Партнеры Darkside взломали сайт поставщика систем видеонаблюденияAlexander AntipovЭксперты связали атаку с одной из трех основных подгрупп Darkside, отслеживаемой как UNC2465.

Группа киберпреступников, ранее сотрудничавшая с вымогательской группировкой Darkside, взломала web-сайт поставщика камер видеонаблюдения и внедрила вредоносное ПО в приложение для Windows, которое клиенты компании использовали для настройки и управления своими каналами безопасности.

Взлом web-сайта произошел 18 мая нынешнего года и продолжался до начала июня, когда специалисты ИБ-фирмы Mandiant обнаружили вредоносное ПО и уведомили пострадавшую компанию.

Вредоносное ПО было спрятано внутри настроенной версии приложен…

Эксперты научились распознавать дипфейки с 99-процентной точностьюAlexander AntipovПрототип системы способен выявлять координированных ботов с поддельными фотографиями профиля.

Типичные модели искусственного интеллекта (ИИ) с помощью машинного обучения учатся распознавать дипфейки путем определения того, производились ли с тем или иным изображением какие-либо манипуляции.

Выявление изображений, подделанных с помощью нейросетей с одной и той же архитектурой, позволит относить их к определенным кампаниям по распространению дезинформации.

изображений и с помощью MSU-FAIR установить, что 2 тыс.

– другой, с помощью модели «Б» и т.д.

Сотрудник online-центра за 8 месяцев похитил 1,1 млрд данных клиентов AlibabaAlexander AntipovУкраденные данные включали идентификаторы пользователей, номера мобильных телефонов и комментарии клиентов.

Компания Alibaba Group Holding стала жертвой вредоносной кампании по web-скрепингу (web scraping), в рамках которой преступник собрал около 1,1 млрд пользовательских записей.

Преступник использовал вредоносное программное обеспечение для хищения данных на протяжении восьми месяцев с 2019 года.

Украденные данные включали идентификаторы пользователей, номера мобильных телефонов и комментарии клиентов.

Как сообщили представители компании, данные о клиентах не были выставлены на продажу, и пользо…

Уязвимый алгоритм GEA/1 эпохи GPRS до сих пор используется в Android-смартфонах и iPhoneAlexander AntipovКак выяснила команда европейских специалистов, GEA/1 позволяет перехватывать разговоры.

Использовавшийся в GPRS-телефонах в 1990-х годах криптографический алгоритм GEA/1 оказался менее надежным, чем считалось ранее.

В стандарте GEA/1 об этом не говорится, но, например, во Франции в то время действовал запрет на шифрование, превышающее 40 бит.

В наше время в отрасли преобладает более совершенная система GEA/3.

Важно отметить, что GEA/1 по-прежнему используется в качестве алгоритма резервного копирования в некоторых современных Android-смартфонах (например, Huawei P9 lite) и iPhone (iPhone…

Преступники рассылают поддельные аппаратные криптокошельки Ledger для кражи криптовалютыAlexander AntipovХакеры упоминают в письме об утечке данных пользователей Ledger в декабре 2020 года.

Мошенники отправляют поддельные устройства пользователям аппаратных криптокошельков Ledger с целью кражи криптовалюты.

В письме мошенники сообщали, что устройство было отправлено для замены существующего, поскольку информация о пользователе была опубликована на хакерском форуме RaidForum.

Затем необходимо ввести кодовую фразу для восстановления Ledger (используется для генерации закрытого ключа для определенного кошелька) и импортировать кошелек на новое устройство.

После ввода фразы она отправляется зло…

Bitcoin получил больше функций безопасности с обновлением TaprootAlexander AntipovОсновной целью обновления является упрощение использования сети биткойна смарт-контрактами, но оно также затруднит отслеживание транзакций.

В связи с этим разработчики Bitcoin добавили в него ряд функций безопасности.

Сторонники биткойна, долгое время считавшие незаконное использование криптовалюты преувеличенным, уверены, что Taproot улучшит то, как отправляются платежи сотням людей, а также то, как в сети делаются производные криптовалюты или ставки.

Одной из ключевых функций обновления является так называемая объединенная мультиподпись с открытым ключом, которая эффективно скрывает некоторые сложности транз…

Уязвимость в Microsoft Paint 3D позволяет выполнить произвольный кодAlexander AntipovДля эксплуатации уязвимости необходимо обманом заставить пользователя открыть специально созданный файл.

Команда специалистов Zero Day Initiative (ZDI) выявила опасную уязвимость (CVE-2021-319460) в приложении для растровой графики и 3D-моделирования Microsoft Paint 3D.

Ее эксплуатация позволяет злоумышленникам выполнить произвольный код в уязвимых версиях Paint 3D.

Для эксплуатации уязвимости преступнику необходимо обманом заставить пользователя открыть специально созданный файл, отправленный по электронной почте.

Эксперты не выявили свидетельств использование данной уязвимости в реальных атаках.

Байден предоставил список 16 «неприемлемых для кибератак» секторов экономикиAlexander AntipovТак довёл до сведения прессы высокопоставленный чиновник Белого дома.

"Я указывал, что некоторые объекты инфраструктуры критически важны и не должны подвергаться нападениям" - заявил Байден.

В частности, в этот перечень вошли химический и энергетический сектора, сектор коммуникаций, критическое производство, дамбы, военно-промышленный комплекс (ВПК), экстренные службы, сектор финансовых услуг, производство продуктов питания и сельское хозяйство.

Ранее сообщалось, что Байден предупредил Путина об «имеющемся у США значительном кибернетическом потенциале».

Он знает, в кибермире так бывает», — сказал гл…

Тим Кук: Закон ЕС о регулировании цифровых рынков подорвет безопасность iPhoneAlexander AntipovГлава Apple впервые прокомментировал предложенный еврокомиссаром закон, призванный ослабить власть американских техногигантов.

Предложенный Евросоюзом новый проект закона, призванного ослабить власть американских технологических компаний, может подорвать безопасность iPhone.

Об этом в среду, 16 июня, заявил глава Apple Тим Кук на конференции VivaTech, проходившей во Франции.

В ходе конференции Кук впервые прокомментировал предложенный европейским комиссаром по вопросам конкуренции Маргрет Вестагер законопроект о регулировании цифровых рынков Digital Markets Act (DMA).

Как отметил Кук, Apple будет …

ИБ-эксперты рассказали о тактиках операторов вымогателя HadesAlexander AntipovВымогательское ПО Hades считается преемником вымогателя WastedLocker группировки Evil Corp.Команда исследователей в области кибербезопасности SecureWorks Counter Threat Unit (CTU) рассказала об «отличительных» тактиках, приемах и процедурах (TTP), используемых операторами вымогателя Hades.

Вымогательское ПО Hades было классифицировано исследователями из компании Crowdstrike как преемник вымогателя WastedLocker группировки Indrik Spider (также известной как Gold Drake и Evil Corp) с «дополнительной обфускацией кода и незначительными изменениями функций».

Последующий анализ, опубликованный экспертами Awake Security,…

VII ежегодная конференция по нагрузочному тестированиюAlexander Antipov16 сентября 2021 года в Москве в седьмой раз пройдет конференция по нагрузочному тестированию.

Вот лишь некоторые из них:Макаров Александр (Перфоманс Лаб)Где взять нагрузочных тестировщиков, когда их нет?

Русских Артем, Ганьжин Максим (Перфоманс Лаб)Влияние гранулярности на результаты нагрузочного тестирования при использовании Grafana + lnfluxDB и Loadrunner Analysis.

Мы ждем Ваши заявки в качестве спикеров и делегатов, а если Вам интересно стать спонсором конференции - обращайтесь perfconf@pflb.ru.

Организатор: Перфоманс Лаб www.performance-lab.ru Телефон: +7 (495) 989-61-65 Формат: онлайн и оффлайнПодписывайтесь на но…

Уязвимость в Instagram позволяла просматривать закрытые страницы без подписки на нихAlexander AntipovОбнаруживший проблем исследователь безопасности получил $30 тыс.

Instagram исправил новую уязвимость, позволявшую любому желающему просматривать архивы публикаций и историй закрытых страниц без необходимости на них подписываться.

Как пояснил обнаруживший проблему исследователь безопасности Маюр Фартаде (Mayur Fartade), «с помощью Media ID атакующий мог видеть закрытые/архивные публикации, истории, Reels и IGTV, не будучи подписанным на пользователя».

В результате эксплуатации уязвимости такие соответствующие Media ID данные, как «лайки», комментарии, «сохраненное», display_url и image.uri, м…

Присяжные в суде штата Коннектикут признали виновным Олега Кошкина по делу об управлении криптографическим сервисомAlexander Antipov41-летний Кошкин через всемирную сеть распространял программы которые маскировали компьютерные вирусы.

Присяжные заседатели в суде американского штата Коннектикут признали виновным россиянина Олега Кошкина в совершений киберпреступлений.Как следует из документа, Кошкин, проживавший в Эстонии, обеспечивал работу сервиса шифрования, с помощью которого хакеры прятали вредоносное программное обеспечение от антивирусных программ.

«Crypt4U — это сервис, который шифрует вредоносное ПО, чтобы избежать обнаружения антивирусами, в том числе популярными, которые использую…

Госдума одобрила во втором чтении закон, обязывающий крупные ИТ-компании открывать представительства в России22:57 / 16 Июня, 20212021-06-16T23:57:02+03:00Alexander AntipovПод его действие попадают соцсети, иностранные издания и компании.

Эти представительства в полном объеме должны представлять интересы головных компаний и являться основным каналом взаимодействия российских регуляторов с ними на территории России.

Такие же представительства должны будут создать провайдеры хостинга, операторы рекламных систем и организаторы распространения информации в интернете, поскольку тоже используют личные данные россиян, следует из пояснительной записки.

Кроме того, владельцы информресурсов обязаны с…

Более половины зрителей прямого эфира используют VPN-шлюзы как для защиты удалённого доступа, так и для организации канала «site-to-site» — за этот вариант высказались 57 % участников опроса.

Рассуждая на тему того, как сценарии использования криптошлюза связаны с необходимым уровнем сертификации, эксперты отметили, что в этом вопросе первична модель угроз.

Спикеры прямого эфира отметили также, что для решения разных задач могут быть эффективны решения с разным уровнем защиты.

Помимо этого, существуют небольшие, одноплатные решения в форм-факторе трансивера и модули, которые могут быть встроены в IoT-устройства.

Другая точка зрения, высказанная экспертами, — рынок криптошлюзов обречён и в б…

Так и в этом случае, сложность и общее количество атак на обычных пользователей мобильных устройств повышаются из года в год.

Рынок отечественных мобильных антиспам-приложенийСовременный рынок технологий для противодействия телефонному мошенничеству представлен множеством звонковых антиспам-приложений от самых разных провайдеров, начиная от самостоятельных разработчиков и заканчивая ИТ-гигантами.

При активации премиум-подписки появляется возможность использовать функции АОН без интернета и в роуминге, а также автоматически блокировать нежелательные и мошеннические вызовы по выбранным категориям.

Это позволяет определителю работать без доступа в интернет или в роуминге.

Обзор зарубежных моби…

Система AVSOFT ATHENA предназначена для защиты ИТ-инфраструктуры от известных и новых вредоносных программ, не зафиксированных ранее другими средствами защиты.

Динамический анализ в AVSOFT ATHENAПосле завершения статического и динамического видов анализа определяется общий вердикт и формируется подробный отчёт по проверке.

При сканировании «в разрыв» почтовый трафик сначала проверяется системой ATHENA и направляется пользователю только в случае успешности прохождения проверки.

Интеграция AVSOFT ATHENA для проверки почтового трафикаATHENA имеет возможность работы с многотомными и запароленными файлами.

Раздел «Справочники», подраздел «Аналитика» в AVSOFT ATHENAВыводыСочетание двух видов анал…

Какие усилия должны приложить вендоры и сервисные провайдеры, чтобы повысить уровень доверия к информационной безопасности из облака?

Какие бывают средства защиты в облаке и из облака и как их использовать?

Александр Баринов:— Для заказчика облачные средства защиты нужны ещё и для того, чтобы получить экспертизу специализированного игрока, которой у него нет.

Справедливо ли это утверждение для средств защиты из облака и из чего складывается выгода заказчика?

Заключительный опрос зрителей прямого эфира конференции AM Live был посвящён общему впечатлению относительно безопасности из облака по итогам прямого эфира.

ВведениеПредприятия как малого, так и среднего (а иногда — уже и крупного) бизнеса переводят на удалённую работу целые отделы и управления.

Такой метод работы имеет свои плюсы и минусы как для сотрудников, перешедших на «удалёнку», так и для работодателей.

Даже разработчиков программного обеспечения — и тех можно перевести на удалённую работу, необходимо лишь обеспечить их вычислительными ресурсами и средой тестирования.

При работе в офисе сотрудник отдела ИБ имеет возможность под любым предлогом пройти по офису и посмотреть на мониторы сотрудников.

ВыводыПеревод сотрудников на удалённую работу является важной частью работы компании, особенно в нынешнее время.

Он контролирует целостность настроек активного сетевого оборудования, решает задачи централизованного управления решениями продуктовой линейки Dallas Lock (СЗИ от НСД Dallas Lock 8.0, СЗИ от НСД Dallas Lock Linux, СЗИ ВИ Dallas Lock, СДЗ Dallas Lock) и, по сути, заменяет собой «Сервер безопасности» и «Менеджер серверов безопасности» Dallas Lock, о которых мы писали ранее.

Централизованное управление через ЕЦУ Dallas LockПреимущества ЕЦУ Dallas Lock на практикеВ первой версии продукта стоит отметить несколько возможностей, которые выгодно отличают его от аналогов.

Переход с «Сервера безопасности» на ЕЦУ Dallas LockДля пользователей, которые уже применяют СБ Dallas Lock, реализована возможнос…

Безопасность в публичном облаке: ожидания и реальностьДля «разминки» модератор дискуссии предложил нашим спикерам небольшой блиц-опрос.

В этом случае поставщик облачных услуг может выступать также и в роли консультанта, посредника в диалоге клиента и регулятора.

Говоря о навыках, необходимых ИБ-специалисту для эффективного контроля безопасности в публичном облаке, эксперты обратили внимание на важность умения выстраивать процессную работу.

В процессе аудита клиент может убедиться, что провайдер внедрил и использует все необходимые процедуры безопасности, в том числе и в работе с подрядчиками, а также контролирует работу администраторов.

Страховщики будут заинтересованы в качественной и всес…

Злоумышленники сместили фокус атак с индивидуальных пользователей на крупные организации, в том числе — на государственные и медицинские учреждения.

Для достижения необходимого и постоянного уровня защищённости в организации необходимо регулярно проводить аудит безопасности, проверку специалистов и внутренних процессов.

Такие средства должны быть установлены на все устройства, которые имеют доступ как в корпоративную сеть организации, так и в интернет.

Расследование и восстановлениеПосле локализации инцидента и обеспечения работы незаражённой части сети в штатном режиме необходимо провести анализ действий шифровальщика: определить пути распространения и причины появления.

В первую очередь с…

StaffCop Enterprise позволяет исполнять требования следующих руководящих документов по защите информации:Приказ ФСТЭК России от 25 декабря 2017 г.

Почему стоит выбрать StaffCop Enterprise для защиты своей информационной инфраструктуры и для контроля сотрудников?

В StaffCop Enterprise с помощью подсветки разными цветами будет продемонстрировано, к какому конкретно словарю относится найденное слово.

Особенностью этой программы является то, что названия создаваемых ею файлов написаны кириллицей, но для StaffCop Enterprise это — не проблема.

ВыводыИтак, StaffCop Enterprise — это система контроля сотрудников, обладающая широкой функциональностью и гибкой системой конфигурирования, что позволяет …

Задача соблюдения информационной безопасности на предприятии заключается в том, чтобы обеспечить сохранность, а также безопасную обработку любой информации в рамках бизнес-модели деятельности предприятия.

Что необходимо исследоватьОтвет на данный вопрос весьма прост: абсолютно всё, что имеет отношение к хранению и обработке информации на предприятии.

а) Информация, хранимая и обрабатываемая на предприятииДля этого направления исследования необходимо провести структурирование информации и построение потоков её обработки.

Следует обратить особое внимание на съёмные и переносные устройства: с их помощью информация может быть вынесена за пределы компании.

Для удобства при описании рекомендуемой…

Технологические партнёры PHDays — российская частная сеть продовольственных супермаркетов «Азбука вкуса», электронный платёжный сервис RBC.money, разработчик ПО в области дистанционного банковского обслуживания iSimpleLab.

Сейчас идут дискуссии и в правительстве, и в администрации, и в Совбезе, и их основной смысл сводится к тому, что новые вызовы требуют новых решений по защите.

«Если посмотреть на экономику российской индустрии, то порядка 50 % средств, которые тратятся на кибербезопасность в России, идут на западные продукты, в первую очередь — на американские.

«Пока в вузах не будет стендов, лабораторных, практикумов, построенных на российских, а не на зарубежных решениях, ничего не про…

Данная идеология породила новый класс продуктов, получивший название Breach & Attack Simulation (BAS).

27 апреля 2021 года мы проводили онлайн-конференцию AM Live «Breach and Attack Simulation (BAS)», на которой эксперты обсудили тему симуляции кибератак.

Российский рынок Breach and Attack SimulationВ России рыночный сегмент Breach and Attack Simulation находится на ранней стадии развития.

Также рекомендуем дополнительно ознакомиться с практической статьёй на нашем сайте «Реализация метода Breach and Attack Simulation (BAS) на платформе Cymulate».

Платформа может работать как автоматически, так и в режиме ручного подтверждения эксплуатации уязвимостей в ходе проведения теста.

Однако, несмотря на огромное количество «умных» устройств, работающих на предприятиях и в промышленных сетях, безопасность IoT зачастую оставляет желать лучшего.

Что такое IoT и как его защищатьВ первой части беседы Олег Седов предложил спикерам дать определение IoT и обрисовать основные проблемы, связанные с обеспечением безопасности этого класса устройств.

Чтобы узнать мнение зрителей прямого эфира по обсуждаемой теме, мы спросили у них, насколько целесообразно применять IoT в бизнес-процессах.

Как показали результаты опроса зрителей прямого эфира, большинство из них обратятся к производителям систем защиты для обеспечения безопасности инфраструктуры IoT.

Несмотря на регуляторику, которая…

Событие в системе WEB ANTIFRAUD v.3: несоответствие часовых поясовТакже пользователь WEB ANTIFRAUD может обозначить страны, из которых могут быть его клиенты.

Событие в системе WEB ANTIFRAUD v.3: использование TOR-сетейТакже WEB ANTIFRAUD определяет наличие открытой консоли разработчика в браузере.

