have been littered with posts from people selling tutorials on how to siphon unemployment insurance funds from different states.

Yes, for roughly $50 worth of bitcoin, you too can quickly jump on the unemployment fraud “wave” and learn how to swindle unemployment insurance money from different states.

“Scattered Canary uses Gmail ‘dot accounts’ to mass-create accounts on each target website,” Agari’s Patrick Peterson wrote.

Agari notes that since April 29, Scattered Canary has filed at least 174 fraudulent claims for unemployment with the state of Washington.

Tags: Agari, Pandemic Unemployment Assi…

The Security Service of Ukraine (SBU) on Tuesday announced the detention of a hacker known as Sanix (a.k.a.

From that story:“Sanixer said Collection#1 consists of data pulled from a huge number of hacked sites, and was not exactly his ‘freshest’ offering.

For more on this dynamic, please see The Value of a Hacked Email Account.

Not saying these additional security methods aren’t also vulnerable to compromise (they absolutely are), but they’re definitely better than just using a password.

Tags: alex holden, Collection #1, Hold Security, Intel 471, password megabreach, Sanix, Sanixer, Troy Hunt

Here’s a look at one long-lived malware vulnerability testing service that is used and run by some of the Dark Web’s top cybercriminals.

At the same time, security companies are constantly scouring malware code for vulnerabilities that might allow them peer to inside the operations of crime networks, or to wrest control over those operations from the bad guys.

More importantly, talking publicly about these flaws tends to be the fastest way to get malware authors to fix any vulnerabilities in their code.

For roughly one year beginning in 2016, Lebron was a top moderator on Exploit.

Tags: Cerber, GandCrab, Intel 471, Krober, Lebron, malware testing service, RedBear, rEvil, Sodin, Sodinokibi, …

“In the state of Washington, individuals residing out-of-state are receiving multiple ACH deposits from the State of Washington Unemployment Benefits Program, all in different individuals’ names with no connection to the account holder,” the notice continues.

The alert follows news reports by media outlets in Washington and Rhode Island about millions of dollars in fraudulent unemployment claims in those states.

“Between March and April, the number of fraudulent claims for unemployment benefits jumped 27-fold to 700,” the state Employment Security Department (ESD) told The Seattle Times.

The U.S. government reported Thursday that nearly three million people filed unemployment claims last we…

Microsoft today issued software updates to plug at least 111 security holes in Windows and Windows-based programs.

May marks the third month in a row that Microsoft has pushed out fixes for more than 110 security flaws in its operating system and related software.

An update for Adobe Acrobat and Reader covers two dozen critical and important vulnerabilities.

Whichever system you choose, it’s important to pick one that fits the owner’s needs and provides security updates on an ongoing basis.

Also, keep an eye on the AskWoody blog from Woody Leonhard, who keeps a reliable lookout for buggy Microsoft updates each month.

Diebold Nixdorf, a major provider of automatic teller machines (ATMs) and payment technology to banks and retailers, recently suffered a ransomware attack that disrupted some operations.

According to Diebold, on the evening of Saturday, April 25, the company’s security team discovered anomalous behavior on its corporate network.

Suspecting a ransomware attack, Diebold said it immediately began disconnecting systems on that network to contain the spread of the malware.

Armed with the victim’s data — or data about the victim company’s partners or customers — the attackers can then threaten to publish or sell the information if victims refuse to pay up.

Tags: BleepingComputer, Diebold Nixdorf,…

Some of these unemployment applications will trigger an automatic letter from U.S. Bank to the applicant.

The letters are intended to prevent identity theft, but many people are mistaking these vague missives for a notification that someone has hijacked their identity.

Here’s what’s the letter looks like:My first thought when a reader shared a copy of the letter was that he recently had been the victim of identity theft.

That’s nice to know, because it’s not obvious from reading the letter which card is being referenced.

“We are always seeking to improve our programs, so thank you for bringing this to our attention,” the company said.

A new email scam is making the rounds, warning recipients that someone using their Internet address has been caught viewing child pornography.

The fraudulent message tries to seem more official by listing what are supposed to be the recipient’s IP address and MAC address.

For now we are Cancelling your Windows License, which means stopping all windows activities & updates on your computer.

If this was not You and would like to Reinstate the Windows License, Please call MS Support Team at 1-844-286-1916 for further help.

Tags: 1 844 286 1916, Microsoft support scam, tech support scam

Fresenius, Europe’s largest private hospital operator and a major provider of dialysis products and services that are in such high demand thanks to the COVID-19 pandemic, has been hit in a ransomware cyber attack on its technology systems.

Based in Germany, the Fresenius Group includes four independent businesses: Fresenius Medical Care, a leading provider of care to those suffering from kidney failure; Fresenius Helios, Europe’s largest private hospital operator (according to the company’s Web site); Fresenius Kabi, which supplies pharmaceutical drugs and medical devices; and Fresenius Vamed, which manages healthcare facilities.

“I can confirm that Fresenius’ IT security detected a compute…

But it’s not all good news: The Coronavirus also has driven up costs and disrupted key supply lines for many cybercriminals.

For example, reshipping scams have over the years become easier for both reshipping mule operators and the mules themselves.

Many reshipping mules are understandably concerned about receiving stolen goods at their home and risking a visit from the local police.

“The mules don’t have to receive stolen goods directly at home anymore,” Holden said.

“The illusion of philanthropy recedes further when you consider the benefits to the threat actors giving away goods and services,” the report notes.

You may have heard that today’s phone fraudsters like to use use caller ID spoofing services to make their scam calls seem more believable.

“I confirmed on my separate Citi card that they often (but not quite always) were providing the transaction details,” Jim said.

After verifying the recent legitimate transactions with the caller, the person on the phone asked for her security word.

‘OVERPAYMENT REIMBURSEMENT’In the case of Jim’s wife, the inbox flood backfired, and only made her more suspicious about the true nature of the recent phone call.