Событие в системе WEB ANTIFRAUD v.3: перенос данных между разными устройствамиЕщё одна новая функциональная возможность WEB ANTIFRAUD — защита от атак с повторением старых запросов (replay-атак).

Событие в системе WEB ANTIFRAUD v.3: пользователь с отключённым JavaScriptОсобое внимание в системе уделяется так называемым «антидетектам».

Событие в системе WEB ANTIFRAUD v.3: изменение отпечатка устро…

Наверное, все разработчики слышали, что нужно писать чистый код. Но не менее важно писать и использовать безопасный код. Python-разработчики обычно устанавливают модули и сторонние пакеты, чтобы не изобретать велосипеды, а использовать готовые и проверенные решения. Но проблема в том, что они не всегда тщательно проверены на уязвимости. Часто хакеры используют эти уязвимости, в известно каких целях. Поэтому мы должны иметь возможность хотя бы фиксировать факты вторжения в наш код. А ещё лучше — заранее устранять уязвимости. Для этого нужно сначала самим найти их в коде, используя специальные инструменты. В этом туториале мы рассмотрим, как даже в очень простом коде могут появиться уязвимост…

Цель статьи - собрать интересные инструменты, техники и команды, которые можно использовать для выполнения задач при проведении тестирования на проникновение. Краткий список того, что будет в этой статье: - Что такого с DNSAdmins? - Persistence - Можно ли обойтись без Bloodhound? Читать далее

В сети регулярно появляются новости об очередной масштабной утечке паролей. Словари паролей все толще, инструментов для перебора больше, а пользователям все сложнее придумывать надежные пароли и запоминать их без посторонней помощи. Новые исследования предлагают нам научные методы для создания сильных и удобных паролей. Ученые из Университета Карнеги-Меллона (CMU) выяснили, как создать парольную политику с человеческим лицом и не пожертвовать безопасностью. Мы перевели ключевые рекомендации CMU и дополнили их подборкой полезных инструментов для самостоятельной проверки паролей. Читать далее

Ни один атакующий не хочет, чтобы его инструменты обнаружили и раскрыли раньше времени. Поэтому, как правило, в чистом виде никто вредоносные программы не распространяет. Например, пользователю прилетело фишинговое письмо от имени известной транспортной компании и просят проверить документы во вложении. Подобные письма достаточно часто являются началом атаки, так было и в этом раз. Внутри архива находился исполняемый файл Cassandra Crypter — популярный криптор, полезной нагрузкой которого могут выступать различные семейства вредоносного программного обеспечения. Алексей Чехов, аналитик CERT-GIB, рассказывает, как Cassandra проникает на компьютер жертвы и приводит с собой других незваных гос…

Пожалуй, каждый второй программист хоть раз задумывался попробовать создать свой, если не стартап, то собственный онлайн сервис. Может быть, такой инструмент умел бы делать простые SEO-аудиты сайтов, помогал находить технические ошибки, упрощая жизнь вебмастерам или маркетологам. А может быть, вы популярный хостинг? Хотите привлечь пользователей, используя около-тематический трафик — создаете онлайн сервис который смог бы заменить целые серверные утилиты — nslookup, dig, curl?! Звучит неплохо, но всё ли так хорошо с безопасностью пользователей? Об интересных и неочевидных уязвимостях онлайн-сервисов поговорим под катом. Узнать подробности

При функционировании больших сложно устроенных систем в них, как правило, протекают многообразные процессы, сущность которых состоит в различного рода преобразованиях физико-химической субстанции из сырья в конечный продукт, поставляемый на рынок. Наряду с материальной субстанцией в производственных процессах широко используется информация управленческая и технологическая. Когда-то не в столь давние времена достаточно сложным механизмом, системой считался часовой механизм, реализуемый зацеплением шестеренок. Механизм преобразовывал временную субстанцию в информацию. Выходным продуктом такого механизма была информация - сведения о текущем временном моменте, к точности которой уже в те времен…

Может показаться, что медленные маломощные атаки (так называемые атаки «Low and Slow») остались в прошлом, но практика показывает, что они до сих пор активно используются злоумышленниками. В 2020 году от таких атак пострадали 65 % организаций, при этом 30 % сталкивались с ними ежемесячно. Поэтому давайте уделим им заслуженное внимание и расскажем, как они осуществляются.Если злоумышленник хочет парализовать работу приложения, самый простой способ — передача избыточного объема трафика с целью отключения сервера приложения (распределенная атака типа «отказ в обслуживании», или DDoS). Однако сегодня существует немало технологий, способных обнаруживать и блокировать такие атаки на основе IP-адр…

Технология единого входа обладает массой преимуществ по сравнению с классическими методами аутентификации, главное из которых заключается в том, что именно SSO обеспечивает наилучший баланс между удобством пользователя и информационной безопасностью предприятия. Ранее мы уже рассказывали о том, как реализовать SSO в Zimbra OSE при использовании аутентификации в Active Directory с помощью Kerberos. На этот раз мы расскажем о том, как внедрить Zimbra OSE другую технологию единого входа — SAML на примере провайдера Okta. Читать дальше →

Если кто-то пропустил, то с 24 по 28 мая мы реализовали проект под кодовым названием «Рояль, азот и котик». И настало время рассказать о том, как мы всё организовали, с грязными подробностями, скандалами, интригами и расследованиями. Сразу скажем, что это был, пожалуй, самый смелый и необычный проект для нашей компании. Итак, наливайте в кружку кофе, смузи или ягер, и устраивайтесь поудобнее: впереди много гик-порно, мужиков с перфораторами и сварочными аппаратами, красивых девушек и, собственно, самого рояля «Красный октябрь», который, как и полагается музыкальному инструменту Made in USSR, пережил падение и даже не расстроился (в прямом и переносном смысле). Чего не скажешь о капиталистич…

Организации переходят от монолитных приложений к микросервисам, используя преимущества идеально подходящей для этого архитектуры контейнеров. В результате возрастает ответственность за защиту этих сред, поскольку компании подвергаются большему набору рисков безопасности и уязвимостей. Мы переживаем переломный момент в развитии культуры отношений DevOps и CISO. Директора по информационной безопасности (CISO) должны защищать организации любой ценой, а для специалистов по разработке и эксплуатации (DevOps) главное — это гибкость, поэтому в вопросах безопасности они склонны выбирать компромиссное (good enough) решение, а иногда категорически возражают против предлагаемых мер защиты. Читать даль…

Эксперты компании oneFactor протестировали процессоры Intel Xeon Ice Lake с технологией Intel SGX 2.0 для оценки ускорения процесса машинного обучения на собственной платформе SmartMachine по сравнению с процессорами Intel предыдущего поколения. Результат был получен более чем впечатляющий: ускорение полного цикла обучения составило от 8 до 19 раз в зависимости от размера подаваемых на вход данных. В этой статье oneFactor поделится методикой и деталями тестирования. Читать дальше →

Статья представляет собой мануал по тому как пользоваться Windbg. Будет рассмотрена "классическая" версия отладчика. Настроим внешний вид и изучим команды, которые можно использовать для исследования приложения. Читать далее

В четверг 10 июня исследователь из GitHub Security Lab Кевин Бэкхауз опубликовал детали уязвимости в сервисе polkit, по умолчанию включенному в большинство дистрибутивов на базе Linux. Уязвимость позволяет пользователю с обычными правами повысить привилегии в системе до максимальных, точнее — создать нового пользователя с правами root. Сервис polkit отвечает за авторизацию пользователя, он проверяет наличие необходимых прав для выполнения команды, и в графическом интерфейсе его работа обычно ограничивается окном с предложением ввести пароль. Его использует системное ПО systemd; polkit также можно вызвать через командную строку. Уязвимость эксплуатируется через простой набор команд. Если в у…

Привет, Хабрчане. Сегодня мы поговорим об одной проблеме, которую обнаружил мой хороший знакомый Иван Глинкин.Это очень серьезный косяк с безопасностью платформы для обучения пентесту TryHackMe. Заключается он в том, что виртуальные стенды видят абсолютно все в сети, и их можно использовать для атаки на пользователей сервиса.Когда мы подключаемся по VPN к платформе, мы не можем взаимодействовать с другими хостами в сети, кроме самих виртуальных машин для взлома. Верно? Верно!Ну, а что по поводу самих виртуальных стендов? Они-то, наверное, тоже не могут взаимодействовать с кем попало? А вот и нет! Виртуальный стенд, как оказалось, видит всех и вся в сети ... Читать далее

IT Security Search — это похожая на Google поисковая система для ИТ, которая позволяет ИТ-администраторам и командам безопасности быстро реагировать на инциденты безопасности и анализировать поступающие события. Веб-интерфейс инструмента объединяет разрозненные ИТ-данные из многих решений Quest по обеспечению безопасности и соответствия требованиям в единую консоль. Решения Quest, в свою очередь, могут являться надежным поставщиком отфильтрованных данных в различные SIEM-системы и даже помогут снизить стоимость владения ими. Приглашаем вас зарегистрироваться на вебинар, который состоится 16 июня в 11 часов по московскому времени. Вы узнаете о функционале решения, решаемых задачах, интеграци…

Министерство юстиции США сообщило, что россиянин Олег Кошкин был признан виновным в создании в использовании криптора для вредоносных программ, который применялся ботнетом Kelihos для сокрытия полезных нагрузок и уклонения от обнаружения.

Кошкин был арестован в Калифорнии еще в 2019 году и с тех пор находится под стражей.

«Кошкин работал с оператором ботнета Kelihos Петром Левашовым над разработкой системы, которая позволила бы Левашову шифровать вредоносное ПО Kelihos несколько раз в день.

В итоге Левашов использовал ботнет Kelihos для рассылки спама, сбора учетных данных, проведения атак на отказ в обслуживании, распространения программ-вымогателей и другого вредоносного ПО», — гласит офи…

Эксперты компании Mandiant сообщают, что хак-группа, которая ранее сотрудничала с вымогательской группировкой DarkSide, взломала сайт неназванного поставщика систем видеонаблюдения и заразила официальное приложение для Windows малварью.

Атака произошла 18 мая и продолжалось до начала июня, вплоть до того момента, когда специалисты Mandiant обнаружили вредоносное ПО и уведомили пострадавшую компанию.

Вредонос был скрыт внутри кастомной версии приложения Dahua SmartPSS для Windows, которое неназванный поставщик систем видеонаблюдения предоставлял своим клиентам для настройки и управления.

Хотя вымогательская группировка DarkSide объявила о прекращении работы еще в прошлом месяце, после сканда…

«В целях безопасности мы отправили вам новое устройство, на которое вы должны перейти, чтобы оставаться в безопасности.

Так как получивший фальшивку пользователь заподозрил подвох, он разобрал присланный Ledger Nano X и опубликовал фотографии странного устройства на Reddit.

Нужно отметить, что разработчикам Ledger известно об этой мошеннической схеме: в мае 2021 года компания предупредила о ней пользователей.

Разработчики в очередной раз подчеркивали, что фразу для восстановления нельзя сообщать никому и никогда, она должна вводиться лишь непосредственно на устройстве Ledger, которое нужно восстановить.

Если устройство не позволяет ввести фразу напрямую, нужно использовать только официально…

Специалист компании Security Joes Том Малка заметил, что на хакерском форуме XSS опубликован полный исходный код .NET-версии шифровальщика Paradise.

Это вторая крупная утечка кода вымогательского ПО за последние годы (в начале 2020 года в сети был выставлен на продажу исходный код вымогателя Dharma).

Малка рассказывает, что скомпилировал пакет и обнаружил, что тот создает три исполняемых файла: конструктор конфигурации вымогателя, шифровальщик и дешифратор.

Хотя в настоящее время такая малварь, как правило, атакует крупные компании в погоне за большими деньгами, Paradise в основном использовался для атак на рядовых пользователей и небольшие бизнесы.

На сегодняшний день нативная версия вымог…

В результате совместной операции, проведенной при содействии и координации Интерпола правоохранительными органами Украины, Южной Кореи и США, были задержаны шестеро подозреваемых, каким-то образом связанные с известным вымогателем Clop.

Украинские полицейские сообщают, что провели 21 обыск в столице страны и Киевской области, в домах фигурантов и в их автомобилях.

После операции власти сообщили, что успешно отключили серверную инфраструктуру хакеров, которая использовалась для совершения прошлых атак.

«Рейды правоохранительных органов в Украине, связанные с программой-вымогателем CLOP, связаны лишь с выводом/отмыванием денег для “бизнеса” CLOP.

Мы не считаем, что кто-то из основных участник…

В при­веден­ном выше при­мере вид­но, что обратный путь не сов­пада­ет с адре­сом в поле From («От»).

py ана­лизи­рует эти потоки для даль­нейше­го извле­чения мак­росов или объ­ектов из фай­ла.

Извлечение файла из объекта OLEОче­вид­но, документ содер­жит встро­енный файл, который мож­но извлечь с помощью инс­тру­мен­та oleobj.

Анализ поведенияНас­тро­им вир­туаль­ную машину Windows 7 32-bit, изме­ним рас­ширение фай­ла на EXE.

Он отклю­чил прок­си‑сер­вер бра­узе­ра, уста­новив зна­чение 0 для клю­ча ProxyEnable и 09 для 9-бай­тно­го клю­ча SavedLegacySettings .

Издание The Record сообщает, что в последние дни многие создатели невзаимозаменяемых токенов (NFT) пострадали от таргетированных атак неизвестных злоумышленников, которые обманом заставляли художников загрузить и запустить малварь.

В Twitter на проблемы пожаловались многие создатели NFT, обнаружившие кражу криптовалютных активов из своих личных кошельков.

Be really careful out there I was dumb enough to not overlook this and open their SCR file and got my metamask swiped from à to Z all my tokens gone.

Opened a scam project proposal with a .scr file and a Microsoft Word icon.

Нужно отметить, что это не первые направленные атаки на создателей и покупателей NFT.

Исследователь Маюр Фартаде (Mayur Fartade) рассказал, что заработал 30 000 долларов через официальную bug bounty программу Facebook, так как в апреле 2021 года обнаружил серьезную уязвимость в Instagram.

В своем блоге специалист объясняет, что баг позволял просматривать архивные сообщения и истории, опубликованные закрытыми учетными записями, без необходимости на них подписываться.

«С помощью Media ID злоумышленник мог видеть любые закрытые и архивные посты, истории, ролики, IGTV, не подписываясь на пользователя», — пишет Фартаде.

Хотя для реализации атаки нужно знать Media ID, связанный с конкретным изображением, видео и так далее, подобрать идентификатор можно посредством простого брутфор…

Американская компания Sol Oriens, связанная с производством ядерного оружия, подверглась атаке шифровальщика REvil.

Журналисты отмечают, что официально Sol Oriens помогает «в выполнении сложных программ Министерству обороны и Министерству энергетики, организациям и подрядчикам в авиакосмической отрасли, а также технологическим компаниям».

В этом списке значится и Sol Oriens, и хакеры утверждают, что украли и продали бизнес-информацию и данные сотрудников, включая информацию о зарплате и номера социального страхования.

В качестве доказательства взлома представители REvil опубликовали изображения документов о найме сотрудников, заработной плате и отчеты о выплатах.

Представители Sols Oriens у…

Компрометация коснулась продукта Bash Uploader, который позволяет клиентам Codecov передавать отчеты о покрытии кода для анализа.

Как теперь пишут разработчики Codecov, они сворачивают разработку Bash Uploader, а ему на смену придет новый инструмент, написанный на NodeJS.

Мы запустили этот проект, потому что по мере роста использования Codecov и увеличения скорости разработки Bash Uploader становилось все труднее обслуживать правильно, — пишут разработчики.

— Чтобы справиться с последствиями инцидента на уровне продукта, мы сразу предоставили исчерпывающую документацию о том, как верифицировать Codecov Bash Uploader, пока не будет завершен наш новый загрузчик.

You can't make this up: @codec…

TrickBot, который впервые вошел в топ-лист в апреле 2019 года, теперь занял первое место в мировом топе.

При этом Dridex (который был одной из самых популярных вредоносных программ в последние месяцы на фоне глобального всплеска программ-вымогателей), вообще вышел из рейтинга.

TrickBot стал особенно популярен после ликвидации ботнета Emotet в январе текущего года и попал в заголовки новостей на прошлой неделе, когда Министерство юстиции США предъявило обвинения гражданке Латвии за ее роль в создании и распространении Trickbot.

По сравнению с маем 2020 года количество инцидентов в Северной и Южной Америке увеличилось на 70%, в регионе EMEA — на 97%, а в Азиатско-Тихоокеанском регионе — на 16…

В этой статье я покажу прос­той инс­тру­мент для поис­ка бэкапов, поз­наком­лю тебя с уяз­вимостью при десери­али­зации объ­екта в PHP и про­демонс­три­рую Race Condition при выпол­нении самопис­ного скрип­та.

Все эти манипу­ляции мы будем про­делы­вать с Tenet — сред­ней по слож­ности машиной с Hack The Boxwarning Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN.

Копиру­ем опре­деле­ние клас­са DatabaseExport , а затем зада­ем зна­чение перемен­ных: user_file — это имя фай­ла, а data — бэк­шелл, который будет записан в файл (стро­ки 2–11).

Высока веро­ятность, что эти учет­ки подой­дут и для локаль­ных поль­зовате­лей.

spawn( '/ bin/ bash') "В WordPress есть мес­то, где уч…

A Middle Eastern advanced persistent threat (APT) group has resurfaced after a two-month hiatus to target government institutions in the Middle East and global government entities associated with geopolitics in the region in a rash of new campaigns observed earlier this month.

Sunnyvale-based enterprise security firm Proofpoint attributed the activity to a politically motivated threat actor it tracks as TA402, and known by other monikers such as Molerats and GazaHackerTeam.

The threat actor is believed to be active for a decade, with a history of striking organizations primarily located in Israel and Palestine, and spanning multiple verticals such as technology, telecommunications, finance,…

Threat actors with suspected ties to Iran have been found to leverage instant messaging and VPN apps like Telegram and Psiphon to install a Windows remote access trojan (RAT) capable of stealing sensitive information from targets' devices since at least 2015.

"The targeting of Psiphon and Telegram, both of which are quite popular services in Iran, underlines the fact that the payloads were developed with the purpose of targeting Iranian users in mind," Kaspersky's Global Research and Analysis Team (GReAT) said.

One of the discovered artifacts also includes a backdoored version of Psiphon; an open-source VPN tool often used to evade internet censorship.

What's more, the command-and-control i…

Password requirements for GDPR complianceYou may be surprised to discover that the GDPR laws do not actually mention password policies at all.

If you simply read the text, you may initially believe that a company can implement any password policy, without having any concerns over GDPR compliance.

When you're implementing a password policy for your AD with GDPR compliance in mind it's a good idea to use a 3-rd party tool to help your password policy reach your entire end-user directory.