“If the fraudsters already have the target’s cell phone number, in many cases they already have the target’s credit card information as well,” Bary…

Law firm PGMBM has issued a class action claim on behalf of airline travellers impacted by the data breach, which made the headlines last week when EasyJet shared details publicly – months after it first realised it had been hacked.

As nine million EasyJet customers are thought to have had their data exposed by the security breach, the action has a potential liability of £18 billion.

If the class action isn’t successful, PGMBM’s insurance will cover any of the costs.

More details of the EasyJet class action, and an FAQ, are available on a website set up for the group action: theeasyjetclaim.com.

Ultimately if the fear of post-hack financial loss won’t make companies take data security more …

The UK Civil Service’s Twitter account, followed by over 240,000 people, posted an eyebrow-raising tweet last night:“Arrogant and offensive.

Within 10 minutes the unauthorised message had been retweeted 30,000 times, which probably reflects the public’s feelings at the moment.

The UK’s Cabinet Office announced shortly afterwards that the tweet was unauthorised, and that an investigation was underway.

No doubt that means someone in the Civil Service’s social media team will be losing their job.

You can have a strong, unique password, you can have multi-factor authentication in place, but good luck preventing a member of your social media team ‘going rogue’.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Let’s take a closer look at the email EasyJet is sending to customers affected by its recently-revealed security breach.

From: easyJet Subject: Cyber Security IncidentNotice of cyber security incident – be alert to phishing emails Dear Customer,A personal communication, but they don’t use my name?

EasyJet’s announcement about the breach was definitely recent, but can the security incident itself actually be considered “recent”?

The odd thing is that some EasyJet customers have received this notification despite not taking any flights or booking any holidays with EasyJet between those dates.

But is it the case that no EasyJet customers had that infomation breached, or just the ones who recei…

So, how did the hacker gain access to BlockFi?

According to the crypto-lending platform, one of its employees was targeted by criminals who conducted a SIM swap attack, hijacking control of the worker’s phone number.

BlockFi says it took rapid action, suspending the affected employee’s access to prevent further misuse, and putting “additional identity controls for all BlockFi employees” in place.

By doing this, BlockFi says it was able to prevent a second attempted attack by the hacker.

“Due to the nature of the information that was leaked, we do not believe there is any immediate risk to BlockFi clients or company funds,” says BlockFi.

Japan’s Ministry of Defense says it is investigating if state-sponsored hackers were responsible.

There were red faces earlier this year when it was made public that hackers had exploited vulnerabilities in one of Trend Micro’s anti-virus products… to steal information from Japanese manufacturer Mitsubishi Electric.

It was obviously embarrassing for Trend Micro, which continues to brag about Mitsubishi Electric being one of its customers.

Mitsubishi Electric did not win the bid.

Surprise surprise.

All this and much much more is discussed in the latest edition of the “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault, joined this week by Brian Klaas of the “Power Corrupts” podcast.

Sponsor: Immersive Labs Immersive Labs gives security professionals practical and gamified content to keep pace with the latest threats.

Sponsor: Boxcryptor Boxcryptor encrypts your sensitive files and folders in Dropbox, Google Drive, OneDrive and many other cloud storages.

Follow the show:Follow the show on Twitter at @SmashinSecurity, on the Smashing Security subreddit, or visit our website for more episodes.

Remember: Subscribe on Apple Podcasts, or your favouri…

The email addresses and travel details of nine million passengers are thought to have been accessed by the hackers, as well as the credit card details of 2,208 customers.

According to the airline, “There is no evidence that any personal information of any nature has been misused” but one would have to question how on earth EasyJet would know with any confidence that it hadn’t been abused.

EasyJet CEO Johan Lundgren said in a press release:“We take the cyber security of our systems very seriously and have robust security measures in place to protect our customers’ personal information.

“Every business must continue to stay agile to stay ahead of the threat.

News of the hack comes at the wors…

ZDNet reports that the FBI has issued a “flash alert” warning that hackers are planting Magecart-style payment card-skimming code on Magento-powered online stores running an out-of-date plugin.

The attack was carried out after the exploitation of the CVE-2017-7391 XSS vulnerability in version 0.7.22 of the Magento Mass Import (MAGMI) plugin.

That vulnerability was discovered in 2017, but disappointingly there are clearly online stores still using the unsafe version of the MAGMI plugin on their Magento-powered store.

As ZDNet points out, updating to the patched version 0.7.23 of the MAGMI plugin is a good idea, but not a long term solution.

That’s because the MAGMI plugin only works on websi…

Graham Cluley Security News is sponsored this week by the folks at Recorded Future.

You need Recorded Future Express, a new browser extension from the experts at Recorded Future that delivers elite security intelligence at zero cost.

Install Recorded Future Expresss for free today to accelerate your investigations and make better, faster decisions.

About Recorded FutureRecorded Future delivers the only complete threat intelligence solution powered by patented machine learning to lower risk.

91 percent of the Fortune 100 use Recorded Future.

Norfund, the Norwegian state-owned investment fund for developing countries, has revealed that it has been swindled out of US $10,000,000 (approximately 100 million Norwegian Krona) intended for an institution in Cambodia.

After breaching its infrastructure, the attackers were able to patiently monitor Norfund's email communications with partners, gather information, and create an account impersonating a member of staff authorised to make payments.

As local media reports, the scammers cunningly took advantage of the compromise of Norfund's email system to inform LOLC that the payment had been delayed due to the Coronavirus pandemic.

Describing the fraud, Norfund's CEO Tellef Thorleifsson sa…

What the hackers don’t tell you – let’s be generous, perhaps because they’re not aware themselves – is that there’s a bug within ProLock’s decryption code.

You’ve spent all your money to get your files back and then the decryption process provided by the hackers doesn’t work properly.

With this revelation about the bug in ProLock’s decryption code, it does indeed appear that there’s no guarantee at all.

But maybe you’ll gain some small satisfaction from knowing that whoever is behind the ProLock ransomware does seem to be having a lot of headaches when it comes to decryption.

Maybe with this latest news it will be time for ProLock to get yet another name change and rebrand?

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

В этом посте я расскажу о своих родителях — о том, как они осваивали современные технологии и что я для этого делал.

Нужно было подобрать что-то более современное, и мы с братом уговорили родителей купить BlackBerry (у брата как раз был такой).

Моим родителям пришлось сначала перейти с «раскладушек» на BlackBerry, затем на Windows Phone и в конце концов на iOS.

Моим родителям пришлось сначала перейти с «раскладушек» на BlackBerry, затем на Windows Phone и в конце концов на iOS.

Главное — запастись терпением и не торопиться: спокойно объяснять, как все устроено и как защититься от онлайн-угроз.

Современные AAA-игры бывают очень дорогими, так что не все могут себе позволить покупать их за полную цену.

Кроме того, основной смысл оплаты контента — поддержать разработчиков, чтобы они могли содержать серверы для мультиплеера, создавать новые игры и продолжения для уже вышедших.

Игры в официальных магазинахЕсли вы хотите сэкономить и не готовы рисковать, пользуйтесь легальными способами: следите за распродажами или скачивайте недорогие и бесплатные игры на официальных площадках.

Совсем уж расслабляться, конечно же, все равно не стоит, и даже на официальных площадках надо быть осмотрительным: иногда и в Steam просачиваются зловреды.

Также злоумышленники иногда подделывают страницы игр — …

И это правильно — чтобы сконцентрироваться на бизнес-задачах, клиенту удобнее использовать готовое решение «под ключ».

Возможна ли в принципе модель предоставления интегрированной защиты «под ключ» — Security as a Service?

Наше понимание защиты «под ключ»Чтобы ответить на этот вопрос, для начала определим, что мы сами понимаем под «защитой под ключ».

На первом этапе справляются решения классов Endpoint Protection Platform или Endpoint Detection and Response в автоматическом режиме.

Это и обнаружение угроз путем анализа аномалий сетевого трафика (Network Detection and Response), и возможность интерпретации информации об инцидентах силами высококвалифицированных специалистов (Managed Detectio…

Сказался он и на подходах к обеспечению защиты от шифровальщиков-вымогателей.

Фактически это означает, что теперь офисная сеть распределена по городу (и хорошо, если по одному).

То есть если вредонос распространится по сети, то зашифрованы будут компьютеры, находящиеся в километрах друг от друга.

Защитное решениеМы понимаем, что большинство компаний, вынужденных внезапно отправить своих сотрудников на удаленную работу, не закладывало в бюджет покупку дополнительных защитных решений.

Однако это не повод оставлять их совсем без прикрытия.

Он похож на рейтинг, которым пользуются банки, изучающие вашу кредитную историю, прежде чем выдать деньги, но может включать гораздо более разнообразную информацию.

Например, в США, в Нью-Йорке страховщикам официально разрешено принимать решения относительно стоимости полисов, анализируя данные из соцсетей.

Правда, существует и другое мнение: подобные системы не только не страшны, но даже полезны, ведь они позволяют сделать жизнь безопаснее.

Она получает эту информацию не только из соцсетей, но и с множества всевозможных камер и датчиков — так называемого Интернета вещей.

Механизм, который этим занимается, тоже может оказаться уязвимым — как к заражению вредоносным кодом, так и к довольно н…

Поиск ошибок и потенциальных уязвимостей в различных технологических продуктах является важным направлением современной индустрии кибербезопасности, в котором в том числе работают и наши исследователи.

Мы в «Лаборатории Касперского» придерживаемся четко сформулированных этических принципов ответственного раскрытия уязвимостей (Responsible Vulnerability Disclosure, RVD), обнаруженных в продуктах третьих сторон.

Поэтому наша компания одной из первых решила опубликовать свои принципы раскрытия найденных уязвимостей.

При этом в процесс раскрытия уязвимостей вовлечены не только исследователи и вендоры, но и регуляторы, заказчики, независимые исследователи и этичные хакеры.

Поэтому мы считаем важ…

Его ученики разбили это зеркало на миллиарды осколков, которые, во-первых, попадали людям в глаза и в сердца, а во-вторых, сохраняли свойство всего зеркала (искажали отображение реальности).

Как и в случае с Белоснежкой, блокировка данных с помощью гребня оказалась не перманентной — данные удается восстановить, и Герда продолжает свое расследование.

То есть весь смысл общения с колдуньей заключался в том, что Герда пыталась через ее контакт-лист в ICQ найти дополнительную информацию по инциденту.

История седьмая: что случилось в чертогах Снежной королевы и что случилось потомВ седьмой истории объясняется, зачем Королеве понадобился Кай.

Вот и еще одно доказательство: в сущности, «Снежная Ко…

Поэтому наши коллеги опросили более 6000 работающих людей по всему миру и узнали, как ситуация выглядит с их точки зрения.

ОборудованиеДля обеспечения корпоративной безопасности крайне важно понимать, с какого оборудования работают ваши удаленные сотрудники и как они это делают.

Другое — если он служит и для рабочих и для повседневных домашних дел.

Например, 33% опрошенных посещают сайты с контентом для взрослых именно c личных компьютеров, которые используются и для работы.

Да и вообще неизвестно, насколько надежен роутер и не скомпрометирован ли он какими-нибудь злоумышленниками.

А в прошлом году был неприятно удивлён во Франкфурте — в двух ресторанах принимали только бумажные деньги.

Увы, это не так.

И если гора не идёт к Магомету, то рассчитывать надо только на свои силы.

Поэтому в ближайшее время смело ожидайте уменьшения количества новостей о взломанных банкоматах и терминалах в далёких уголках нашей планеты.

А если вдруг остались вопросы, то прошу за подробностями на продуктовую страницу.

Браузер помнит, какие сайты вы посещаете, и подсказывает вам, когда вы в очередной раз собираетесь открыть один из них.