Specops Password Policy keeps your policies organized and easily configurableUsing a password policy tool not only helps with GDPR compliance in preventing unauthorized access to information, it keeps your in…

Cybersecurity researchers have disclosed a new executable image tampering attack dubbed "Process Ghosting" that could be potentially abused by an attacker to circumvent protections and stealthily run malicious code on a Windows system.

Process Ghosting expands on previously documented endpoint bypass methods such as Process Doppelgänging and Process Herpaderping, thereby enabling the veiled execution of malicious code that may evade anti-malware defenses and detection.

Process Doppelgänging, analogous to Process Hollowing, involves injecting arbitrary code in the address space of a legitimate application's live process that can then be executed from the trusted service.

Process Ghosting goe…

Ukrainian law enforcement officials on Wednesday announced the arrest of the Clop ransomware gang, adding it disrupted the infrastructure employed in attacks targeting victims worldwide since at least 2019.

The ransomware attacks amount to $500 million in monetary damages, the National Police said, noting that "law enforcement has managed to shut down the infrastructure from which the virus spreads and block channels for legalizing criminally acquired cryptocurrencies."

Law enforcement officers are said to have conducted 21 searches in the Ukrainian capital and Kyiv region, including the homes of the defendants and their cars, resulting in the seizure of computer equipment, cars, and 5 mill…

A malware campaign targeting South Korean entities that came to light earlier this year has been attributed to a North Korean nation-state hacking group called Andariel, once again indicating that Lazarus attackers are following the trends and their arsenal is in constant development.

Designated as part of the Lazarus constellation, Andariel is known for unleashing attacks on South Korean organizations and businesses using specifically tailored methods created for maximum effectivity.

"This ransomware sample is custom made and specifically developed by the threat actor behind this attack," Kaspersky Senior Security Researcher Seongsu Park said.

"The Andariel group has continued to focus on …

As ransomware attacks against critical infrastructure skyrocket, new research shows that threat actors behind such disruptions are increasingly shifting from using email messages as an intrusion route to purchasing access from cybercriminal enterprises that have already infiltrated major targets.

"Ransomware operators often buy access from independent cybercriminal groups who infiltrate major targets and then sell access to the ransomware actors for a slice of the ill-gotten gains," researchers from Proofpoint said in a write-up shared with The Hacker News.

"Cybercriminal threat groups already distributing banking malware or other trojans may also become part of a ransomware affiliate netwo…

"Successful exploitation of this vulnerability could permit unauthorized access to sensitive information, such as camera audio/video feeds," CISA said in the alert.

The flaw was reported by Nozomi Networks in March 2021, which noted that the use of vulnerable security cameras could leave critical infrastructure operators at risk by exposing sensitive business, production, and employee information.

"The [P2P] protocol used by ThroughTek lacks a secure key exchange [and] relies instead on an obfuscation scheme based on a fixed key," the San Francisco-headquartered IoT security firm said.

"Since this traffic traverses the internet, an attacker that is able to access it can reconstruct the audi…

Cybersecurity researchers on Tuesday disclosed "distinctive" tactics, techniques, and procedures (TTPs) adopted by operators of Hades ransomware that set it apart from the rest of the pack, attributing it to a financially motivated threat group called GOLD WINTER.

"However, GOLD WINTER's operations have quirks that distinguish it from other groups."

Stating that the threat group uses TTPs not associated with other ransomware operators, Secureworks said the absence of Hades from underground forums and marketplaces could mean that Hades is operated as private ransomware rather than ransomware-as-a-service (RaaS).

In a second case, Hades was found to leverage SocGholish malware — usually assoc…

Instagram has patched a new flaw that allowed anyone to view archived posts and stories posted by private accounts without having to follow them.

"This bug could have allowed a malicious user to view targeted media on Instagram," Mayur Fartade said in a Medium post today.

"An attacker could have been able to see details of private/archived posts, stories, reels, IGTV without following the user using Media ID."

Fartade disclosed the issue to Facebook's security team on April 16, 2021, following which the shortcoming was patched on June 15.

As a consequence of the flaw, details such as like/comment/save count, display_url, and image.uri corresponding to the media ID could be extracted even wi…

Apple on Monday shipped out-of-band security patches to address two zero-day vulnerabilities in iOS 12.5.3 that it says are being actively exploited in the wild.

- A memory corruption issue that could be exploited to gain arbitrary code execution when processing maliciously crafted web content.

CVE-2021-30762 - A use-after-free issue that could be exploited to gain arbitrary code execution when processing maliciously crafted web content.

Both CVE-2021-30761 and CVE-2021-30762 were reported to Apple anonymously, with the Cupertino-based company stating in its advisory that it's aware of reports that the vulnerabilities "may have been actively exploited."

The move mirrors a similar fix that A…

Google on Monday announced that it's rolling out client-side encryption to Google Workspace (formerly G Suite), thereby giving its enterprise customers direct control of encryption keys and the identity service they choose to access those keys.

"When combined with our other encryption capabilities, customers can add new levels of data protection for their Google Workspace data."

The development coincides with the Google Workspace and Google Chat's broader availability to all users with a Google account.

The access service then holds the key responsible for deciphering encrypted Google Workspace files, putting them out of reach of Google unless it comes in possession of the key.

Additionally…

A new cyber espionage group named Gelsemium has been linked to a supply chain attack targeting the NoxPlayer Android emulator that was disclosed earlier this year.

Targeted countries include China, Mongolia, North and South Korea, Japan, Turkey, Iran, Iraq, Saudi Arabia, Syria, and Egypt.

"Victims originally compromised by that supply chain attack were later being compromised by Gelsemine," ESET researchers Thomas Dupuy and Matthieu Faou noted, with similarities observed between the trojanized versions of NoxPlayer and Gelsemium malware.

"The Gelsemium biome is very interesting: it shows few victims (according to our telemetry) with a vast number of adaptable components," the researchers co…

In response to malicious actors targeting US federal IT systems and their supply chain, the President released the "Executive Order on Improving the Nation's Cybersecurity (Executive Order)."

Understanding the fundamentals of the White House Executive Order on Improving the Nation's CybersecurityThe bulk of the Executive Order focuses on administrative tasks associated with it, including redefining contract language, setting timelines, and defining agency roles and responsibilities.

These attack vectors show the importance of SaaS security management to cloud security as a whole.

The Enhance SaaS Security PlaylistAs agencies and enterprises start looking for solutions, enhancing SaaS securi…

Group-IB dubbed the campaign "ColunmTK" based on the names of the command-and-control (C2) server domains that were used for communications.

On May 21, India's flag carrier airline, Air India, disclosed a data breach affecting 4.5 million of its customers over a period stretching nearly 10 years in the wake of a supply chain attack directed at its Passenger Service System (PSS) provider SITA earlier this February.

The breach involved personal data registered between Aug. 26, 2011, and Feb. 3, 2021, including details such as names, dates of birth, contact information, passport information, ticket information, Star Alliance, and Air India frequent flyer data, as well as credit card data.

"The…

Threat actors are exploiting Google Docs by hosting their attacks within the web-based document service in a new phishing campaign that delivers malicious links aimed at stealing victims’ credentials.

Attack VectorThe attack begins with an email that includes a message that could be relevant to business users who commonly use Google Docs within their corporate environment.

First an attacker would write a web page that resembles a Google Docs sharing page, and then upload that HTML file to Google Drive.

Once the file is scanned, Google renders the HTML into a preview page that looks very much like a typical Google Docs page.

Final DeploymentResearchers must take one more step to have the fil…

It’s thought to have been caused by a DDoS mitigation service.

Major financial institutions, airlines and the Hong Kong stock exchange were knocked offline by a backfiring distributed denial-of-service (DDoS) mitigation service Thursday.

The hour-long outage, which was triggered at approximately 1 a.m. EST Thursday, is tied to Akamai Technology’s anti-DDoS Prolexic service.

In a statement to Threatpost at 7:44 a.m. EST, Akamai confirm a segment of its Prolexic platform was impacted and is now back up and running.

Virgin Australia also published a statement to its customers attributing an outage it suffered to Akamai’s Prolexic service.

IKEA France’s former chief executive, Jean-Louis Baillot, was also personally fined €50,000 (around $60,200 at press time) for “storing personal data,” according to Deutsche Welle, and given a two-year suspended sentence by the French court.

Another former IKEA France employee, who is also involved in union activism, was accused by the company of robbing a bank after they hired cops to hand over police records, DW said.

Ikea France Denies ‘Generalized Espionage’Last spring, the former head of IKEA France’s risk-management operations, Jean-Francois Paris, testified that he budgeted between $633,000 and $753,000 every year to outside security firm Eispace for these kinds of investigations.

IK…

Meanwhile, in a separate survey, 80 percent of organizations that paid the ransom said were hit by a second attack.

As ransomware attacks continue to grow in volume and sophistication – and not to mention profile, thanks to attacks like the one on Colonial Pipeline – organizations are becoming more aware of the risk.

A full 80 percent said that they didn’t pay the ransom.

Comparatively, about half of victims who did pay the ransom after an attack also paid less than $50,000 in remediation – not counting the ransom payment.

Poll respondents cited a range of challenges when it comes to fending off ransomware attacks.

In 2020, ransomware attacks surged by 150 percent, with the average payment size increasing by more than 170 percent.

Infamously for this year, Colonial Pipeline, the largest pipeline operator in the United States, was compromised.

Finer details are still being uncovered, but early reports indicate that this incident exemplifies many of the reasons why ransomware attacks have increased.

So why are ransomware attacks increasing?

While this wasn’t the reason it was compromised by ransomware, Colonial Pipeline was reportedly running an outdated version of Microsoft Exchange.

The worst of the football-inspired weak passwords is that word “football”: It pops up 353,993 times in the database of 1 billion unique, clear-text, breached passwords maintained by authentication firm Authlogics.

Poor password hygiene includes password reuse, picking easy-to-guess passwords, or simply by leaving a password moldering.

At Least Make It ‘Football&^#)479!’For those who can’t resist using football terms in their passwords, Authlogic passed on these tips to make their passwords stronger:Replace the password with a pattern.

Try your absolute best to not reuse passwords.

They already know that password reuse is dumb, too, but they still do it.

Ransomware attacks are increasing in frequency, and the repercussions are growing more severe than ever.

Preventing ransomware attacks requires a layered approach that combines security defenses with proactive measures to prevent ransomware from taking hold in the first place.

However, it does stop malware or human intruders from moving laterally within your network — a key factor in double extortion ransomware attacks.

The majority of ransomware attacks now involve either RDP credential compromise or phishing — in other words, compromised passwords.

Prevent Ransomware Attacks with Keeper’s Enterprise Password Management SolutionKeeper’s enterprise-grade password management platform helps p…

Ransomware group Avaddon has decided to shutter its criminal enterprise after landing in the crosshairs of law-enforcement agencies in the U.S. and Australia.

Law enforcement said the average ransom demanded by the group was about $40,000, meaning they quit and just walked away from millions.

Law-Enforcement Crackdowns on Ransomware GangsOther ransomware-related groups have been kneecapped by law enforcement including Emotet, which often acted as the initial-access malware for later ransomware payloads.

This has inspired others, like Fonix, to get out of the game before law enforcement came knocking.

One ransomware group, named Ziggy, went as far as to apologize, issue refunds and ask for h…

Ransomware gangs are increasingly buying their way into corporate networks, purchasing access from ‘vendors’ that have previously installed backdoors on targets.

“Ransomware operators often buy access from independent cybercriminal groups who infiltrate major targets, and then sell access to the ransomware actors for a slice of the ill-gotten gains,” according to the report.

The relationship between these threat actors and ransomware groups is not one-to-one, however, researchers found, as multiple threat actors use the same payloads for ransomware distribution.

Specifically, the Maze and Egregor gangs leveraged the group’s use of IcedIT in 2020 to deliver ransomware, according to researche…

An attacker with initial physical access (say, at a gym) could gain root entry to the interactive tablet, making for a bevy of remote attack scenarios.

The popular Peloton Bike+ and Peloton Tread exercise equipment contain a security vulnerability that could expose gym users to a wide variety of cyberattacks, from credential theft to surreptitious video recordings.

“To an unsuspecting user, the Peloton Bike+ appeared completely normal, showing no signs of external modifications or clues that the device had been compromised.

In reality, [we] had gained complete control of the bike’s Android operating system.”Come On, Peloton – You Got This!

According to Adrian Stone, Peloton’s head of global…

Millions of connected security and home cameras contain a critical software vulnerability that can allow remote attackers to tap into video feeds, according to a warning from the Cybersecurity and Infrastructure Security Agency (CISA).

Vulnerable P2P SDKThe ThroughTek component at issue is its peer-to-peer (P2P) software development kit (SDK), which has been installed in several million connected devices, according to the supplier.

Nozomi Networks, which discovered the bug, noted that the way P2P works is based on three architectural aspects:A network video recorder (NVR), which is connected to security cameras and represents the local P2P server that generates the audio/video stream.

An of…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

To this end, OSINT, or open source intelligence, is an important but often overlooked “human” element of cybersecurity.

That thought alone should drive ongoing OSINT efforts to mitigate cyber-risk.

How is OSINT used?

The term OSINT was first used outside the cybersecurity industry, referencing military and intelligence efforts to gather strategically important but publicly available information in matters of national security.

OSINT is all about finding information that is publicly available, so in that respect it’s absolutely legal, at least in most Western countries.

The fraudsters ran their campaigns from the cloud and used phishing and email forwarding rules to steal their targets’ financial information.

Microsoft has shut down a sprawling Business Email Compromise (BEC) operation that had its infrastructure hosted in several web services.

From there on, they set up the forwarding rules and the BEC campaign could begin in earnest.

BEC scams – a costly and perennial problemAccording to the FBI’s 2020 Internet Crime Report, BEC scams are the costliest scam, as losses emanating from 19,000 reports of these scams reached a total of nearly US$2 billion last year.

It is worth noting that losses from BEC scams amounted to more than the combined losses from t…

How do vishing scams work, how do they impact businesses and individuals, and how can you protect yourself, your family and your business?

Together phishing, smishing, pharming and vishing cost more than 241,000 victims over $54 million in 2020.

So how do vishing scams work, how do they impact businesses and individuals, and how can you protect yourself from them?

The impact of vishing in the workplaceVishing is most likely in corporate context to be used to steal privileged credentials.

How voice phishing can hit my familyUnfortunately, vishing scammers are also out in force to target consumers.

ESET Research dissects campaigns by the Gelsemium and BackdoorDiplomacy APT groups – Hacking an orbiting satellite isn’t necessarily the stuff of HollywoodESET researchers have released details about campaigns operated by the generally quiet Gelsemium APT group that take aim at governments, religious organizations, electronics manufacturers and universities in East Asia and the Middle East.

Also this week, ESET experts dissected attacks orchestrated by the BackdoorDiplomacy group that has been targeting Ministries of Foreign Affairs and telecom companies in Africa and the Middle East since at least 2017.

Hacking something floating above Earth may seem better-suited for a movie script, but w…

Should we expect cybercriminals to ditch the pseudonymous cryptocurrency for other forms of payment that may be better at throwing law enforcement off the scent?

Earlier this week, the Department of Justice announced it seized around $2.3 million worth of bitcoin (BTC 63.7) collected in the BTC 75 payment for Colonial Pipeline ransomware.

The problem is that Bitcoin is pseudonymous, but certainly not anonymous.

While the ire surrounding outsized payouts from ransomware seems poised to continue for some time, bad actors seem more likely to increasingly flee the Bitcoin platform for payouts.

As markets mature and users want a more full-featured and robust platform, renewed focus on more anony…

The latest Chrome update patches a bumper crop of security flaws across the browser’s desktop versionsGoogle has rolled out an update for its Chrome web browser to fix a bunch of security flaws, including a zero-day vulnerability that is known to be actively exploited by threat actors.

“Google is aware that an exploit for CVE-2021-30551 exists in the wild,” reads Google’s security update describing the newly disclosed zero-day vulnerability that stems from a type confusion bug in the V8 JavaScript engine that is used in Chrome and other Chromium-based web browsers.

Chrome in-the-wild vulnerability CVE-2021-30551 patched today was also from the same actor and targeting.

Thanks to Chrome team…

Most obvious among them is the connection between the Turian backdoor and the Quarian backdoor.

In one specific instance, we observed the operators exploit an F5 BIP-IP vulnerability (CVE-2020-5902) to drop a Linux backdoor.

The Turian network connection process follows a similar pattern to Quarian, attempting to make a direct connection.

See Figure 4 for a breakdown of the Turian network encryption setup.

IoCsSamplesSHA-1 Filename ESET Detection Name Description 3C0DB3A5194E1568E8E2164149F30763B7F3043D logout.aspx ASP/Webshell.H BackdoorDiplomacy webshell – variant N2 32EF3F67E06C43C18E34FB56E6E62A6534D1D694 current.aspx ASP/Webshell.O BackdoorDiplomacy webshell – variant S1 8C4D2ED2395891…

The investigation uncovered some overlap between this supply-chain attack and the Gelsemium group.

Among the different variants examined, “variant 2” from the article shows similarities with Gelsemium malware.

The investigation uncovered some overlap between this supply-chain attack and the Gelsemium group.

Among the different variants examined, “variant 2” from the article shows similarities with Gelsemium malware.

Chrommme was found on an organization’s machine also compromised by Gelsemium group.

“The app AN0M was installed on mobile phones that were stripped of other capability.

It could only send messages to another device that had the organised crime app.

The devices organically circulated and grew in popularity among criminals, who were confident of the legitimacy of the app because high-profile organised crime figures vouched for its integrity,” said the AFP.

Australia’s law enforcement agency was also able to thwart 20 threats to kill.

Last year, European law enforcement agencies banded together to crack and take down EncroChat, an encrypted chat network, which led to the apprehension of over 800 criminals.

Because when you break something in space, bad things happen.

Speaking of U.S. agencies, who exactly will have a say about space policies, and do other countries have to agree?

What bad things can happen in space?

If hackers can deny service at the ground station level, bad things can definitely happen, since they’re basically cutting the umbilical cord.

DEF CON plans space hacking exercises this year, and the U.S. Air Force is also trotting out a “Hack A Sat” exercise, so you’re in luck.

New ESET Threat Report is out – How to deal with online trolls – Teens, beware these 5 common scamsThe ESET research team has published its latest Threat Report, revealing the key developments that defined the threat landscape in the first four months of 2021 and highlighting some of the key research that ESET experts published and presented at various events this year so far.

Also this week, we shared a few tips for spotting and dealing with online trolls and looked at 5 common scams that take aim at teens.

Websites using Fancy Product Designer are susceptible to remote code execution attacks even if the plugin is deactivatedCybercriminals have been actively exploiting a zero-day vulnerability in Fancy Product Designer, a WordPress plugin used by more than 17,000 websites, according to a blog post by Defiant, which makes Wordfence security plugins for the web publishing platform.