Браузер помнит, какие сайты вы посещаете, и подсказывает вам, когда вы в очередной раз собираетесь открыть один из них.

Они позволяют сайту вас запомнить и в следующий раз не запрашивать, например, логин и пароль.

Однако помимо самого ресурса вас — точнее то, что вы его посетили, — запоминают рекламные сети, которые с ним сотрудничают.

Так что не нервничайте и никому ничего не платите.

В том числе зацепил и изрядное количество устройств, где не было и не могло быть никаких ценных данных, за которые стоило бы платить выкуп.

А что будет, если такое устройство будет выведено из строя непосредственно во время исследования?

А банкоматы, как правило, подключены к одной сети и все защищены одинаково, и если уязвим один — уязвимы все.

Да и не надо забывать о пассажирах: неработающие табло на вокзалах и в аэропортах могут доставить им массу неприятностей.

Как показывает практика, далеко не все воспринимают такое оборудование как еще один специализированный компьютер.

Не знаете, куда деваться от запросов в друзья, приходящих от не пойми кого, а ваши публикации в Facebook комментируют все кому не лень?

Если вы сфотографировали билет на концерт с QR-кодом и выложили его в Instagram, считайте, что вы его уже кому-то подарили.

Покопайтесь в настройках социальных сетейСоциальные сети — публичные пространства, но не все публичные пространства одинаковы и не все публичные вещи следует показывать всем подряд.

Вы можете, например, запретить показывать ваш профиль в результатах поиска или не дать другим пользователям отмечать вас в публикациях и писать вам сообщения.

Помните, что не все аккаунты удаляются автоматически по прошествии некоторого времени: многие из н…

Давайте разберемся, что это за квантовый компьютер такой и стоит ли опасаться, что киберпреступники начнут пользоваться им для взлома.

Квантовые компьютеры, в отличие от своих старших братьев, хранят и обрабатывают данные с помощью квантовых битов — кубитов.

Квантовые компьютеры в жизниИтак, квантовые компьютеры очень быстро решают очень сложные задачи.

Квантовые компьютеры (пока) не угрозаКак видите, квантовые компьютеры до сих пор — скорее игрушка для ученых, чем потребительские устройства или инструмент взломщика.

Что, конечно, не значит, что в будущем они не станут ближе к жизни (и опаснее).

Shade (также известный как Troldesh) — это шифровальщик, который начал портить пользователям жизнь еще в 2015 году.

Однако авторы Shade так и не были пойманы — и они продолжали создавать новые версии шифровальщика, против которых существовавший декриптор уже был бессилен.

В конце 2019 — начале 2020 года количество пользователей, столкнувшихся с Shade, значительно снизилось по сравнению с предыдущими годами.

С его помощью жертвы Shade могут восстановить файлы независимо от того, какой версией Shade они были зашифрованы.

Пример с Shade еще раз доказывает, почему лучше аккуратно сохранить зашифрованные файлы и набраться терпения: очень вероятно, что в какой-то момент декриптор появится и файлы…

Мы решили посмотреть, как в эти смутные времена обстояли дела с информационной безопасностью.

По всей видимости, оно не работает в открытом космосе, однако на планете четко показывает направление на цель.

Как бы то ни было, если кто-то способен изготовить такой брелок для отслеживания любого живого существа, то ни о какой приватности говорить не приходится.

В этом эпизоде еще есть достаточно сомнительное устройство безопасности в виде приводного маячка, который призывает патруль из нескольких республиканских истребителей.

В сериале еще есть несколько мелких деталей, которые с точки зрения информационной безопасности кажутся провальными.

Why so serious?

Через некоторое время отдел кадров удаляет фото (снимки экрана здесь и далее частично заретушированы, чтобы не раскрывать реальные имена), но оно упорно возвращается, его опять удаляют, и так происходит еще несколько раз.

В отделе кадров понимают, что намерения у кота самые серьезные, уходить он не хочет, и призывают на помощь веб-программиста — человека, который делал сайт и разбирается в нем, а сейчас его администрирует.

Программист заходит на сайт, еще раз удаляет надоевшего кота, выявляет, что его разместили от имени самого отдела кадров, затем делает предположение, что пароль отдела кадров утек к каким-то сетевым хулиганам, и меняет его.

Кот больше не появляется.

Sniffer URL;Payment gatewayhttp://reactjsapi.com/react.js;Authorize.Net https://ajaxstatic.com/api.js?v=2.1.1;Cardsave https://ajaxstatic.com/api.js?v=2.1.2;Authorize.Net https://ajaxstatic.com/api.js?v=2.1.3;Authorize.Net https://ajaxstatic.com/api.js?v=2.1.4;eWAY Rapid https://ajaxstatic.com/api.js?v=2.1.5;Authorize.Net https://ajaxstatic.com/api.js?v=2.1.6;Adyen https://ajaxstatic.com/api.js?v=2.1.7;USAePay https://ajaxstatic.com/api.js?v=2.1.9;Authorize.Net https://apitstatus.com/api.js?v=2.1.1;USAePay https://apitstatus.com/api.js?v=2.1.2;Authorize.Net https://apitstatus.com/api.js?v=2.1.3;Moneris https://apitstatus.com/api.js?v=2.1.5;USAePay https://apitstatus.com/api.js?v=2.1.6;PayPa…

Теперь мы знаем, что исследуемый компьютер работал под управлением ОС Windows 7 Professional с пакетом обновления SP1, а, значит, знаем, с какими криминалистическими артефактами можем столкнуться, и какие из них нам могут понадобиться.

Неплохим началом может стать поиск потенциальных механизмов закрепления в системе, которые позволяют вредоносным программам осуществлять повторный запуск после перезагрузки компьютера.

Начнем с простого: возьмем файл реестра NTUSER.DAT из каталога пользователя (С:\Users\%username%\) с самой свежей датой модификации и извлечем из него данные при помощи все того же RegRipper.

Если мы снова хотим получить номер записи необходимого нам файла средствами fls и find…

Ресурс putin.site решил собирать деньги для 12 благотворительных фондов, но его об этом совсем не просили

Group-IB опубликовала индикаторы атаки на медучреждения

Криминалистические артефакты шифровальщика Troldesh (Shade)

Как хакеры из MuddyWater атаковали турецкого производителя военной электроники

Известный Android-троян сменил тактику и «заработал» десятки миллионов рублей на российских пользователях

Как мы не нашли хороший сетевой граф и создали свой

Вынесен приговор участнику хакерской группы, заразившей более 800 000 смартфонов

Group-IB фиксирует новую волну мошенничества с использованием приложения для удаленного доступа

Прогнозы:Everyday we work hard to make life of our clients better and happier

As customers secure their remote workers, they tell us they are getting better visibility, better efficacy and getting time back!

Enabling your workforce to work securely on any endpoint, anywhere, at any time is more important now than ever before.

Cisco AMP for Endpoints is a key component of and plays a critical role in this new solution.

Business Value #1: Better visibility into endpointsCustomer challenge: My endpoints are under constant attack through phishing attempts, advanced persistent threats (APTs) and exploits.

You can count on AMP for Endpoint delivering consistent security efficacy, enabling you to get superior protection from advanced threats.

These vehicles also frequently integrate both mobile and cloud components to improve the end-user experience.

All these electronic and computer systems introduce a lot of different attack vectors in connected vehicles – Bluetooth, Digital Radio (HD Radio/DAB), USB, CAN bus, Wi-Fi and, in some cases, cellular.

However, like any other embedded system, connected vehicles are exposed to cyber attacks and security threats.

Some of the threats that connected vehicles face include software vulnerabilities, hardware-based attacks and even remote control of the vehicle.

During some recent research, Cisco’s Customer Experience Assessment & Penetration Team (CX APT) discovered a memory corruption vuln…

Your network has left the building.

Today’s security teams have to mind various areas of their network and cloud infrastructure, remote users and endpoints, and applications running everywhere in order to remain secure.

In response to current challenges, we have also launched the Cisco Secure Remote Worker solution to help organizations address the recent rise in remote and mobile workers.

With Cisco’s cloud edge security, you can: 1) secure cloud access, 2) protect cloud users, data, and applications, and 3) extend in-depth visibility and threat detection into the cloud.

The Cisco Secure Data Center solution provides several layers of security through in-depth visibility, segmentation, and…

Welcome to the first in a series of blogs on the future of the email security market and how you can leverage the latest technologies to secure your cloud email deployments.

The SEG technology space, and Cisco’s Cloud Email Security (CES) in particular, is still a valuable part of the enterprise content security strategy.

This is just one example of the kind of protection that Cisco’s Cloud Email Security (CES) allows customers to bring with them when they migrate away from on-premises email servers.

These examples do not cover all of the use-cases and benefits of CES for cloud email customers (for that, you can explore the user guides and product video), but they do illustrate a key messag…

Threat actors continue to develop new malware designed to exploit even the smallest flaws in mobile devices.

Effectively Assessing Risk for Mobile Devices Without AgentsOne of the most significant challenges to securing mobile devices is installing agents on the device.

Many vulnerability management providers talk about how their agent is stripped down or customized to work on mobile devices.

How it WorksFrontline.Cloud consumes mobile device information from Cisco ISE and combines it with vulnerability information already in the platform.

Cisco ISE can even classify mobile devices with limited access to certain network resources.

18 months ago, we launched Cisco Tetration SaaS and ever since, we have only accelerated the journey to secure our customers application workloads.

More than half of our customers now use SaaS for their workload security needs.

While Cisco Tetration SaaS is available globally, our customers data resided in the United States.

Here is how our customers and partners will benefit from Cisco Tetration SaaS in region:“Securing our customers data is a top priority.

Cisco Tetration SaaS for European customers will now have an option to host data in Germany, with disaster recovery and data backup in Amsterdam, Netherlands.

Cisco Talos has discovered a new Android malware based on a leak of the DenDroid malware family.

We named this malware “WolfRAT” due to strong links between this malware (and the command and control (C2) infrastructure) and Wolf Research, an infamous organization that developed interception and espionage-based malware and was publicly described by CSIS during VirusBulletin 2018.

We identified infrastructure overlaps and string references to previous Wolf Research work.

The organization appears to be shut down, but the threat actors are still very active.We identified campaigns targeting Thai users and their devices.

The panels also contain Thai JavaScript comments and the domain names also …

We are very pleased to share the news that Cisco Advanced Malware Protection (AMP) for Endpoints earned high marks in malware protection tests, while achieving the lowest false alarms in the first AV Comparatives Business Main Test Series for 2020.

The test series includes two types of tests, the Malware Protection Test and Business Real-World Protection Test.

The Malware Protection TestThe Malware Protection Test assesses a security program’s ability to protect a system against infection by malicious files before, during or after execution.

The Real-World Protection TestThe Real-World Protection Test examines how well the security product protects the endpoint in the most realistic way, us…

Today, Talos is publishing a glimpse into the most prevalent threats we’ve observed between May 8 and May 15.

Instead, this post will summarize the threats we’ve observed by highlighting key behavioral characteristics, indicators of compromise, and discussing how our customers are automatically protected from these threats.

Additionally, please keep in mind that IOC searching is only one part of threat hunting.

Detection and coverage for the following threats is subject to updates, pending additional threat or vulnerability analysis.

As always, please remember that all IOCs contained in this document are indicators, and that one single IOC does not indicate maliciousness.

There are many benefits to using a cloud provider like Amazon Web Services (AWS).

No matter how secure a cloud provider is, inconsistent protection and lack of comprehensive visibility and control can leave organizations vulnerable.

Cisco Tetration addresses the cloud workload protection challenge in a comprehensive and scalable way.

Cisco Tetration Design & Implementation video playlist: Learn how to use Tetration for workload security by watching this in-depth series.