Attackers have been observed using the zero-day to deliver malware to the sites with the plugin installed.

The attackers are targeting e-commerce websites with the aim of getting their hands on order information from the vendor’s databases.

Thich could spell problems for website operators since it puts them at risk of…

A view of the T1 2021 threat landscape as seen by ESET telemetry and from the perspective of ESET threat detection and research expertsDuring the first four months of this year, the COVID-19 pandemic was still the number one news topic around the world; however, it became notably less prominent in the threat landscape.

Additionally, this report brings several exclusive ESET research updates and new findings about the APT groups Turla and Lazarus.

During the past few months, we have continued to share our knowledge at virtual cybersecurity conferences, speaking RSA and the ESET European Cybersecurity Day.

Follow ESET research on Twitter for regular updates on key trends and top threats.

To l…

Let’s look at some common scams targeting teens and what to watch out for.

Social media scamsWith social media being the digital playground for most teenagers, it’s only natural that enterprising fraudsters will try to target them where they spend most of their time.

Social media scams take on a variety of shapes and sizes, so there isn’t a one-size-fits-all.

Discounted luxury goodsAnother common scam that proliferates online, including through fake advertisements posted on social media, involves offers for luxury goods at ridiculously low prices.

These fraudsters, however, don’t just stick to dating sites – they often scour social media for their marks and contact them via private messages.

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

Have you listened to our podcast?

“Unpatchable” vuln in Apple’s new Mac chip – what you need to know

Have you listened to our podcast?

Have you listened to our podcast?

Microsoft has announced new and improved capabilities for enterprise security teams that use Microsoft Defender for Endpoint on Android and iOS and Microsoft threat and vulnerability management APIs.

But the most important new additions are jailbreak detection for iOS and mobile application management (MAM) support for non-Intune enrolled devices on both Android and iOS.

From now on, Microsoft Defender for Endpoint on iOS will detect both unmanaged and managed devices that are jailbroken.

“Jailbreaking an iOS device elevates root access that is granted to the user of the device.

Microsoft also advises defenders to set up an additional compliance policy on Microsoft Intune (cloud-based mobil…

Researchers have discovered an unprotected, exposed online database with over a billion records belonging to American healthcare company CVS Health.

The discovery, made by researcher Jeremiah Fowler and the WebsitePlanet research team, happened in March 2021 and the database was secured the next day, after CVS Health was notified and they contacted the (unnamed) third-party vendor in charge of securing the database.

I was informed that this was a contractor or vendor who managed this dataset on behalf of CVS Health, but it was confidential as to who the vendor was,” Fowler said.

“According to the CVS representative, these emails were not from CVS customer account records and were entered in…

As IoT devices become more numerous, less capable, and less personalized, they create a Pandora’s box of security concerns.

Separating, protecting, and guaranteeing process control traffic travelling on the same wires as the IoT traffic is essential.

IoT devices may use Network Time Protocol (NTP), Domain Name Server (DNS) or other network services to obtain information.

IoT devices and security: Full visibility is neededMany IoT devices may need power from Ethernet switches.

The promise of artificial intelligenceFrom finding bad cables, locating bad IoT sensors, diagnosing connectivity issues and more, AI can perform the same sequence of tasks as human operators, only much faster.

In the digital world, cryptographic solutions use encryption keys to secure data at rest, data in use, and data in transit.

Beneath the complex world of encryption use cases and algorithms lies a simple, fundamental principle: the encryption keys must remain a secret.

Now, you can and should encrypt the keys themselves, but then how do you protect those encryption keys?

You need to protect your root keys in such a way that you have the highest level of confidence that they will never be compromised – this means you need a Root of Trust.

Is a hardware Root of Trust still the best solution?

Cybereason released research findings from a global ransomware study of nearly 1,300 security professionals that reveals more than half of organizations have been the victim of a ransomware attack, and that 80 percent of businesses that chose to pay a ransom demand suffered a second ransomware attack, often at the hands of the same threat actor group.

These findings underscore the real cost of paying ransomware attackers, and that organizations should focus on early detection and prevention strategies to end ransomware attacks at the earliest stages before critical systems and data are put in jeopardy.

In the case of the recent Colonial Pipeline ransomware attack, disruptions were felt up a…

Bitglass and Cybersecurity Insiders announced several findings from a report that show the rapid adoption of unmanaged personal devices connecting to work-related resources (aka BYOD) and why organizations are ill-equipped to deal with growing security threats such as malware and data theft.

“As mobility and remote work environments keep growing, so do challenges ranging from managing device access to handling urgent mobile security concerns,” said Holger Schulze, founder, Cybersecurity Insiders.

As a result, a total of 82 percent of organizations said they now actively enable BYOD to some extent.

Boosting BYOD security to prevent data loss/theft is a top concernThe most critical concern re…

The adoption of SASE has skyrocketed during the pandemic, according to a research conducted by Sapio Research.

Thirty-four percent of businesses claim to already be adopting SASE in the past year, and an additional 30 percent plan to do so in the next six to 12 months.

However, despite this rapid uptake of SASE, 69 percent of IT and security professionals surveyed remain confused about its true meaning.

SASE has overtaken VPNs as the connectivity of preference, with 23 percent implementing VPNs versus 34 percent choosing SASE.

While the survey shows that there is still some work to do in educating IT and security professionals about the true meaning of SASE, the imperative to address both r…

Most employees prefer flexible workAmong the key findings from the study, 75 percent reported that flexible work should be an essential part of how people work.

However, trust in flexible work varies widely across roles.

This may be credited to the lack of flexible work options traditionally offered to frontline workers versus office workers.

Frontline workers perceive flexible work differently than office workers42 percent of frontline workers believe management is trustworthy of remote work, compared to 62 percent of office workers.

“Over the last year, the pandemic forced many organizations to digitally transform and embrace flexible work,” said Brian Day, CEO, Fuze.

The worldwide server market grew 12% year over year to $20.9 billion during the first quarter of 2021 (1Q21), according to IDC.

Worldwide server shipments grew 8.3% year over year to nearly 2.8 million units in 1Q21.

The top suppliers of 1Q21 server unit shipments were Dell Technologies (17.5%), HPE/H3C (14.5%), Inspur/Inspur Power Systems (8.0%), and Lenovo (6.1%).

Top server market findingsOn a geographic basis, server revenue in China was up 29.1% year over year while Asia/Pacific (excluding China and Japan) increased 16.6%.

Non-x86 server revenue grew 23% year over year to $2.2 billion.

Auth0 announced the launch of Auth0 WebAuthn Passwordless, an authentication feature that enables end-users to seamlessly log in with a biometric identifier — such as facial recognition or a fingerprint — as a convenient and secure alternative to a traditional password.

Removing the need for long, complex passwords, Auth0 WebAuthn Passwordless provides a frictionless experience for end-users, while reducing the significant password management burden for companies.

Auth0 WebAuthn Passwordless is a modern option for organizations looking to attract and retain users.”With Auth0 WebAuthn Passwordless, users can authenticate with Web Authentication-powered (WebAuthn) biometrics, the official web…

Sequitur Labs introduced its EmPOWER Service, a new cloud-based offering that securely monitors, manages and updates IoT devices to address technical, IP, supply chain and business-process challenges faced by IoT developers and manufacturers dealing with the acceleration of Artificial Intelligence at the network edge.

Sequitur’s EmPOWER Platform introduces Trust-as-a-Service to edge devices.

Trust-as-a-Service enables complete device security for these stages, including secure provisioning, over-the-air (OTA) updates, threat detection and remediation, behavioral analytics, and credentials management.

“IoT security is no longer optional – whether its protecting critical IP on the device or s…

deepwatch announced the launch of deepwatch MOBILE — an intuitive mobile application that gives customers real-time insight into their Security Operations Center and timely threat intelligence delivered to their mobile phone.

With deepwatch MOBILE, CISOs can view their SecOps activity, take action, and stay informed at all times, from anywhere.

With deepwatch, customers get a team of always-on cybersecurity experts who extend their team, backed by deepwatch’s innovative cloud platform.

deepwatch MOBILE enables customers to interact with their deepwatch Squad, who provide 24/7/365 monitoring services that detect threats and provide guided or automated response.

“With deepwatch MOBILE, our MD…

Axonius launched a new business unit focused on innovation and growth avenues beyond the existing core solution already used by hundreds of companies worldwide.

“Launching a new business unit focused on research and product development enables us to build for scale from the outset.

“I am excited to join the Axonius team and to establish AxoniusX.

At the core of Axonius technology is the ability to bring in data from multiple sources, correlate, de-duplicate, and find meaning in the data.

The platform provides incredible value for security teams, and we see a massive opportunity in extending this core value for many other use cases adjacent and complementary to cybersecurity,” said Ofek.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Business email compromise attacks will have you doubting any email you receive, whether it’s from your co-worker or even the CEO of your company.

This is a very common case of business email compromise (BEC) attack.

Types of business email compromise attacksThere are several types of business email compromise attacks out there.

Facebook and GoogleOne of the biggest business email compromise attacks ever, this one hit the two giants: Facebook and Google.

Best practices to prevent business email compromise attacksAs they’re hard to spot, the best advice we can give on business email compromise attacks is to be proactive instead of reactive.

Kerberoasting belongs to the post-exploitation, or post-compromise, phase of an attack which focuses on gaining further access to additional targets using privilege escalation and similar lateral movement techniques.

Well, as far as the intent goes, compromising the Active Directory domain begins by you (or the attacker) scanning the environment looking for domain accounts whose SPN values indicate any service-related associations.

Use Kerberos FAST (Flexible Authentication Secure Tunneling), if possible, to armor pre-authenticated data by protecting authentication service (AS) exchanges with the KDC via secure tunneling.

Take advantage of group policies to eliminate the use of insecure pro…

In 2020 alone, bug bounty hunters earned a record $40 million for reporting security vulnerabilities over the bug bounty platform HackerOne.

In starting your career, one of the best ways to learn the basics of bug bounty hunting is with training programs and courses.

Aiming to be the go-to for all things bug bounty, the platform offers plenty of security-related content, including guides on starting out in bug bounty hunting, explorations of most common vulnerabilities, must-have tools, and tidbits of valuable bug bounty hunting methodologies.

Take your bug bounty hunting skills to the next levelOnce you’ve gained enough knowledge and skills to try your luck on bug bounty programs, get a co…

Shodan is great for marketing teams and software vendors too, allowing you to filter out different versions of software running on a server.

Various bits of information and services running on an IP address help identify the device running on that IP address.

Today we will explore the top Shodan dorks to find sensitive data from IoT connected devices.

To find self-signed certificates, the following query can be used:ssl.cert.issuer.cn:example.com ssl.cert.subject.cn:example.comTo find expired SSL certificates, this query can be used:ssl.cert.expired:trueOther useful Shodan dorks for IoT device intelligenceLet’s see what else can be found by “Shodan dorking”.

Its ability to combine most dork…

Common reactive security measures include:FirewallsAntivirus solutionsSpam filtersDisaster recovery plansVulnerability assessmentReactive cyber security methods are used by organizations to deal with more traditional attacks.

Best reactive security practices to implementReactive security, while with its flaws, is important and shouldn’t be overlooked.

Popular proactive cyber security methods include:Ethical hackingPentestingData loss prevention (DLP)Attack surface managementOrganizational cybersecurity awarenessTaking a proactive security approach can help organizations prevent major data breaches and security incidents before they happen.

This is why implementing a proactive security appro…

I collaborated with a couple of friends for about 12 months to build out an automation beast.

In this blog I’m going to show you how you can use three basic, free, open source tools to implement continuous monitoring for new subdomains in just five minutes.

The three tools are:Anew by tomnomnomHaktrails by me (you could use any subdomain enumeration tool here, like Subfinder or OWASP-Amass)Notify by ProjectDiscoverySetting up your environmentLet’s see what the necessary steps are to build a basic monitoring and alerting system for detecting new subdomains.

It’s easy to see how this system could be expanded to gather URLs using gau, scan for vulnerabilities using nuclei, find XSS using dalfo…

Shadow IT is the use of systems, devices, software, apps and services without approval from an organization’s IT department.

Risks associated with shadow ITThere are numerous cybersecurity risks associated with unmanaged and ignored shadow IT in an organization, and some of the more prevalent are:Lack of visibilityCertainly the main security risks of shadow IT are the lack of visibility and control over an organization’s network and infrastructure.

Increase of attack surfaceAn organization’s attack surface is its entire network and software environment that’s exposed to malicious attackers.

Manage shadow IT risksThe bottom line with shadow IT is that you will never be able to stop it.

Here …

Learn about what is Internet Scanning, benefits and implications of these scans, as well as popular internet scanning tools.

Cyber extortion has long been a lucrative business for cyber criminals and threat actors.

Cyber extortion is one of the fastest growing types of cyber crime in which cyber criminals demand payment or other goods.

Types of cyber extortionThere are several ways in which malicious actors can carry out cyber extortion against their targets.

Cyber extortion can arrive as the consequence of several different cyber risks and threats:Cyber extortion and ransomwareIn 2020, ransomware attacks have grown by 150%, with the average extortion amount doubling from the year before.

Popular and recent cyber extortion casesWe’ve mentioned a few cases of cyber extortion such as Travelex, HBO and PLEASE_READ_M…

We’re excited to announce new product updates for Attack Surface Reduction™ v2, SecurityTrails API™, as well as our SQL query-like language.

Better hosting reportsWith this latest release, our engineers have been working on enhancing our Attack Surface Reduction™ hosting report page by improving the clarity of locations.

This will make it easier for you to locate your digital assets on different web hosting companies around the globe.

You can also browse the hosting report by provider, from our handy provider summary at the top of the report.

The SQL query-like language has also received updates: several boolean values (is_anycast, is_local and is_bogon) have been corrected and the JARM val…

Crowdsourced security models and bug bounty platforms are sprouting, creating a new, more inclusive community that heightens diverse voices and perspectives.

Eric Head, known online as todayisnew took the bug bounty hunting community by storm.

And there’s active and restful See/Hear/Feel, such as:i. the quiet mind (restful) or inner dialogue (active),ii.

Join Eric and many other bug bounty hunters that are using SecurityTrails to empower their toolstack.

Gain access to the best data to improve your hunting with the Bug Bounty Hunter’s Toolkit!

Today we’ll dig into what are self-signed certificates, the dangers of using them for your organization, and ultimately how to quickly identify each one of them.

This type of SSL certificate is valid only on devices where it is installed into the SSL certificate store.

While self-signed SSL certificates were the norm back when commercially available SSL certificates were expensive and available only to larger corporations, we still see them used in organizations’ intranets and development environments.

Preventing the usage of self-signed SSL certificates is relatively easy when deploying certificates for modern web applications and websites.

Detecting self-signed certificates with ASRv2As y…

theHarvester (purposely spelt with a lower-case ‘t’ at the beginning) is a commandline-based tool made by the team at Edge-Security.

These are:Kali Linux – already comes installedDockerFrom Source (without using Pipenv)From Source (with Pipenv)We can now proceed with installing the software by using the third option.

ThreatMiner and RapidDNS helped us uncover the following:The 2 data sources corroborate what is the current IP address for www[.]moslempress[.]com.

The DNS brute forcing was not useful because we already obtained these results using multiple Sources.

We also found 1 or 2 bugs, but this is expected with any open source tool and does not decrease the value of the tool in the slig…

Despite a growing multiplicity of platforms, learning resources and community forums in recent times, the practice of bug bounty hunting remains a challenging undertaking for many.

In this blog post, we’ll review a handful of use cases using SQL Explorer as we highlight some of its compositional semantics and user interface features in light of a sample bug bounty hunting (BBH) or cybersecurity research exercise.

Boosting your bug bounty hunting with SQL ExplorerLet’s begin our tour of SQL Explorer by conducting passive recon in the form of an entry-level query against the flagship domain: americanexpress.com.

SummaryBug bounty hunting is both art and science—in essence, it is all about the…

Еще во время появления первых документов ФСТЭК в 2013-м году многие эксперты задавались вопросом, а как увязать защитные меры с моделью угроз.

В фреймворк MITRE ATT&CK помимо техник и тактик входит еще один блок - защитных мер (mitigations), которые увязаны с блокируемыми ими техниками и тактиками.

Этого тоже пока не хватает подходу ФСТЭК, у которого из всего "фреймворка" есть пока только перечень техник и тактик.

Поэтому-то я и ратую за то, чтобы ФСТЭК прекратила заниматься самодеятельностью и унифицировала нумерацию своих техник и тактик с тем, что есть у MITRE.

В защитные меры из приказов ФСТЭК тоже можно смаппировать, но про это в другой раз.

В последнее время в России активно взялись за образование по ИБ и стали... нет, не готовить больше специалистов и лучше.

Мне подумалось, что надо помочь писателям профстандартов и подсказать им прекрасный ресурс, с которого можно копипастить все, что необходимо для качественного профстандарта специалиста по ИБ.

В рамках этого фреймворка выделяется 7 категорий (высокоуровневых функций, связанных с ИБ), 33 специализации по ИБ и 52 роли, для которых описываются необходимые знания, навыки и обязанности, которыми должен обладать специалист по ИБ, претендующий на конкретную роль.

Например, аналитик по киберпреступлениям, архитектор, администратор баз данных, аналитик SOC, специалист по расследова…

Занимаясь проектами по SOC (как проектированием, так и оценкой существующих и разработкой их улучшений) постоянно сталкиваюсь с темой развития центров мониторинга в соответствие с лучшими практиками.

Понятно, что есть различные идеи и технологии, которые вроде и появились на рынке, но пока непонятно, насколько они полезны на практике.

Рекомендовать их в рамках консалтинга не совсем правильно, но и скрывать тоже не имеет смысла.

И хотя в условиях п р овального импортозамещения все это так и останется красивой сказкой, но кому-то может и поможет.

При проведении расследований инцидентов аналитики опираются не только на плейбуки, но и на свой опыт, позволяющий им сопоставлять разные данные и де…

Новая методика оценки позволяет оценивать вполне определенный спектр угроз, оставляя в стороне много из того, что может произойти и нанести ущерб организации.

В данной заметке я хотел бы как раз описать на что, не распространяется методика ФСТЭК.

Например, хорошим стартом может послужить методика от Microsoft, которую для краткости называют STRIDE, хотя она этой аббревиатурой и не ограничивается.

Она, безусловно покарывает не все угрозы для ПО, но самые популярные точно.

Как собственно, не очень хорошо там учтены и угрозы, вызванные не антропогенными источниками (то бишь не людьми), а также антропогенными, но без злого умысла.

Но в отличие от методики ФСТЭК в ГОСТе эти уровни вычисляются по элементарной и понятной формуле, которая не позволяет скатиться в волюнтаристскую экспертную оценку.