It helps you understand the breadth and depth of Tetration’s cloud workload protection, microsegmentation, and visibility features.

All of our tools seamlessly integrated through Threat Response gives us one view into our layered protection and valuable time back.”As background, Threat Response provides a visual, real-time answer for if, and how, threats have impacted your environment, so, you can take first-strike response actions in the same interface.

Security operations teams use Threat Response to:Aggregate global threat intelligence : Search, consume, and operationalize threat intelligence, both public and private sources, with one application.

Since we announced SecureX at RSA Conference in February, you might be wondering, what’s the difference between Threat Response and SecureX?

Enhanced Threat Response capabi…

And multi-factor authentication, to establish user identity before VPN access is granted.

Cisco AnyConnect VPN is the world’s most widely used enterprise remote access VPN.

Another AnyConnect differentiator is that it can natively assess endpoint posture (e.g., validating endpoint security software is up-to-date) before granting VPN access.

Firewalling where you need it, unified with consistent policies, visibility, and threat correlation between endpoint and network security tools.

For instance, based on load, SecureX can automate virtual firewall provisioning to grow remote access VPN capacity on demand.

This week’s episode of the Security Stories podcast was one of my favorites to record, for a few reasons.

Our interview is with a remarkable lady called Masha Sedova, who co-founded Elevate Security.

Before Elevate, Masha was a Security Executive at Salesforce where she built and led the security engagement team focused on improving the security mindset of employees, partners and customers.

“The industry doesn’t have to be this way” is the mantle she had when she decided to go for it.

You can listen to Security Stories on Apple Podcasts, Spotify, Google Podcasts, or wherever you normally get your podcasts from!

Once you’ve configured your policy, share the following guidance to help users get their devices registered—new Windows 10 devices, existing Windows 10 devices, and personal devices.

Enforcing security policies on mobile devices and appsWe have two options for enforcing security policies on mobile devices: Intune Mobile Device Management (MDM) and Intune Mobile Application Management (MAM).

In both cases, once data access is granted, we want to control what the user does with the data.

Next, we want to set up app-based Conditional Access policies to ensure only approved corporate apps access corporate data.

ConclusionWe hope the above helps you deploy and successfully incorporate devices in…

To avoid these challenges many organizations were able to enable work from home by transitioning their existing network infrastructure and capabilities with a Zero Trust security framework instead.

The Zero Trust framework empowers organizations to limit access to specific apps and resources only to the authorized users who are allowed to access them.

For the companies who already had proof of concept underway for their Zero Trust journey, COVID-19 served as an accelerator, moving up the timelines for adoption.

Both Microsoft and Zscaler anticipate that if not already moving toward a Zero Trust model, organizations will accelerate this transition and start to adopt one.

For more information…

So how should you approach selecting and onboarding the right open source solutions for your organization?

Today I’ll share our collective advice for selecting open source components and persuading organizations to approve them.

If a commercial company is providing funding or support to an open source project, it’s more likely that the support will continue even as community members change.

Enlist help from the open source project: Many open source communities include people who can help you make the business case to your approvers.

In the meantime, explore some of Microsoft’s open source solutions, such as The Microsoft Graph Toolkit, DeepSpeed, misticpy, and Attack Surface Analyzer.

Unique users, system interaction times, protocols, binary files, data files, services, registry keys, and configurations (such as rogue registry keys).

We must put energy into the security process to counter the growth of entropy, which would otherwise exponentially complicate our security problem set.

Centralize the security process.

In the end, your success in investigating and responding to inevitable security incidents depends on what your organization does on the network today, not during an active investigation.

The longer we ignore the security problem, the further the state of the network will drift from “standardized and controlled” back into disorder and entropy.

Azure Sphere, now generally available, is Microsoft’s entry into the market: a seven-properties-compliant, end-to-end product offering for building and deploying highly secured IoT devices.

These details are captured in a new paper titled, Nineteen cybersecurity best practices used to implement the seven properties of highly secured devices in Azure Sphere.

It focuses on why the seven properties are always required and describes best practices used to implement Azure Sphere.

The paper provides detailed information about the architecture and implementation of Azure Sphere and discusses design decisions and trade-offs.

Read the full paper, Nineteen cybersecurity best practices used to impleme…

Azure Security Center innovationsAzure Security Center is a unified infrastructure security management system for both Azure and hybrid cloud resources on-premises or in other clouds.

Suppressed alerts will be hidden in Azure Security Center and Azure Sentinel but will still be available with ‘dismissed’ state.

Azure Disk Encryption and encryption & key management updatesWe continue to invest in encryption options for our customers.

Customer Lockbox for Microsoft Azure provides an interface for customers to review and approve or reject customer data access requests.

You can learn more about our Azure security offerings by heading to the Azure Security Center Tech Community.

At Microsoft, we understand that while the current health crisis we face together has served as this forcing function, some organizations might not have been ready for this new world of remote work, financially or organizationally.

Cybersecurity provides the underpinning to operationally resiliency as more organizations adapt to enabling secure remote work options, whether in the short or long term.

To maintain cyber resilience, one should be regularly evaluating their risk threshold and an organization’s ability to operationally execute the processes through a combination of human efforts and technology products and services.

Moving to secure remote work environment, without a resilience p…

Today, we take our COVID-19 threat intelligence sharing a step further by making some of our own indicators available publicly for those that are not already protected by our solutions.

For enterprise customers who use MISP for storing and sharing threat intelligence, these indicators can easily be consumed via a MISP feed.

This COVID-specific threat intelligence feed represents a start at sharing some of Microsoft’s COVID-related IOCs.

You should begin to see Alerts in Azure Sentinel for any detections related to these COVID threat indicators.

Please refer to the Azure Sentinel documentation on connecting data from threat intelligence providers.

Mitigating Steps 1 to 4 of the Thunderspy attack with Kernel DMA protectionSecured-core PCs ship with hardware and firmware that support Kernel DMA protection, which is enabled by default in the Windows OS.