Но пусть маппят и в техники ФСТЭК, не перекладывая эту проблему на потребителей (это второй по популярности вопрос на курсе - как соотнести уже имеющиеся отчеты и описания угроз и инцидентов по MITRE ATT&CK в то, что делает ФСТЭК?).

И пентесты и редтиминг по техникам выстраивают, а не по сценариям.

Но с методикой ФСТЭК по оценке угроз получилось наоборот.

Если бы в приказах регулятора осталась только одна фраза про необходимость моделирования угроз, то я бы мог использовать любую из нескольких десятков методик моделирования.

Последние три категории признаются актуальными, потому что среди целей ФСТЭК упоминает любопытство или месть, что вполне реально.

А что с разработчиками ПО?

Есть еще одна странная цель - "внедрение дополнительных функциональных возможностей в ПО на этапе разработки", но что это, я не совсем понял.

Тоже самое и остальных категорий нарушителей - они если и встречаются в реальной жизни, то достаточно редко.

В итоге мы имеем на выходе всего 5 помеченных на картинке выше типов актуальных нарушителей.

Во-первых, нет средств автоматизации, а использование зарубежных разбивается о нестыковки и несовместимость ТТУ и TTP ФСТЭК и MITRE соответственно.

Я пытался, но с ходу так и не вспомнил ни одного проекта, где кто-либо пытался составить перечень возможных сценариев.

Определить же нужные вам техники вы можете либо по отчетам различных ИБ-компаний, либо по сайту MITRE ATT&CK (по списку группировок/нарушителей или используемому ими инструментарию), либо с помощью инструмента CARET.

В методике оценки угроз написано, что вы вполне имеете право использовать и MITRE ATT&CK в том числе.

В методике оценки угроз написано, что вы вполне имеете право использовать и MITRE ATT&CK в том числе.

Начал я с трансляции 11-го приложения документа ФСТЭК в более привычный по ATT&CK и более удобный Excel-формат для работы с таблицами (результат выложил у себя в Telegram-канале).

Дальше у меня была 2 простых идеи; раз уж я не участвовал в работе над последней редакцией методики.

Во-первых, я подумал смаппировать ТТУ (тактики и техники угроз) по методике ФСТЭК с TTP (tactics, technics and procedures) по MITRE.

В ATT&CK это уже две техники - T1590.002 (сбор сетевой информации о цели - DNS) и T1596.001 (поиск в открытых базах данных - DNS/Passive DNS).

Правда, что делать российским вендорам, которые активно работают на зарубежных рынках и которые поддерживают в своих решениях именно MITRE ATT…

Как важно следовать этому при состалении различных нормативных и нормативно-правовых актов, которые устанавливают обязательные требования и которые не должны допускать двойных и даже тройных толкований.

Вот я и решил попробовать пропустить через проект АНО "Информационная культура" несколько типовых образчика нормативных требований по ИБ, выпущенных из под пера наших регуляторов - ФСТЭК, ФСБ и ЦБ.

Уровень читабельности 716-ПУ ФСТЭК ситуация тоже далека от идеала.

Например, уровень читабельности приказа 196-го по требованиям к средствам ГосСОПКИ выглядит так:А есть примеры абсолютно читабельного текста?

Все-таки читабельность текстов и в их интересах - меньше критики, меньше вопросов, меньше…

На прошедшем эфире AM Live, посвященном киберучениям, о котором я написал отдельно, но в Фейсбуке, в рамках проводимого опроса четверть респондентов ответило, что хотело бы получить набор готовых сценариев для проведения киберучений.

После увольнения бывший админ (разработчик) входит в ИТ-системы бывшего работодателя и крадет информацию, нарушая целостность всех баз данных и их резервных копий.

Сложно в том, что вам придется выйти за рамки службы ИБ и ИТ и проверять взаимодействие между разными подразделениями, да еще и общаться с их руководством, а не техническими специалистами.

Проще в том, что не нужны никакие серьезные полигоны, - достаточно просто разработать сценарий и перенести его в…

Страна просыпается от изоляции, организаторы мероприятий выходят из онлайн-спячки и начинают планировать очные мероприятия по ИБ.

Пришло время и мне вернуться к ведению списка значимых мероприятий по ИБ, о которых уже известно, что они будут проходить в очном формате в этом году.

Сразу отмечу, что список носит сугубо субъективный характер и не претендует на полноту (многие региональные мероприятия в нем вообще отсутствуют).

Кроме того, мне известны планы по запуску еще нескольких конференционных проектов, которые могут стать знаковыми и повторяющимися для России, но говорить о них пока рано.

Однако, как только сведения о них станут доступны, я сразу внесу их в список.

В документе отсутствует переходный период и вопрос, как быть если модель угроз сейчас на согласовании в ФСТЭК, никто ответить не может.

Упоминаемый по тексту методики STIX - это язык описания угроз, а не их база/источник, как CAPEC и т.п.

Вот что мешало ФСТЭК проект новой методики натянуть на какую-либо систему и сделать частную модель угроз?

Классификация источников угроз противоречит ранее выпущенным ГОСТам ФСТЭК и в методике вообще нет отсылок ранее принятых ТК362 ГОСТов.

Мы проделали кучу работы, результаты которой мы не используем и которые ни на что не влияют.

ФСТЭК разрабатывает сейчас (на финишной прямой) руководящий документ к таким средствам, который будет ориентирован только на разработчиков и испытательные лаборатории.

Сначала надо принять РД, потом поправки в 17-й приказ, а потом уже и в методичку внести изменения.

Все требования будут едины и применяться, что к ГИС 3-го класса, что к ГИС 1-го, что к ЗОКИИ 3-го уровня, что 1-го.

из зала, как защищать "информацию ДСП" и в соответствие с чем, от представителя ФСТЭК последовал очевидный ответ - "в соответствие с 17-м приказом".

ТАРМ размещается в ГЕОПе (гособлако) и доступ к нему как раз обеспечивается с помощью сертифицированного в ФСТЭК средства безопасной удаленной работы.

Если изменилась информация о лице, эксплуатирующем ОКИИ, то об этом надо оповестить ФСТЭК в 30-тидневный срок.

Аналогичная ситуация и в случае выведения из эксплуатации значимых и незначимых объектов - уведомлять ФСТЭК надо как и при любом изменении объекта КИИ.

Если организация принимает решение о переводе незначимого ОКИИ в значимые, то необходимо направить информацию об этом в ФСТЭК, в которой должно быть соответствующее обоснование.

На конференции "Актуальные вопросы защиты информации" Шевцов Д.Н., отвечая на вопросы из зала, отметил, что ФСТЭК постепенно переходит на отечественное ПО и оборудование, следуя курсу на импортозамещение.

Конечно, с оговорками на то, как эту пользу понимает …

На выходных обновил и дополнил свои тулкиты (набора документов) по внедрению СУИБ и соответствию требованиям GDPR, которые собираю на Патреоне.Посмотреть их состав и скачать документы можно тут:GDPR Implementation Toolkit, v.3.0 - https://www.patreon.com/posts/41151893GDPR Intro Toolkit, v.2.0 - https://www.patreon.com/posts/47803689ISMS Implementation Toolkit, v.2.1 - https://www.patreon.com/posts/47806655Auditor's Toolkit, v.1.0 - https://www.patreon.com/posts/44215838Поддержите этот проект и подписывайтесь на мой Патреон!

Я уже больше года выкладываю свои документы по ИБ на Патреон (доступ по платной подписке), и вот список самых лучших из них:Дорожная карта по внедрению СУИБ, https://www.patreon.com/posts/34193352Рекомендации по внедрению СУИБ и подготовке к аудитам, https://www.patreon.com/posts/30627529Большая и подробная майндкарта по аудиту СУИБ, подготовленная по итогам прохождения курса ведущего аудитора по ISO27001, https://www.patreon.com/posts/44005904Перечень документов и процессов СУИБ, https://www.patreon.com/posts/30651713Майндкарта по стандарту ISO 19011, https://www.patreon.com/posts/32391752Одностраничный документ с основными положениями GDPR, https://www.patreon.com/posts/30623162Дорожная к…

На праздничных выходных я прочитал и законспектировал официальный мануал для подготовки к экзамену CDPSE (Certified Data Privacy Solutions Engineer) от ISACA, и сегодня расскажу вам о нем.1. Книга стоит 105$ для членов ISACA и 135$ для всех остальных.2. Это совсем свежая книга, ее опубликовали примерно месяц назад. Но до этого ISACA уже выпускала несколько больших книг по privacy. Например, "Implementing a Privacy Protection Program: Using COBIT 5 Enablers With ISACA Privacy Principles".3. Странно, но этот учебник ISACA предлагает не в формате pdf, который удобно читать на любом устройстве, а выдают лишь ссылку, которую можно открыть лишь в защищенном формате в Adobe Digital Edition. Каких-…

Начало года отмечено новым рекордным штрафом за нарушение требований GDPR при использовании систем видеонаблюдения (CCTV): 10,4 млн.евро штрафа для notebooksbilliger.de. Для себя составил вот таблицу со всеми известными мне штрафами по этой теме. Нарушения стандартные: нарушение баланса интересов, слишком длительное хранение данных, несоответствие обработки целям и избыточный сбор данных.Ссылки на все штрафы выложены на моем Патреоне - https://www.patreon.com/posts/gdpr-fines-video-46114870Там же есть и мои детальные рекомендации по использованию CCTV (и легализации этого процесса) - https://www.patreon.com/posts/39537997И большая презентация "Employee Monitoring and Privacy" - https://www.…

Целью этой стратегии является укрепление коллективной устойчивости Европы к кибер-угрозам и обеспечение того, чтобы все граждане и предприятия могли в полной мере воспользоваться преимуществами надежных и заслуживающих доверия услуг и цифровых инструментов.

А также положения об объединенном сообществе (Joint Cyber Unit) для обмена информацией об угрозах и оказания помощи в реагировании.

Планы по перезапуску и усилению CERT-EUВ отдельное приложение выделены меры по безопасности сетей 5G.

На ближайшие 7 лет запланировано очень много важных и полезных изменений...А вот, кстати, официальный QnA по стратегии - https://ec.europa.eu/commission/presscorner/detail/en/QANDA_20_2392P.S.

Помимо этого с…

Сегодня я посетил вебинар - встречу с новым финским Омбудсменом по защита персональных данных (the Data Protection Ombudsman) и после этого решил в очередной раз сравнить европейский подход (GDPR и ePrivacy) с подходом российского РКН (152-ФЗ). Для этого я пересмотрел запись публичного семинара для операторов ПДн от РКН, который прошел 26 ноября 2020.Меня очень порадовало, что Контемиров Юрий Евгеньевич (начальник Управления по защите прав субъектов ПДн) в этот раз отдельно рассказал про отношение РКН к GDPR. Приведу текст выступления практически полностью, чувствую, что он еще пригодится:1. GDPR к деятельности российских компаний может применяться в исключительных случаях. 2. Российский оп…

Пару недель назад я прошел 5-дневное обучение по курсу ISMS ISO 27001:2013 Lead Auditor (Ведущий аудитор систем управления информационной безопасностью по стандарту ISO 27001) и сегодня расскажу вам о нем.Что это такое и зачем это надо?По сути, это обучение является обязательным шагом для получения статуса ведущего аудитора по ISO 27001. Соответствующий статус необходим аудиторам для проведения сертификационных аудитов СУИБ (это может быть довольно неплохой работой / подработкой для специалистов по ИБ), а также часто требуется для внутренних аудиторов, внешних аудиторов (при аудитах второй стороны (подрядчиков и партнеров)) или внешних консультантов. Однако он заточен именно на стандарт ISO…

Попробовал свести в одну майндкарту важные управленческие модели, которые могут быть полезны руководителям департаментов и консультантам по информационной безопасности, а также инспекторам по защите персональных данных (DPO). На удивление, получился очень большой перечень. Держите майндкарту и общий список.Вот общий список:Strategy1. Governance by COBIT2. SWOT3. GAP analysis and Benchmarking4. Hype Cycle5. Components by COBIT (ex.Enablers)6. McKinsey 7-S FrameworkObjectives, KPIs and metrics7. Balanced Scorecard (BSC)8. Goal Cascade by COBIT9. ISO 27001 for IS objectives10. SMART11. Metrics12. Metric Life CycleProcesses13. PPT Triangle14. RACI chart CI Cycles15. PDCA16. OODA17. COBIT Implem…

Некоторые европейские надзорные органы, например, Финский DPA, не рекомендуют совмещать роли CISO и DPO из-за возможного конфликта интересов. Посветил этой проблеме 1 слайд в своей новой презентации "Employee Monitoring and Privacy", которую выложил на Патреон:

Выложил на Патреон детальную майндкарту для ИТ стартапов, которые планируют работать в ЕС и соответствовать GDPR - https://www.patreon.com/posts/43224350Кратко она выглядит так:

Недавно была опубликована свежая статистика по выданным сертификатам ISO, ISO Survey 2019. Выбрал самое важное.Общее количество выданных сертификатов на 31.12.2019, рост на 3.8% по сравнению с 2018 годом:Количество сертификатов по ISO 27001 выросло за год на 14%.Топ 10 стран по количеству сертификатов ISO 27001:China - 8356Japan - 5245United Kingdom of Great Britain and Northern Ireland - 2818India - 2309Italy - 1390Germany - 1175Spain - 938Netherlands - 938United States of America - 757Turkey - 729В России - 81, в Финляндии - 66.Больше всего сертификатов в отрасли ИТ - 8562.

Подготовил небольшую таблицу с ответом на вопрос "какие стандарты и лучшие практики использовать для защиты персональных данных". Есть из чего выбрать...Все ссылки и pdf-файл доступны мои подписчикам на Патреон - https://www.patreon.com/posts/42520555

Обновил и выложил на Патреон (платная подписка) все свои майндкарты по стандартам и "лучшим практикам", которые использую в своей работе. Держите весь список:ISMSISO 27001:2013 - https://www.patreon.com/posts/32914010The ISF Standard of Good Practice for Information Security 2020 (SoGP) - https://www.patreon.com/posts/36496886NIST SP 800-53 rev.5 "Security and Privacy Controls for Federal Information Systems and Organizations" - https://www.patreon.com/posts/42255805AuditISO 19011:2018 Guidelines for auditing management systems - https://www.patreon.com/posts/32391752Data Protection and PrivacyGDPR - https://www.patreon.com/posts/30623884One-page document with key points of GDPR - https://w…

У меня на Патреоне (платная подписка) опубликованы 2 документа, раскрывающие требования и рекомендации по легитимному использованию систем видеонаблюдения в контексте защиты персональных данных и выполнения требований GDPR (в частности, ограничения по размещению камер, необходимые уведомления, ограничения по длительности хранения и все такое). В принципе, на них стоит ориентироваться и при обработке ПДн по 152-ФЗ.CCTV and GDPR (checklist) - https://www.patreon.com/posts/39537997The 12 guiding principles in the Surveillance Camera Code of Practice - https://www.patreon.com/posts/41607308

Привет! Этим летом я пересмотрел и обновил все документы, входящие в мой комплект GDPR Implementation Toolkit, а также разработал несколько новых. Теперь все документы выровнены друг с другом, оформлены в одном стиле и актуализированы с учетом новых рекомендаций надзорных органов. Скачать их могут мои подписчики на Патреоне (платная подписка) - https://www.patreon.com/posts/gdpr-toolkit-2-0-41151893

Снятая в 2020 году блокировка Telegram, видимо, положительно сказалась на популярности чатов и каналов - отрицательной динамики за прошедший год практически ни у кого нет за редким исключением.

В рейтинге самых популярных чатов на первом месте теперь RouterOS Security, набрать аудиторию которому сильно помог недавний нашумевший пост на Хабре. На втором месте - многострадальный КИИ 187-ФЗ, потерявший администраторов и живущий теперь по принципам полной самоорганизации, страдая периодически от спама и ботов. При этом участники не спешат его покидать, хотя альтернатива есть и состав модераторов там вполне адекватный: @FZ187KII.

Отсечку в 100 пользователей менять не стал, так что итоговый списо…

Традиционно с началом нового года начинают действовать и новые изменения в законодательстве. Ниже собрал основные нововведения, так или иначе касающиеся информационных технологий. Ссылки на первоисточники - в конце поста.

Молодым специалистам «откроют» только электронные трудовые книжки

Россиянам, впервые поступившим на работу, больше не будут оформлять бумажные трудовые книжки. Переход на электронные трудовые книжки начался в России в 2020 году. До 31 декабря этого года каждый работник должен принять решение — хочет ли он оставить бумажную трудовую книжку или перейти на электронную, и в письменном виде проинформировать о сделанном выборе отдел кадров. Если сотрудник откажется от бумажной т…

Нестандартный по формату проводимых мероприятий 2020 год под конец ознаменовался целой чередой попыток провести что-то большее, чем очередной типовой вебинар по информационной безопасности, в коих и в прошлые годы недостатка не было.

Пишу попыток, так как далеко не все мероприятия можно признать удачными. Ниже кратко перечислю те, в которых принял участие (не как слушатель), и отмечу их особенности.

Безопасная среда

30 сентября принимал участие в проекте “Безопасная среда” коллег из ЭКСПО-ЛИНК, где прочитал короткий доклад про особенности мониторинга информационной безопасности для АСУ ТП.

Чем отличалось от типового вебинара? доклад предварялся разговором на заданную тему нескольких приглаш…

Вышел в свет свежий выпуск журнала «CONNECT. Мир информационных технологий», с темой номера “Защита КИИ в отраслевом разрезе. О практической реализации требований № 187-ФЗ в отраслях”.

Открывает раздел моя статья: Субъекты КИИ: торопитесь не торопясь!

Правда, изначально тема звучала как “Общее состояние дел с выполнением требований законодательства в области защиты КИИ”, но редактору виднее =)

По приведённой выше ссылке на сайте издательства CONNECT качество иллюстраций в статье не самое лучшее, что особенно обидно для схемы, так что вот отредактированный авторский вариант: pdf, speakerdeck.com, slideshare.net.

Текст, к слову, подвергся минимальным правкам, но за время, пока публикация гото…

Рейтинг CNews Security: Крупнейшие компании России в сфере защиты информации публикуется с 2003 года, но только по итогам 2006 года, правда, сразу две компании, перешагнули годовую выручку в 1 миллиард рублей. Этими двумя компаниями были Информзащита и Лаборатория Касперского, которая в то время в свой отчёт ещё включала выручку ИнфоВотч.

Следующими в клуб миллиардеров вступили тоже сразу две компании: ЛЕТА и Эр-Стайл, но сделали они это только два года спустя. Обе эти компании в рейтинге CNews Security больше не участвуют. О причинах (наблюдая со стороны) можно только догадываться, но, видимо, дело в не самых ярких показателях.