Kernel DMA protection relies on the Input/Output Memory Management Unit (IOMMU) to block external peripherals from starting and performing DMA unless an authorized user is signed in and the screen is unlocked.

HVCI utilizes the hypervisor to enable VBS and isolate the code integrity subsystem that verifies that all kernel code in Windows is signed from the normal kernel.

In addition to isolating the checks, HVCI also ensures that kernel code cannot be both writable and executable, ensuri…

Organizations need quick and effective user security and awareness training to address the swiftly changing needs of the new normal for many of us.

To help our customers deploy user training quickly, easily and effectively, we are announcing the availability of the Microsoft Cybersecurity Awareness Kit, delivered in partnership with Terranova Security.

ACCESSING THE KITAll Microsoft 365 customers can access the kit and directions on the Microsoft 365 Security and Compliance Center through this link.

Deploying quick and effective end-user training to empower your remote workforce is one of the ways Microsoft can help customers work productively and securely through COVID-19.

For more resourc…

Forty-eight percent of CISO respondents indicated work stress had negatively impacted their mental health, this is almost double the number from last year’s survey.

This is partly because CISO responsibility can vary widely from company to company.

To see how to do this watch Microsoft CISO Series Episode 2 Part 1: Security is everyone’s Business—about the role of a CISO.

“We can address administrative controls, technical controls, physical controls, but you also need to address the culture and human behavior, or the human firewalls.

“We can address administrative controls, technical controls, physical controls, but you also need to address the culture and human behavior, or the human firew…

The opportunities for innovative approaches to threat detection through deep learning, a category of algorithms within the larger framework of machine learning, are vast.

The role of static analysis in deep learning-based malware classificationWhile static analysis is typically associated with traditional detection methods, it remains to be an important building block for AI-driven detection of malware.

Finding ways to perform static analysis at scale and with high effectiveness benefits overall malware detection methodologies.

The results certainly encourage the use of deep transfer learning for the purpose of malware classification.

Conclusion and future workThe use of deep learning metho…

Our hope is that instead of World Password Day, we’ll start celebrating World Passwordless Day.

Fifty-five percent would prefer a method of protecting accounts that doesn’t involve passwords (Ponemon Institute survey/Yubico).

a method of protecting accounts that doesn’t involve passwords (Ponemon Institute survey/Yubico).

Microsoft has built support for passwordless authentication into our products and services, including Office, Azure, Xbox, and Github.

Microsoft’s IT team switched to passwordless authentication and now 90 percent of Microsoft employees sign in without entering a password.

Basic 24/7 via emailMicrosoft Defender Security Center allows you to send all Microsoft Defender ATP alerts to an email address.

Setting up alert emails in Microsoft Defender ATP to be sent to a ticketing system.

Once you’ve stored the authentication token you can use it to poll the Microsoft Defender ATP API and retrieve alerts from Microsoft Defender ATP.

You can learn more about how to access Microsoft Defender ATP APIs in the documentation.

We also ingest and monitor Microsoft Defender ATP alerts.

A day in the life—remediationWhen we last left our heroes in the previous entry, our analyst had built a timeline of the potential adversary attack operation.

—SOC analysts can isolate a computer and contact the user directly (or IT operations/helpdesk) to have them initiate a reinstallation procedure.

Server or applications —SOC analysts typically work with IT operations and/or application owners to arrange rapid remediation of these resources.

—SOC analysts typically work with IT operations and/or application owners to arrange rapid remediation of these resources.

—Because of the high risk of service/business impact, SOC analysts work with the service account owner of record (falling back…

Turning on Enhanced Safe Browsing will substantially increase protection from dangerous websites and downloads.

By sharing real-time data with Google Safe Browsing, Chrome can proactively protect you against dangerous sites.

How Enhanced Safe Browsing worksWhen you switch to Enhanced Safe Browsing, Chrome will share additional security data directly with Google Safe Browsing to enable more accurate threat assessments.

You can opt in to this mode by visiting Privacy and Security settings > Security > and selecting the “Enhanced protection” mode under Safe Browsing.

We will continue to invest in both Standard and Enhanced Safe Browsing with the goal to expand Chrome’s security offerings to co…

Google Authenticator makes it easy to use 2SV on accounts.

In addition to supplying only a password when logging in, a user also enters a code generated by the Google Authenticator app on their phone.

Users place their trust in Google Authenticator to keep their accounts safe.

We are introducing one of the most anticipated features - allowing users to transfer their 2SV secrets, the data used to generate 2SV codes across devices that have Google Authenticator installed.

This feature has started rolling out and is available in the latest version (5.10) of Google Authenticator on Android.

In 2015, we launched our Vulnerability Research Grant program, which allows us to recognize the time and efforts of security researchers, including the situations where they don't find any vulnerabilities.

As of today, every Google VRP Bug Hunter who submitted at least two remunerated reports from 2018 through April 2020 will be eligible for a $1,337 research grant.

We are dedicating these grants to support our researchers during this time.

We are aware that some of our partners might not be interested in monetary grants.

We are committed to continue the Vulnerability Research Grant program throughout 2020, so stay tuned for future announcements and follow us on @GoogleVRP

The new book can be downloaded for free from the Google SRE The new book can be downloaded for free from the Google SRE website , or purchased as a physical copy from your preferred retailer.

Since their publication, I’ve often admired and recommended the Google Site Reliability Engineering (SRE) books—so I was thrilled to find that a book focused on security and reliability was already underway when I arrived at Google.

The list goes on and on.Both SRE and security have strong dependencies on classic software engineering teams.

On the other end of the spectrum, federated business information security teams have either the line of business or technical expertise required to support or gover…

1st prize: $133,3372nd prize: $73,3313rd prize: $73,3314th prize: $31,3375th prize: $1,0016th prize: $1,000Like last year, submissions should have public write-ups in order to be eligible for the prize.

Make sure to nominate your VRP reports and write-ups for the 2020 GCP VRP prize here before December 31, 2020 at 11:59 GMT.