Аналитики CNews не раскрывают состав стоящих за брендами юриди…

На организованной Гротек в сентябре онлайн-конференции “Кибербезопасность АСУ ТП критически важных объектов” одним из докладчиков выступил Алексей Валентинович Кубарев, заместитель начальника управления ФСТЭК России.

Доклад его мне представляется важным - как минимум с той точки зрения, что понятным человеческим языком сформулированы основные тезисы и даны ответы на многие вопросы и конкретную критику в адрес ФСТЭК России.

Взял на себя смелость в связи с этим улучшить монтаж исходного ролика, заодно заменив изображения слайдов на более качественные из публично доступной презентации. Впрочем, так как формат видео не слишком удобен для последующего оперативного поиска нужного ответа, решил вы…

По приглашению коллег из ЭКСПО-ЛИНК принял участие в их проекте “Безопасная среда” и прочитал короткий доклад про особенности мониторинга информационной безопасности для АСУ ТП.

Постарался перечислить основные сложности практического создания систем мониторинга для промышленных сегментов, а также варианты их (сложностей) нивелирования.

Запись велась и после обработки будет выложена на YouTube, а пока делюсь своей презентацией. Другие записи моих выступлений можно посмотреть здесь: https://zlonov.com/speeches/.

Знаете ли вы, что сегодня создать поддельное (deepfake) видео можно буквально за полчаса, не обладая при этом никакими специальными знаниями и не имея в своём распоряжении никаких особых вычислительных мощностей?

Само преобразование выполняется с помощью Wav2Lip, онлайн-демо которого можно протестировать на этой странице: https://bhaasha.iiit.ac.in/lipsync/.

Правда, у меня так и не получилось подобрать нужные исходные файлы, не приводящие к появлению ошибки: 413 Request Entity Too Large .

Так что пришлось воспользоваться чуть более сложным, но зато сработавшим вариантом на базе Google Colab.

Ну, и не могу не воспользоваться случаем процитировать вот этот свой твит:

Знаете ли вы, что сегодня создать поддельное (deepfake) видео можно буквально за полчаса, не обладая при этом никакими специальными знаниями и не имея в своём распоряжении никаких особых вычислительных мощностей?

Вот пример наложения слов персонажа Глеба Жеглова на выступление глубоко уважаемого мной Виталия Сергеевича Лютикова, который, надеюсь, не будет в обиде за этот невинный ролик =) Не самый впечатляющий результат, но зато единственные специальные утилиты, которые потребовались для создания этого видео - это браузер и простейший видеоредактор (и то только для нарезки исходных материалов). Всё остальное было сделано онлайн.

Само преобразование выполняется с помощью Wav2Lip, онлайн-демо…

Помню, как на заре становления темы ИБ АСУ ТП в России на меня произвело впечатление решение от одной компании, предлагающей специализированные промышленные межсетевые экраны с встроенной функцией VPN.

Экран как экран, VPN как VPN, но особенностью решения был аппаратный (физический) ключ, поворот которого исключал возможность удалённого подключения.

Позиционировалось этот как некая гарантированная защита от злоумышленников/разгильдяев как с легальным доступом, но, например, получающих доступ вне рамках установленной процедуры, так и от внешних злодеев (читай — хакеров).

Оперативно на сайте производителя подобных решений в современной линейке его оборудования найти не удалось, так что ссылок…

Помню, как на заре становления темы ИБ АСУ ТП в России на меня произвело впечатление решение от одной компании, предлагающей специализированные промышленные межсетевые экраны с встроенной функцией VPN.

Экран как экран, VPN как VPN, но особенностью решения был аппаратный (физический) ключ, поворот которого исключал возможность удалённого подключения.

Позиционировалось этот как некая гарантированная защита от злоумышленников/разгильдяев как с легальным доступом, но, например, получающих доступ вне рамках установленной процедуры, так и от внешних злодеев (читай - хакеров).

Оперативно на сайте производителя подобных решений в современной линейке его оборудования найти не удалось, так что ссылок…

Традиционный обзор новинок Государственного реестра сертифицированных средств защиты информации (СрЗИ) в этот раз будет не квартальным, а сразу полугодовым.

Средства сетевой защитыМежсетевые экраны (МЭ) — традиционно самый широко представленный тип средств защиты информации в реестре ФСТЭК России.

:№4228 — модуль доверенной загрузки Numa Arce Соответствует требованиям документов: Требования к СДЗ, Профиль защиты СДЗ(базовой системы ввода-вывода четвертого класса защиты.

ИТ.ОС.А2.ПЗ)№4220 — операционная система Аврора Соответствует требованиям документов: Требования доверия(4), Требования к ОС, Профиль защиты ОС(А четвертого класса защиты.

ИТ.ОС.А4.ПЗ)Корпоративнные и офисные приложения№4211…

Традиционный обзор новинок Государственного реестра сертифицированных средств защиты информации (СрЗИ) в этот раз будет не квартальным, а сразу полугодовым. Так что и новых сертификатов (выданных на серию) сегодня больше обычного - 50 штук.

Вот они, разбитые на отдельные (весьма условные, правда) подгруппы.

Средства сетевой защиты

Межсетевые экраны (МЭ) - традиционно самый широко представленный тип средств защиты информации в реестре ФСТЭК России. При этом отдельные решения (Check Point, FortiGate, Dionis DPS) одновременно совмещают в себе ещё и функции систем обнаружения вторжений (СОВ), а, например, Trend Micro Deep Security 10 дополнительно к МЭ и СОВ является сертифицированным средством…

​Партнёрский материалЭксперты из Solar JSOC завтра проведут вебинар, на котором расскажут, кто и что угрожает российским организациям — субъектам КИИ.По данным центра, интерес к промышленным, энергетическим и другим компаниям, которые относятся к субъектам КИИ, за последний год многократно вырос, при этом каждая 10-я организация в России уже скомпрометирована различными семействами ВПО.В программе вебинара: 1. Обзор уязвимостей, которые чаще всего встречаются на внешнем периметре инфраструктур организаций – субъектов КИИ2. Результаты внешних и внутренних пентестов, проведенных командой Solar JSOC3. Особенности ВПО, популярного среди злоумышленников, атакующих субъекты КИИ4. Методы защитыСпи…

До начала юбилейной, десятой ZeroNights осталось всего 19 дней!По традиции посетителей будет ждать насыщенная техническая программа со знакомыми многим Defensive Track, Web Village и Hardware Zone.В этот раз ребята выбрали новый формат — все активности будут пр­ходить на свежем воздухе в фор­мате open-air, а в случае непогоды участников будут ждать кры­тые три­буны. Место встречи — пространство «Севкабель Порт» в Петербурге.Программа каждой из секций уже на сайте > https://zeronights.ru/program/See you soon!

Вообще идея создания подобной карточной ИБ-игры преследует меня уже давно. Хочется и чтобы на конференциях можно было зарубиться, и не погруженным в мир ИБ было интересно. Мы с другом даже делали прототип, но дальше тестов к сожалению ничего не уехало :(На самом деле там не все так просто

В Kaspersky решили не мелочиться и сделать VR игру для знакомства топ-менеджмента с рисками ИБ.Такой Standoff на минималках)https://www.kaspersky.com/blog/vr-interactive-simulation/40188/

Для участия в розыгрыше нажмите на «Я участвую»

​Идея обучения своих сотрудников вопросам ИБ не является чем-то новым, но последнее время стремительно набирает популярность.Поэтому в рамках этого партнерского материала хочу вам рассказать про своих знакомых из компании Secure-T, которые мне предложили разыграть среди подписчиков бесплатную проверку социалкой на 150 человек.Ребята не первый год на рынке и уже обучают и тестируют более 10 тысяч сотрудников крупных организаций.Вот немного статистики из их последних двух фишинговый рассылок:1-й кейс — 46% сотрудников перешли по ссылке в открытом письме, а 14% ввели свои учетные данные в поддельные формы;2-й кейс — 50% сотрудников перешли по ссылке в письме, а 28,5% ввели свои учетные данные …

Кто пропустил, вчера Microsoft выкатила июньские обновления безопасности в рамках Patch Tuesday.Коротко обзор:[RU] https://news.microsoft.com/ru-ru/update-tuesday-microsoft-security-updates-jun2021/[EN] https://krebsonsecurity.com/2021/06/microsoft-patches-six-zero-day-security-holes/

Если вы еще не интегрировали MITRE ATT&CK в свои процессы, вот вам отличный повод еще раз понять, как применять фреймворк на практике — CISA выпустило свое краткое руководство, где с помощью общих инструкций и на примере трояна TrickBot показали как работать с MITRE ATT&CK и сопоставить поведение злоумышленника.https://us-cert.cisa.gov/sites/default/files/publications/Best%20Practices%20for%20MITRE%20ATTCK%20Mapping.pdf

​Эту неделю очень хочется начать с минутки мотивации, которой в последнее время мне не хватает чтобы регулярно вести канал.Знакомьтесь, Кельвин Сиу (Kelvin Siu) из Гонконга, который за 12 месяцев получил 14 сертификаций. Пусть набор сертификатов странный, кажется Кельвин решил не мелочиться и сложить все яйца в одну корзину, но факт, что парень просто взял и за год закрыл такой объем сертификаций, малую часть которого многие закрывают годами.Если вдаваться в детали, конечно там не так все просто — у него уже было 7 лет опыта в индустрии, а подготовка заняла куда больше времени, чем сама сдача (по 2-3 месяца подготовки на каждый экзамен). Судя по linkedin работает Кельвин аудитором в компани…

Ребята из Яндекса в рамках Positive Hack Days рассказали, как они повышают ИБ-осведомленность своих сотрудников, начиная от мемов, которые размещают в офисных кофе-поинтах и заканчивая обучающей платформой для поиска багов в коде. Последнюю кстати выложили в открытый доступ и на GitHub. Говорят было бы круто, если бы вы помогли в развитии и использовали их наработки у себя, например дописав тесты под свои языки и сценарии.http://securitygym.ruhttps://github.com/yandex/securitygym

​Партнерский пост: ⚡️ 26 мая состоится масштабное мероприятие по внутренним угрозам корпоративной безопасности — Форум DLP+Подробности: https://dlp-forum.ru/❗️ Форум охватит не абстрактные тренды, а практические способы решения наболевших проблем служб информационной, экономической и собственной безопасности📅 За один день посетители форума познакомятся как с актуальными технологиями, так и с практическими методами защиты компании от внутренних угроз и научатся с их помощью решать потребности бизнеса:✔️ Информационная безопасность✔️ Экономическая безопасность✔️ Кадровая безопасность🆓 Участие бесплатное для представителей органов государственной власти, финансовых организаций, компаний ТЭК, п…

На правах рекламы: Модель безопасности, основанная на нулевом доверии (Zero Trust), продолжает набирать популярность при построении архитектуры и процессов ИБ. Каждый пользователь или устройство должны подтверждать свои данные всякий раз, когда они запрашивают доступ к ресурсу внутри или за пределами сети.Компания Cisco не осталась в стороне и предлагает собственное облачное решение Cisco Duo, которое уже официально продается в России.• Удобная многофакторная аутентификация (MFA).• Аудит устройств (в том числе и BYOD) перед получением доступа к данным.• Гибкие политики для пользователей и приложений, позволяющие снизить риск нежелательного доступа к ПО и данным вашего бизнеса.• SSO для всех…

Открытое письмо Дениса Баранова исследовательскому сообществу: «Наши ключевые ценности – открытость информации и знаний для сообщества, ответственный подход к разглашению при исследовании систем на наличие уязвимостей и практический подход к кибербезопасности».

На правах рекламы:14 апреля коллеги из Positive Technologies будут показывать свою новую версию песочницы PT Sandbox и разыгрывать бесплатный билет на Positive Hack Days!Фичи PT Sandbox 2.2:• расширили список ПО в виртуалках «из коробки», сделали среду реалистичнее;• завезли «приманки» для злоумышленников;• теперь можно тратить меньше ресурсов на внедрение и поддержку.Помимо этого обещают обзор рынка песочниц, прогнозы на 2021 год с точки зрения кибератак и дискуссию про возможные пути развития технологий в песочницах.Зарегистрируйтесь, чтобы не пропустить мероприятие и, кроме того, принять участие в розыгрыше бесплатного билета на Positive Hack Days!

Article: Новые взломы на Pwn2Own 2021: побеждены Ubuntu Desktop, Windows 10, Zoom и кое-что еще> https://habr.com/ru/company/selectel/blog/550182/

Express VPN is incorporated in the British Virgin Islands.

You don’t know the data protection laws of the Seychelles or Panama.

You don’t know which countries can put extra-legal pressure on companies operating within their jurisdiction.

You don’t know who actually owns and runs the VPNs.

You don’t even know which foreign companies the NSA has targeted for mass surveillance.

Really interesting two part analysis of the audit conducted after the 2020 election in Windham, New Hampshire.

Based on preliminary reports published by the team of experts that New Hampshire engaged to examine an election discrepancy, it appears that a buildup of dust in the read heads of optical-scan voting machines (possibly over several years of use) can cause paper-fold lines in absentee ballots to be interpreted as votes… New Hampshire (and other states) may need to maintain the accuracy of their optical-scan voting machines by paying attention to three issues:

Upcoming Speaking EngagementsThis is a current list of where and when I am scheduled to speak:The list is maintained on this page.

Posted on June 14, 2021 at 11:55 AM • 0 Comments

This is probably worth paying attention to:A change to TikTok’s U.S. privacy policy on Wednesday introduced a new section that says the social video app “may collect biometric identifiers and biometric information” from its users’ content.

This includes things like “faceprints and voiceprints,” the policy explained.

Reached for comment, TikTok could not confirm what product developments necessitated the addition of biometric data to its list of disclosures about the information it automatically collects from users, but said it would ask for consent in the case such data collection practices began.

Friday Squid Blogging: Fossil of Squid Eating and Being EatenWe now have a fossil of a squid eating a crustacean while it is being eaten by a shark.

As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Read my blog posting guidelines here.

Posted on June 11, 2021 at 4:18 PM • 1 Comments

Of course, the police were able to read everything — I don’t even know if this qualifies as a backdoor.

We’ve seen law enforcement take over encrypted apps before: for example, EncroChat.

This operation, code-named Trojan Shield, is the first time law enforcement managed an app from the beginning.

If there is any moral to this, it’s one that all of my blog readers should already know: trust is essential to security.

And the number of people you need to trust is larger than you might originally think.

Here’s the paper: “Markpainting: Adversarial Machine Learning Meets Inpainting,” by David Khachaturov, Ilia Shumailov, Yiren Zhao, Nicolas Papernot, and Ross Anderson.

Recently, inpainting started being used for watermark removal, raising concerns.

In this paper we study how to manipulate it using our markpainting technique.

Second, we show that our markpainting technique is transferable to models that have different architectures or were trained on different datasets, so watermarks created using it are difficult for adversaries to remove.

Markpainting is novel and can be used as a manipulation alarm that becomes visible in the event of inpainting.

It’s possible, though very difficult, to back away from our current situation towards one of greater democratic stability.

This wouldn’t entail a restoration of a previous status quo.

Instead, it would recognize that the status quo was less stable than it seemed, and a major source of the tensions that have started to unravel it.

What we need is a dynamic stability, one that incorporates new forces into American democracy rather than trying to deny or quash them.

Finally, we explain how these feedback loops might be redirected so as to sustain democracy rather than undermining it.

Our military systems are vulnerable.

Military computers, whether they’re embedded inside weapons systems or on desktops managing the logistics of those weapons systems, are similarly vulnerable.

Although sensitive military systems rely on domestically manufactured chips as part of the Trusted Foundry program, many military systems contain the same foreign chips and code that commercial systems do: just like everyone around the world uses the same mobile phones, networking equipment, and computer operating systems.

Militaries around the world are now exploiting these vulnerabilities in weapons systems to carry out operations.

Second, it’s time to take cybersecurity seriously in military proc…

The Supreme Court Narrowed the CFAAIn a 6-3 ruling, the Supreme Court just narrowed the scope of the Computer Fraud and Abuse Act:In a ruling delivered today, the court sided with Van Buren and overturned his 18-month conviction.

In a 37-page opinion written and delivered by Justice Amy Coney Barrett, the court explained that the “exceeds authorized access” language was, indeed, too broad.

The ruling does not apply to former employees accessing their old work systems because their access has been revoked and they’re not “authorized” to access those systems anymore.

It’s a good ruling, and one that will benefit security researchers.

The court overturned the conviction because the defendant w…

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Security and Human Behavior (SHB) 2021Today is the second day of the fourteenth Workshop on Security and Human Behavior.

SHB is a small, annual, invitational workshop of people studying various aspects of the human side of security, organized each year by Alessandro Acquisti, Ross Anderson, and myself.

The forty or so attendees include psychologists, economists, computer security researchers, sociologists, political scientists, criminologists, neuroscientists, designers, lawyers, philosophers, anthropologists, business school professors, and a smattering of others.

Here are my posts on the first, second, third, fourth, fifth, sixth, seventh, eighth, ninth, tenth, eleventh, twelfth, and thir…

The New York Times has a long story on the DarkSide ransomware gang.

A glimpse into DarkSide’s secret communications in the months leading up to the Colonial Pipeline attack reveals a criminal operation on the rise, pulling in millions of dollars in ransom payments each month.

DarkSide offers what is known as “ransomware as a service,” in which a malware developer charges a user fee to so-called affiliates like Woris, who may not have the technical skills to actually create ransomware but are still capable of breaking into a victim’s computer systems.

DarkSide’s services include providing technical support for hackers, negotiating with targets like the publishing company, processing payment…

Authorities in Ukraine this week charged six people alleged to be part of the CLOP ransomware group, a cybercriminal gang said to have extorted more than half a billion dollars from victims.

Some of CLOP’s victims this year alone include Stanford University Medical School, the University of California, and University of Maryland.

According to a statement and videos released today, the Ukrainian Cyber Police charged six defendants with various computer crimes linked to the CLOP gang, and conducted 21 searches throughout the Kyiv region.

The CLOP gang seized on those flaws to deploy ransomware to a significant number of Accellion’s FTA customers, including U.S. grocery chain Krogers, the law …

For starters, it appears at one point in 2020 Witte actually hosted Trickbot malware on a vanity website registered in her name — allawitte[.]nl.

According to her indictment, Witte was living in the South American nation of Suriname and she was arrested in Miami while flying from Suriname.

“Several group members had AllaWitte folders with data.

“But that timeframe is typically pretty short, like less than a year.”After that, if the candidate is talented and industrious enough, someone in the Trickbot group will “read in” the new recruit — i.e.

The hiring model adopted by Trickbot allows the gang to recruit a steady stream of talented developers cheaply and covertly.

Microsoft today released another round of security updates for Windows operating systems and supported software, including fixes for six zero-day bugs that malicious hackers already are exploiting in active attacks.

June’s Patch Tuesday addresses just 49 security holes — about half the normal number of vulnerabilities lately.

Among the zero-days are:–CVE-2021-33742, a remote code execution bug in a Windows HTML component.

CVE-2021-31959 affects everything from Windows 7 through Windows 10 and Server versions 2008, 2012, 2016 and 2019.

The usual disclaimer:Before you update with this month’s patch batch, please make sure you have backed up your system and/or important files.

The U.S. Department of Justice said today it has recovered $2.3 million worth of Bitcoin that Colonial Pipeline paid to ransomware extortionists last month.

On May 7, the DarkSide ransomware gang sprang its attack against Colonial, which ultimately paid 75 Bitcoin (~$4.4 million) to its tormentors.

“It is ONLY the Colonial Pipeline ransom, and it looks to be only the affiliate’s take.”Experts at Elliptic came to the same conclusion.

“Any ransom payment made by a victim is then split between the affiliate and the developer,” writes Elliptic’s co-founder Tom Robinson.

The DOJ also released a June 3 memo from Deputy Attorney General Lisa O. Monaco instructing all federal prosecutors to adhere …

KrebsOnSecurity recently had occasion to contact the Russian Federal Security Service (FSB), the Russian equivalent of the U.S. Federal Bureau of Investigation (FBI).

Visit the FSB’s website and you might notice its web address starts with http:// instead of https://, meaning the site is not using an encryption certificate.

According to Russian search giant Yandex, the laws of the Russian federation demand that encrypted connections be installed according to the Russian GOST cryptographic algorithm.

To really figure out what this FSB software was doing, I turned to Lance James, the founder of Unit221B, a New York City based cybersecurity firm.

But it’s what it is.”James said the FSB’s progr…

Fake, positive reviews have infiltrated nearly every corner of life online these days, confusing consumers while offering an unwelcome advantage to fraudsters and sub-par products everywhere.

Looking at the Google accounts that left positive reviews on both the now-defunct Microsoft Authenticator and iArtbook extensions, KrebsOnSecurity noticed that each left positive reviews on a handful of other extensions that have since been removed.

In total, roughly 24 hours worth of digging through chrome-stats.com unearthed more than 100 positive reviews on a network of patently fraudulent extensions.

Some of the fake extensions have only a handful of downloads, but most have hundreds or thousands.

…

Tudor, a native of Craiova, Romania, moved to Mexico to set up Top Life Servicios, an ATM servicing company which managed a fleet of relatively new ATMs based in Mexico branded as Intacash.

In February, the leader of Mexico’s Green Party stepped down after it emerged that he received funds from Tudor’s group.

This is the second time Mexican authorities have detained Tudor.

Tudor’s arrest this week inside the premises of the Mexican Attorney General’s Office did not go smoothly, according to Mexican news outlets.

A Mexican judge will decide on Tudor’s extradition to Romania in the coming weeks.

One of the oldest scams around — the fake job interview that seeks only to harvest your personal and financial data — is on the rise, the FBI warns.

Gwin contacted KrebsOnSecurity after hearing from job seekers trying to verify the ad, which urged respondents to email Gwin at a Gmail address that was not his.

“The endgame was to offer a job based on successful completion of background check which obviously requires entering personal information,” Gwin said.

“I usually have six or seven interviews before getting a job,” Siegel said.

“Fake Job or Employment Scams occur when criminal actors deceive victims into believing they have a job or a potential job,” the FBI warned.

Even so, plenty of people willingly abandon a mobile number without considering the potential fallout to their digital identities when those digits invariably get reassigned to someone else.

“The moderate to high hit rates of our testing methods indicate that most recycled numbers are vulnerable to these attacks.

“On postpaid interfaces, Verizon already has safeguards and T-Mobile does not even support changing numbers online,” the researchers wrote.

While you’re at it, consider removing your phone number as a primary or secondary authentication mechanism wherever possible.

Many online services require you to provide a phone number upon registering an account, but in many cases that number …

So many readers had questions in response to the tweet that I thought it was worth a blog post exploring this one weird cyber defense trick.

Many security experts have pointed to connections between the DarkSide and REvil (a.k.a.

As we can see from the chart above, Syria is also exempted from infections by DarkSide ransomware.

The worst that could happen is that you accidentally toggle the language settings and all your menu options are in Russian.

“Being a virtual machine doesn’t stop malware like it used to,” James said.

The DarkSide ransomware affiliate program responsible for the six-day outage at Colonial Pipeline this week that led to fuel shortages and price spikes across the country is running for the hills.

The DarkSide message includes passages apparently penned by a leader of the REvil ransomware-as-a-service platform.

This is interesting because security experts have posited that many of DarkSide’s core members are closely tied to the REvil gang.

On Thursday, the administrator of the popular Russian forum XSS announced the forum would no longer allow discussion threads about ransomware moneymaking programs.

Intel 471 has observed that BitMix, a popular cryptocurrency mixing service used by Avaddon…

Microsoft today released fixes to plug at least 55 security holes in its Windows operating systems and other software.

While May brings about half the normal volume of updates from Microsoft, there are some notable weaknesses that deserve prompt attention, particularly from enterprises.

“That makes this bug wormable, with even Microsoft calling that out in their write-up,” said Dustin Childs, with Trend Micro’s ZDI program.

“This patch fixes a vulnerability that could allow an attacker to disclose the contents of encrypted wireless packets on an affected system,” he said.

One of the bugs is credited to Orange Tsai of the DEVCORE research team, who was responsible for disclosing the ProxyLog…

Here’s a closer look at the DarkSide cybercrime gang, as seen through their negotiations with a recent U.S. victim that earns $15 billion in annual revenue.

DarkSide says it targets only big companies, and forbids affiliates from dropping ransomware on organizations in several industries, including healthcare, funeral services, education, public sector and non-profits.

When the victim counter-offered to pay just $2.25 million, DarkSide responded with a lengthy, derisive reply, ultimately agreeing to lower the ransom demand to $28.7 million.

Flashpoint assesses that at least some of the criminals behind DarkSide hail from another ransomware outfit called “REvil,” a.k.a.

Security firm Emsisof…

How much is your payroll data worth?

On its blog, Argyle imagines a world in which companies choose to integrate its application platform interface (API) and share their employee payroll data.

Some of you may be thinking, “How many of us actually know or have our payroll passwords?” According to Argyle, plenty of people do.

Here’s a graphical look at the various websites mentioned here and their ties to Argyle’s API (click to enlarge):One of the sites in that graphic above that’s connected to Argyle’s API — workerresearchalliances[.

KrebsOnSecurity contacted multiple high-level sources at major companies whose login pages are shown in these payroll connect programs running on Argyle’s platf…

Sources tell KrebsOnSecurity that Davies/Bernard is now posing as John Cavendish and head of a new “private office” called Hempton Business Management LLP.

John Davies is a U.K. man who absconded from justice before being convicted on multiple counts of fraud in 2015.

Davies’ fraud convictions stemmed from a series of U.K. companies he set up supposedly to help troubled companies reorganize their debt and turn things around.

“I have never had any dealings with a John Clifton Davies or John Bernard.

In my first report on John Davies, I noted that before becoming John Bernard he previously used the pseudonym “Jonathan Bibi” with an address in the offshore company haven of Seychelles.

The head of the UK’s National Cyber Security Centre has warned that ransomware has become the biggest threat to British people and businesses.

In its end-of-summit statement, the G7 explicitly called for no country to act as a safe harbour for ransomware operators:We also commit to work together to urgently address the escalating shared threat from criminal ransomware networks.

We call on all states to urgently identify and disrupt ransomware criminal networks operating from within their borders, and hold those networks accountable for their actions.

They are often enabled and facilitated by states acting with impunity.”Cameron is likely to be right that most ransomware attacks are the work…

Last week it was revealed that the world’s biggest meat supplier, JBS, had paid criminals $11 million worth of Bitcoin following a ransomware attack on its systems.

JBS USA today confirmed it paid the equivalent of $11 million in ransom in response to the criminal hack against its operations.

“This was a very difficult decision to make for our company and for me personally,” said Andre Nogueira, CEO, JBS USA.

“However, we felt this decision had to be made to prevent any potential risk for our customers.”I agree that for any company hit by a ransomware attack it’s a tricky dilemma.

Bad enough to have your systems probed by a ransomware gang like Revil.

All this and much more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault, joined this week by The Cyberwire’s Dave Bittner.

And don’t miss our featured interview with Dr Simon Wiseman, the CTO of Deep Secure.

Provision employees using trusted systems, respond quickly to domain breach reports, and offer every business user a free 1Password Families account for work-from-home security.

Find out more and try 1Password free for 14 days at 1Password.com 1password.comSponsor: Deep Secure Deep Secure Threat Removal takes incoming poisoned Word documents, boobytrapped PowerPoint slides and the like, a…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Cybercriminals are running an online competition offering big prizes to anyone who believes they have found an unusual way to help crooks steal cryptocurrency.

A contest like this run by a cybercrime forum aims to do the opposite.

A prize fund of $100,000 was announced for those who win the competition, with an additional $15,000 being offered by a member of the forum.

In this particular competition, $10,000 is being offered from the prize pool for the “best research”, but seemingly anyone submitting a paper will receive at least $50.

In the past hacking forums have run similar competitions calling for papers on topic such as ATM fraud and mobile botnets.

The Conti ransomware gang has successfully managed to extort millions of dollars out of an organisation once again.

What’s notable on this occasion is that the Conti group’s corporate victim is ExaGrid, a backup company.

And according to reports, last month it shelled out $2.6 million worth of ransom in Bitcoin, after having had its systems encrypted and 800GB exfiltrated from its servers.

ExaGrid is not just any old backup storage service company.

But recovering from a secure backup is not the only consideration when deciding whether to pay a ransom or not.

The majority of enterprise data breaches are still tied to weak password and secrets management habits among employees.

1Password’s new white paper highlights these and other findings to illustrate how password management software is a top-level consideration for IT departments to close security gaps and help protect company and customer data.

Enterprise password management is no longer seen as just an added convenience, but an integral part of your security stack.

More than 80,000 businesses, including 25% of the Fortune 100, use 1Password to help employees create, store, and share their secrets and stay alert of any compromised information.

Download the white paper now to learn why all bu…

All this and more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault.

Hosts:Graham Cluley – @gcluleyCarole Theriault – @caroletheriaultShow notes:Sponsor: 1Password Around 80% of business data breaches result from weak or reused passwords.

Using 1Password can close the gaps in your company’s security, combat shadow IT, and help your employees stay both productive and secure, wherever they are.

Provision employees using trusted systems, respond quickly to domain breach reports, and offer every business user a free 1Password Families account for work-from-home security.

Follow the show:Follow the…

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

The world’s largest meat supplier, JBS, says that it has suffered a cyber attack against its IT systems in North America and Australia impacting its ability to “process” thousands of cattle, sheep, and pigs.

The security incident, first spotted on Sunday, has not been officially confirmed to a be a ransomware attack – but I think anyone hearing the news would not be surprised if a ransomware gang was to blame.

According to the Financial Times “up to 7,000 workers” have been stood down in Australia by the company as it is currently unable to operate its abattoirs.

The company’s backup servers were not affected, and it is actively working with an Incident Response firm to restore its systems …

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Join me, and a panel of experts, as we review the newest ransomware strains, analyse tactics to detect, terminate and recover from ransomware attacks, and build a checklist you can use as the foundation of your own comprehensive ransomware prevention plan.

I’ll be joined by experts from Acronis including Candid Wuest, as we take a close look at ransomware attacks, and how to counter them.

Analyze the most effective ways to deploy people, process and technology to detect, terminate and recover from ransomware attacks, including the application of artificial intelligence, automation and integration to your cybersecurity stack.

Build a checklist you can use to build your own ransomware prevent…

Pei had connected IFTTT to his Twitter account, presumably to automate the posting of some tweets.

But it does mean that you need to connect IFTTT to your Twitter account, granting it posting permissions.

And that’s why it’s so important that you are careful about which third-party apps, if any, you connect to your social media accounts.

For instance, it appears that it was Carl Pei’s IFTTT account that was compromised.

All too often you will find that you may have left a third-party app linked to your account which you may no longer use, or no longer trust.

В конце мая на Reddit появился пост пользователя Legitamasterr с описанием оригинальной схемы мошенничества на аукционе World of Warcraft Classic.

Игрок хотел купить стак [Темпоральный манипулятор] за 66 золотых, но в итоге с его персонажа списали более 11 тысяч монет.

Что такое модификации интерфейса в World of Warcraft (и зачем они нужны)Модификации (в просторечии — аддоны) — полезная и подчас незаменимая штука в World of Warcraft.

Поэтому прежде чем подтвердить любую операцию, подождите лишние пару секунд и внимательно проследите за тем, что и за сколько покупаете.

Есть вероятность, что вы не только предупредите других игроков, но и вернете золото, как и произошло в случае Legitamasterr.

В очередной раз мы бы хотели обратить ваше внимание на признаки мошенничества, которые позволят вам оставаться в безопасности.

Фишинговое письмоПо большому счету, письмо просто представляет собой картинку на белом фоне (это помогает ей сливаться с интерфейсом почтового клиента).

На картинке вам, разумеется, не удастся выделить слово, а при изменении масштабирования окна длина строк «письма» останется постоянной.

Если бы это был реальный сайт Microsoft, то он бы располагался на одном из доменов компании.

Как оставаться в безопасностиНормальное защитное решение определяет, фишинговое письмо или нет, на основании множества факторов, а не только путем анализа текста.

И вот нам попался пример, который отлично иллюстрирует, почему: через совсем неофициальные источники мошенники распространяют банковский троян под видом популярных медиаплееров, приложений для фитнеса и чтения, а также… Kaspersky Internet Security для Android.

Среди прочего там был и поддельный Kaspersky Internet Security для Android.

Лучше вообще отключить возможность установки приложений не из официальных источников, благо в Android такая функция предусмотрена.

Ну и используйте настоящий антивирус, благо у Kaspersky Internet Security для Android есть полностью бесплатная версия, так что нет никакого смысла пытаться скачивать ее из сторонних источников.

Вы можете найти наш антивирус как в …

Поддельные моды для Minecraft: предысторияНекоторое время назад мы обнаружили в Google Play более 20 приложений, которые позиционировались как каталоги модов для Minecraft, но на самом деле превращали смартфон или планшет установившего их пользователя в инструмент для крайне навязчивого показа рекламы.

Также по команде своих создателей приложения могли показывать определенные ролики с YouTube, страницы приложений в Google Play и так далее.

Новые версии вредоносных приложенийРазумеется, это далеко не первый случай присутствия целых массивов вредоносных приложений в Google Play.

Помня об этом, мы решили посмотреть, помогло ли удаление вредоносных модпаков для Minecraft из Google Play решить п…

Технологии поведенческого детектирования угроз и обнаружения эксплойтов в Kaspersky Endpoint Security для бизнеса выявили волну целевых атак при помощи цепочки эксплойтов нулевого дня.

В атаках использовались уязвимости в браузере Google Chrome и операционной системе Microsoft Windows.

Чем опасны атаки PuzzleMakerЧерез уязвимость в веб-браузере Google Chrome злоумышленники исполняют вредоносный код на машине жертвы, затем при помощи двух уязвимостей в Windows 10 покидают «песочницу» и получают системные привилегии.

Если вам интересно, как и почему они пришли к этому выводу, можете ознакомиться с ходом их рассуждений в посте на блоге Securelist.

Эксплойт повышения привилегий использует сразу…

Kaspersky Password Manager может сделать для вашей безопасности значительно больше.

Просто генерируйте для каждого сайта новый, и Kaspersky Password Manager запомнит их все за вас.

В целом есть несколько вариантов, как можно создать хороший мастер-пароль:Сгенерировать комбинацию случайных символов в том же Kaspersky Password Manager и как следует ее заучить.

Теперь вы используете все возможности Kaspersky Password Manager.

Вот как сделать свои пароли надежнее с Kaspersky Password Manager:

Тонкая настройка уведомлений в macOSКак отключать уведомления через «Центр уведомлений» в macOS Big SurЕсли вы пользуетесь Big Sur, то можете отключать уведомления от самых надоедливых программ непосредственно через Центр уведомлений.

Настройки уведомлений — откроется меню Системные настройки, где вы можете настроить формат уведомлений от приложения так, как вам нравится.

Как отключить уведомления от браузеров в macOSОповещения от браузеров могут отвлекать даже сильнее, чем чаты с друзьями.

Вот как избавиться от назойливых уведомлений в Safari от новостных ресурсов и других сайтов.

Для этого зайдите в Системные настройки, затем нажмите на раздел Уведомления и в пункте Не беспокоить задайте …

А между тем они нередко оказываются подключенными к той же сети, что и корпоративные рабочие станции.

То есть получается, что устройства, с одной стороны, подключены к корпоративной сети, а с другой — торчат в Интернете.

Причем такие устройства могут использовать как для атак на саму компанию, так и для DDoS-атак третьей стороны.

Как обезопасить корпоративную сетьБезопасники не всегда уверены, следует ли им «защищать IoT девайсы в корпоративной сети» или скорее «защищать корпоративную сеть от IoT девайсов».

Наконец, для раннего выявления сложных атак, в ходе которых IoT используются для закрепления в сети и атак на другие системы, необходимо использовать решение класса EDR.

Создатели криптовалюты получают деньги на развитие, а покупатели цифровых монет надеются заработать на последующем росте курса — в этом ICO напоминает IPO (Initial Public Offering) на фондовом рынке.

Приправленный эмодзи текст призывает поучаствовать в новом раунде ICO в формате неограниченного размещения, который якобы проводит один из модных блокчейн-стартапов, реально существующих, — в нашем примере это Mina, но встречаются и другие.

Они предлагают инвесторам на всякий случай подождать три часа, и если монеты так и не придут, обратиться в поддержку.

Как не попасться на развод с ICOЧтобы не пополнить ряды жертв описанной схемы, следуйте простым правилам, уместным в любой ситуации.

В частн…

Managing the Real Threats to Remote Workers представили несколько вариантов атаки на рабочий компьютер через роутер, контроль над которым смогли заполучить злоумышленники.

Если обновления системы и грамотных настроек рабочего компьютера еще как-то можно добиться при помощи корпоративных политик безопасности, то домашний роутер корпоративным системным администраторам неподвластен абсолютно.

При этом следует помнить, что любой маршрутизатор — это по сути небольшой компьютер под управлением какой-нибудь разновидности Linux.

«Подставная» операционная системаЕще один хитрый сценарий атаки через захваченный роутер связан с эксплуатацией функции Preboot Execution Environment (PXE).