Last year, we announced a yearly Google Cloud Platform (GCP) VRP Prize to promote security research of GCP.

You can read his winning write-up here There were several other excellent reports submitted to our GCP VRP in 2019.

We will pay out a total of $313,337 for the top vulnerability reports in GCP products submitted in 2020.

Through 2019, Google Play Protect continued to improve the security for 2.5 billion Android devices.

Built into Android, Play Protect scans over 100 billion apps every day for malware and other harmful apps .

Throughout 2019 there were many improvements made to Play Protect to bring the best of Google to Android devices to keep users safe.

Millions of new app versions are created and shared outside of Google Play daily posing a unique scaling challenge.

The upload to Google’s scanning services preserves the privacy of the user and enables Play Protect to improve the protection for all users.

With the adoption numbers cited above, it’s clear that TLS, Web PKI, and certificate lifecycle management are foundational to every product we and our customers build and deploy.

In support of that goal, we have enabled automatic management of TLS certificates for Google services using an internal-only ACME service, Google Trust Services .

When deploying applications with Google Kubernetes Engine or behind Google Cloud Load Balancing (GCLB), certificate management is taken care of if customers choose to use Google-managed certificates.

To reduce the number of outages caused by manual certificate enrollments, the Internet Engineering Task Force (IETF) has standardized Automatic Certificate M…

We are excited to launch FuzzBench , a fully automated, open source, free service for evaluating fuzzers.

The goal of FuzzBench is to make it painless to rigorously evaluate fuzzing research and make fuzzing research easier for the community to adopt.

To use FuzzBench, researchers can simply integrate a fuzzer and FuzzBench will run an experiment for 24 hours with many trials and real world benchmarks.

Based on data from this experiment, FuzzBench will produce a report comparing the performance of the fuzzer to others and give insights into the strengths and weaknesses of each fuzzer.

We invite members of the fuzzing research community to contribute their fuzzers and techniques, even while …

Android developers request permissions in their apps for many reasons - some related to core functionality, and others related to personalization, testing, advertising, and other factors.

To do this, we identify a peer set of apps with similar functionality and compare a developer’s permission requests to that of their peers.

A full explanation of our method is outlined in our recent publication, entitled “Reducing Permissions Requests in Mobile Apps” that appeared in the Internet Measurement Conference (IMC) in October 2019.

Note that the warning is based on our computation of the set of peer apps similar to the developers.

[3] Reducing Permission Requests in Mobile Apps, by S. T. Peddinti…

Posted by Jon Markoff, Staff Developer Advocate, Android SecurityHave you ever tried to encrypt data in your app?

By searching the web to learn how to encrypt data, you might get answers that are several years out of date and provide incorrect examples.

Jetpack Security data structures are fully compatible with Tink.

Keys are encrypted using AES256-SIV-CMAC, which provides a deterministic cipher text; values are encrypted with AES256-GCM and are bound to the encrypted key.

EncryptedSharedPreferences.create( "my_secret_prefs", advancedKeyAlias, applicationContext, PrefKeyEncryptionScheme.AES256_SIV, PrefValueEncryptionScheme.AES256_GCM ).edit { // Update secret values }More ResourcesFileLock…

The document analyzers are responsible for parsing the document, identifying common attack patterns, extracting macros, deobfuscating content, and performing feature extraction.

Strengthening our document detection capabilities is one of our key focus areas, as malicious documents represent 58% of the malware targeting Gmail users.

Our new scanner runs in parallel with existing detection capabilities, all of which contribute to the final verdict of our decision engine to block a malicious document.

63% percent of the malicious documents we block differ from day to day.

To stay ahead of this constantly evolving threat, we recently added a new generation of document scanners that rely on deep…

At Google, we have dedicated teams focused on detecting and stopping malicious developers that attempt to defraud the mobile ecosystem.

As part of these efforts we take action against those who create seemingly innocuous apps, but which actually violate our ads policies.We define disruptive ads as ads that are displayed to users in unexpected ways, including impairing or interfering with the usability of device functions.

While they can occur in-app, one form of disruptive ads we’ve seen on the rise is something we call out-of-context ads, which is when malicious developers serve ads on a mobile device when the user is not actually active in their app.This is an invasive maneuver that resul…

Titan Security Keys are now available in 10 countriesSecurity keys provide the strongest protection against phishing attacks.

That’s why they are an important feature of the Advanced Protection Program that provides Google’s strongest account protections for users that consider themselves at a higher risk of targeted, sophisticated attacks on their personal or work Google Accounts.Last year, we made the Titan Security Key bundle with USB-A/NFC and Bluetooth/USB/NFC keys available in Canada, France, Japan, the UK, and the US.

Starting today, USB-C Titan Security Keys are available in those countries, and the bundle and USB-C Titan Security Keys are now available on the Google Store in Austri…

Google Play released a new policy in 2018 to stop apps from unnecessarily accessing privacy-sensitive SMS and Call Log data.

We saw a significant, 98% decrease in apps accessing SMS and Call Log data as developers partnered with us to update their apps and protect users.

as developers partnered with us to update their apps and protect users.

One of the best ways to protect users from bad apps is to keep those apps out of the Play Store in the first place.

The combination of these efforts have resulted in a much cleaner Play Store:In addition we’ve launched a refreshed Google Play Protect experience, our built-in malware protection for Android devices.

In Chrome 82 (released April 2020): Chrome will warn on mixed content downloads of executables (e.g.

In Chrome 83 (released June 2020): Chrome will block mixed content executables Chrome will warn on mixed content archives (.zip) and disk images (.iso).

In Chrome 85 (released September 2020): Chrome will warn on mixed content downloads of images, audio, video, and text Chrome will block all other mixed content downloadsIn Chrome 86 (released October 2020) and beyond, Chrome will block all mixed content downloads.

In a series of steps outlined below, we’ll start blocking "mixed content downloads" (non-HTTPS downloads started on secure pages).

To address these risks, we plan to eventually rem…