Кое-где предпоч…

Ведь код подтверждения в SMS или в приложении-аутентификаторе вы по понятным причинам не получите — телефон-то украли.

Добавьте смартфон в стоп-лист по IMEIВ некоторых странах можно не только заблокировать SIM-карту, но и внести украденный телефон в стоп-лист.

Если вы не выкинули коробку, в которой продавался телефон, и она у вас под рукой, то этот номер можно найти на ней.

Присмотрите себе временный телефон или возьмите дома запасной смартфон, если он у вас есть, чтобы не оставаться без связи.

Вот инструкции, как это сделать на Android и на iPhone.

Мы в этом посте ориентируемся на Android 11 в версии для Google Pixel как на максимально стандартную его реализацию.

Ну а в iPhone этот параметр находится в секции FaceID и код-пароль (или TouchID и код-пароль для iPhone 8 и версий постарше).

Перейдите в раздел Шифрование и учетные данные и нажмите Зашифровать данные.

Затем перейдите в раздел «Безопасность» в аккаунте Google или в приложение «Локатор» на iPhone или iPad и найдите смартфон в списке устройств.

Они пригодятся, если телефон украли в разблокированном состоянии и на нем есть конфиденциальная информация.

Изменение поведения мулов, связанное с пандемиейОдно из интересных наблюдений участников дискуссии заключается в том, что с начала пандемии коронавируса поведение мулов несколько изменилось.

Обман пользователя — мошенники втирались к человеку в доверие и рассказывали какую-нибудь слезливую историю про необходимость срочного перевода денег на лечение и невозможность использования собственного счета из-за просроченного кредита.

Вербовка добровольных помощников в Интернете (в этом случае мул знал, что его счет используется для противоправных действий, и получал за это определенный процент).

На самом деле, хотя мул и не причиняет непосредственного ущерба банку, иметь его своим клиентом все равн…

Именно о таком виде атак на ИИ автомобильных автопилотов, получившем название «фантомные атаки», рассказали исследователи из университетов Джорджии и Бен-Гуриона в ходе RSA Conference 2021.

Все дело в том, что в целях снижения вероятности ложного срабатывания, например из-за попадания грязи или мусора в объектив камеры или лидаров, разработчики намеренно внедрили порог срабатывания.

Экспериментально определенный исследователями порог реагирования автопилота Tesla почти в три раза больше — 400 мс, что на той же скорости прибавит почти семь метров.

Следовательно, полагают авторы исследования, такая атака может произойти внезапно — и прежде чем вы поймете, что произошло, дрона с проектором уже…

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

(Feed generated with FetchRSS)

Simultaneously secure and save with new 7.0 features and subscription modelsOrganizations rely on Cisco Secure Firewall Threat Defense Virtual (formerly FTDv/NGFWv), Cisco’s proven network firewall with IPS, URL filtering, and malware defense that protects virtualized environments in private and public clouds.

This includes two additional improvements for Secure Firewall Threat Defense Virtual: licensing enhancements that lower consumption cost, plus a much larger virtual appliance option, FTDv100, that provides increased performance with a 16-core CPU configuration.

Licensing enhancementsThe capabilities of our virtual firewall offerings can be cost-effectively consumed with a new, flexibl…

I’m delighted to announce the latest member of my CISO Advisors team, Bruce Brody.

He was the first executive-level CISO at the Departments of Veterans Affairs and Energy, and has had more recent success as CISO at Cubic Corporation and DRS Technologies.

What are you looking forward to in your role as CISO Advisor at Cisco?

Aside from your desire to give back, what are the other things that you’re looking forward to, with this new CISO Advisor role within Cisco?

If you would like to speak to Bruce, and/or join our CISO community, please visit our dedicated CISO Connections page.

When SecureX was launched, we had several turnkey partner integrations into SecureX, like the Splunk add-on and QRadar extension.

This add-on enables SecureX threat response investigations to access telemetry that has been generated by the AnyConnect Network Visibility Module.

IBM X-Force ExchangeIBM X-Force Exchange integration in SecureX enables an investigator to query X-Force Exchange for observables (IP, IPV6, Domain, URL, MD5, SHA1, SHA256) and return verdicts to SecureX threat response, based on the Risk Score.

Bastille NetworksRadio frequency (RF) network and device data collected by Bastille Networks are available in SecureX threat response as an integrated source.

SecureX threat r…

Read Me FirstAs a network and workload security strategy leader, I spend a lot of time thinking about the future of the good old network firewall.

Insert Your Firewall HereFor starters, the network firewall (or network security in general) term is somewhat misleading.

Depending on whether the firewall protects a client or a server, full TLS decryption may or may not be possible.

If these application connections would not come close to the firewall, maybe the firewall can bring itself closer to those connections.

Phoenix of Security WorldA network firewall has seen many recent challenges with both insertion and visibility, but its true next generation is about to rise again.

Today, we are driving simplified security to your hyperconverged infrastructure (HCI), delivering support for Cisco Secure Firewall Threat Defense Virtual (formerly FTDv/NGFWv) on Cisco HyperFlex.

Secure Firewall Threat Defense Virtual protects workloads as small as 2-node HyperFlex Edge Clusters to large HyperFlex Datacenter Clusters, spanning dozens of converged and compute-only nodes.

With Secure Firewall Threat Defense Virtual, you get consistent security everywhere, centralized management and deep visibility, world-class threat intelligence, and more.

To learn more about how Secure Firewall Threat Defense Virtual can secure your organization’s data center, public, and private clouds, s…

Today, Cisco is giving you that power by expanding the support of Cisco Secure Firewall Threat Defense Virtual (formerly FTDv/NGFWv) to Nutanix AHV.

If you are running Nutanix AHV in your environment, Secure Firewall Threat Defense Virtual reduces the amount of time needed to manage security, bringing the most comprehensive platform approach to your security stack.

If you are already taking advantage of Secure Firewall Thread Defense Virtual, you can now run your appliance in Nutanix AHV.

This allows you to augment security policy using Nutanix Flow policy in addition to Secure Firewall Threat Defense Virtual’s network layer security capabilities.

Learn MoreCisco Secure Firewall Threat Defe…

When looked at holistically, a strong security strategy can be an asset that helps companies reach their overall business objectives.

Diving deeper, though, the Security Outcomes Study emphasizes that prompt disaster recovery in particular can have a crucial impact on midsize businesses.

And when these events do happen, the relative impact on midsize companies is much greater than on larger companies.

Next StepsTo learn more about how midsize companies are executing and investing in cybersecurity strategy, read the full Security Outcomes Study for SMBs.

To help you build a comprehensive security strategy for your business, take a look at the Midsize Cybersecurity Playbook.

In Part One of the Cisco TrustSec Policy Analytics blog series, Samuel Brown addressed some of the challenges related to designing group-based security policies and introduced one of the new feature sets of Cisco Secure Network Analytics – TrustSec Analytics reports.

In the years since, I’ve worked with customers like our above CISO to build effective segmentation policies by leveraging the visibility provided by Secure Network Analytics.

The TrustSec Analytics report, seen below, helps to show you the answers before you ask the question.

Stay tuned for TrustSec Policy Analytics – Part Three, which will address policy validation.

Don’t have Secure Network Analytics?

Cisco Secure Firewall protects hundreds of thousands of networks and Snort IPS has over a million deployments around the world.

With the Firewall Threat Defense 7.0 release, the Cisco Secure Firewall and SecureX integration has three significant new enhancements that drive security efficiency:The power of SecureX Most apparent, the SecureX ribbon is incorporated into the Firewall Management Center (FMC) user interface.

Now, the SecureX Security Services Exchange (SSE) acts as an API gateway, enabling SecureX Orchestrator to invoke FMC API calls.

Now, the SecureX Security Services Exchange (SSE) acts as an API gateway, enabling SecureX Orchestrator to invoke FMC API calls.

Ask a Question, Co…

Today I’m here with Ajit Thyagarajan who is responsible for the architecture of the Cisco Telemetry Broker.

Ajit: It has been incredible collaborating with the Sales and Customer Success folks to hone the features of the Cisco Telemetry Broker.

TK: I have seen that architects really love Cisco Telemetry Broker and the concept infrastructure that solves all of their telemetry routing.

I heard one customer say, “I can finally treat all my telemetry for the enterprise as code!” Without spilling too much, what is next for Cisco Telemetry Broker?

TK: It has been a real pleasure interviewing you and even more of a pleasure working with you on Cisco Telemetry Broker!

We are very excited to announce new Secure Network Analytics features!

When workers eventually turn their AnyConnect VPNs back on, the Network Visibility Module will phone home and send logs of all their user activities back to Secure Network Analytics.

The Cisco Telemetry BrokerThe Cisco Telemetry Broker (CTB) further expands Secure Network Analytics’ data collection capabilities by ingesting network telemetry from various sources, transforming the data format into IPFIX records, and then forwarding that telemetry to Secure Network Analytics.

For example, CTB can ingest on-premises network telemetry, including NetFlow, Syslog, IPFIX, and cloud-based telemetry sources, such as AWS VPC Flow …

Snort 3 will also be a key feature in the upcoming release 7.0 of the Cisco Secure Firewall (formerly Firepower).

You may be asking, “why spend so much effort changing the code, isn’t Snort 2 working?” To answer this, we need to look back at some Snort history.

These include better multi-pattern search engines (MPSE), the fast pattern matcher, rule trees, and other tweaks to improve deep packet inspection efficiency.

Think of Snort 3 as “deep flow inspection” as opposed to deep packet inspection.

Snort 3 does virtually everything faster and better than Snort 2 without making users re-learn what they already know about network detection.

We are very excited to announce new Secure Network Analytics features!

When workers eventually turn their AnyConnect VPNs back on, the Network Visibility Module will phone home and send logs of all their user activities back to Secure Network Analytics.

The Cisco Telemetry BrokerThe Cisco Telemetry Broker (CTB) further expands Secure Network Analytics’ data collection capabilities by ingesting network telemetry from various sources, transforming the data format into IPFIX records, and then forwarding that telemetry to Secure Network Analytics.

For example, CTB can ingest on-premises network telemetry, including NetFlow, Syslog, IPFIX, and cloud-based telemetry sources, such as AWS VPC Flow …

To achieve these goals, they often choose the hybrid cloud infrastructure approach, choosing different infrastructure environments to deploy different types of applications.

Cisco ACI multi-site orchestrator (MSO) provides a seamless way to interconnect multiple cisco ACI data centers.

Figure 1 above shows the overall high-level architecture of Cisco Cloud ACI with Cisco ACI Multi-Site Orchestrator acting as a central policy controller, managing policies across on-premises Cisco ACI data centers, as well as Azure environment with each cloud site being abstracted by its own Cloud APICs.

NOTE: Granular and accurate mapping between these two network policy models is crucial to ensure the corre…

Cisco Secure Workload (agent-based) and Cisco Secure Firewall (network-based) have teamed up to create a unified segmentation layer that combines the benefits of both approaches while simultaneously reducing or removing many of the drawbacks typically associated with their standalone methods.

Policies are simulated to ensure correctness, optimized to fit into workloads and firewalls, then pushed in parallel to hosts (through the Secure Workload agent) and the network (through Secure Firewall Management Center).

(2) Firewall Management Center (FMC)The FMC is the intermediary between Secure Workload and Secure Firewall and receives dynamic updates with the latest set of policies to enforce.

E…

To kick off National Cybersecurity Awareness Month, I spoke with Bret Arsenault on a recent episode of Afternoon Cyber Tea with Ann Johnson.

He is the chair of Microsoft’s Risk Management Council and has directed Microsoft’s crisis management in the wake of COVID-19.

Before the pandemic, cybersecurity incidences had doubled every year for five years.

What’s nextA new season of Afternoon Cyber Tea with Ann Johnson launches today featuring Admiral (RET) Mike Rogers, Former Head of United States Cyber Command, discussing the recent cyberattacks on the US supply chain and what we can do to stop them!

To learn more about Microsoft Security solutions, visit our website.

Microsoft 365 Defender researchers recently uncovered and disrupted a large-scale business email compromise (BEC) infrastructure hosted in multiple web services.

Initial access via phishingUsing Microsoft 365 Defender threat data, we correlated the BEC campaign to a prior phishing attack.

Sample suspicious email forwarding activity alert in Microsoft Defender for Office 365Signals from Microsoft Defender for Office 365 informs Microsoft 365 Defender, which correlates cross-domain threat intelligence to deliver coordinated defense.

Stop attacks through automated, cross-domain security and built-in AI with Microsoft Defender 365.

Stefan Sellmer, Microsoft 365 Defender Research TeamNick Carr, …

Natalia: What is a purple team, and how does it bridge red and blue teams?

Purple teams can replace red and blue teams, and they’re more cost-effective for smaller organizations.

If you’re a big conglomerate, you might want to consider having a blue team, a red team, and a purple team.

Purple teams work on both improving knowledge of the attacks an organization faces and building better defenses to defeat them.

Purple teams are typically constructed as an internal resource, which can reduce reaching out to external experts for advice.

As a specialist team within the wider Microsoft cybersecurity functions, we predominantly focus on reactive security projects for our customers.

The main types of projects we undertake are:Compromise recovery: Giving customers back control of their environment after a compromise.

We can work within a customer’s existing security processes to help improve internal security capabilities and trust.

How do we help customers?

Learn moreTo learn more about Microsoft Security solutions, visit our website.

Now, you can get both detection and prevention in the form of an easy-to-deploy Azure Firewall solution for Azure Sentinel.

Azure Sentinel and Azure Firewall: Better togetherThe seamless integration of Azure Firewall and Azure Sentinel enables security operations with three key capabilities:Monitoring and visualizing Azure Firewall activities.

You can find it in the “Solutions” blade in your Azure Sentinel workspace, called the “Azure Firewall Solution for Azure Sentinel.”Figure 1: Azure Sentinel solutions preview.

Monitoring and visualizing Azure Firewall activitiesThe Azure Firewall workbook allows you to visualize Azure Firewall events.

Learn moreIn addition to the Azure Firewall solutio…

On Thursday, June 3, 2021, via a joint press release on Microsoft Stories, Hart InterCivic and Microsoft have announced a partnership to incorporate ElectionGuard software developed by Microsoft into Hart’s Verity voting systems.

The partnership makes Hart the first major voting machine manufacturer in the United States to provide end-to-end verifiability to voters, giving individual voters the ability to confirm their ballots were counted in an election and not altered.

End-to-end verifiability also enables independent election security experts to build verifier programs that can independently confirm the accuracy of the overall vote count for elections that incorporate ElectionGuard softw…

Jules also advocates for greater diversity and inclusion in the cybersecurity industry.

Until people in the cybersecurity industry are all-in to that extent, there won’t be much change.

To learn steps to take that show your company cares about becoming more diverse and solving business problems, listen to Afternoon Cyber Tea with Ann Johnson: Fortifying security strategies with a cyber mindset on Apple Podcasts or Podcast One.

What’s nextA new season of Afternoon Cyber Tea with Ann Johnson will launch on June 15, 2021.

You can listen to Afternoon Cyber Tea with Ann Johnson on:Apple Podcasts: You can also download the episode by clicking the Episode Website link.

How FileWall integrates with Microsoft security technologyodix’s FileWall solution was created from square one to fully integrate with the Microsoft Graph Security API, Microsoft Azure Sentinel, and Exchange Online.

Protecting emails: FileWall’s granular type filterThe FileWall file type filter allows the Microsoft 365 system admin to define which file types are permitted to enter the organization and which should be blocked.

This minimizes the attack surface the organization is exposing via email by eliminating the threat vectors available in certain file types.

The type filter has three main controls:On/Off: Enabling or disabling the filter functionality on all file types.

Work mode (Whit…

Depending on the granularity and character of data collected, smart meter data can be disaggregated to reveal private information:Figure 2: Using hidden Markov models to produce an appliance disaggregation.2Electric meter data was generally not a focus of privacy concern prior to smart meters.

Many of the same regulations and standards that cover PII in general apply to smart meter information.

These include General Data Protection Regulation (GDPR), California Consumer Privacy Act, Canada’s Personal Information Protection and Electronic Documents Act (PIPEDA), Brazil’s General Data Protection Act (LGPD), and many other established and emerging privacy regimes.

Microsoft Information Protect…

This is where ReFirm Labs comes in.

Microsoft will enhance chip-to-cloud protection with ReFirm LabsWe are excited to announce that ReFirm Labs is joining Microsoft to enrich our firmware analysis and security capabilities across devices that form the intelligent edge, from servers to IoT.

The addition of ReFirm Labs to Microsoft will bring both world-class expertise in firmware security and the Centrifuge firmware platform to enhance our ability to analyze and help protect firmware backed by the power and speed of our cloud.

We are thrilled to take this next step with ReFirm Labs to proactively address what is already becoming the next big attack surface, firmware.

Learn moreTo learn more …

In this blog, Chris introduces operational technology (OT) security and shares the unique challenges and security risks to OT.

Natalia: What’s the difference between OT, industrial control systems (ICS), and supervisory control and data acquisition (SCADA)?

Supervisory control and data acquisition, or SCADA, is a specific type of industrial control system that enables organizations to monitor and control OT equipment across a wide geographic area.

If you connect control systems to something that’s eventually connected to the internet—it might have firewalls or it might not.

A lot of the attacks were more effective because the organizations didn’t have any segmentation between control system…

In this blog, we highlight four tools representing a unique infection chain utilized by NOBELIUM: EnvyScout, BoomBox, NativeZone, and VaporRage.

This methodology may circumvent static analysis of known malicious file types by obscuring them within dynamically altered content upon execution.

Since our last publication, we have identified additional variants of NOBELIUM’s custom Cobalt Strike loaders.

In the succeeding sections, we discuss some of the new NativeZone Cobalt Strike Beacon variants we have observed in our investigation.

A ‘dev’ username was previously observed in the PDB path of a NOBELIUM Cobalt Strike loader mentioned in our previous blog: c:\build\workspace\cobalt_cryptor_far…

Microsoft is issuing this alert and new security research regarding this sophisticated email-based campaign that NOBELIUM has been operating to help the industry understand and protect from this latest activity.

Spear phishing campaign delivers NOBELIUM payloadsThe NOBELIUM campaign observed by MSTIC and detailed in this blog differs significantly when compared to NOBELIUM operations that ran from September 2019 until January 2021, which included the compromise of the SolarWinds Orion platform.

On May 25, the NOBELIUM campaign escalated significantly.

]com/d/A malicious ISO file is then delivered to the target’s computer.

ExecutionT1610 Deploy Container—Payload is delivered via an ISO file …

We believe verifiable credentials will revolutionize the way we exchange personal information, shifting ownership and control of identity and personal data back to individuals.

Alex: Frank, you’ve been working on some of the coolest stuff in the division.

Alex: I’ve really enjoyed watching how many different iterations of the design you’ve gone through.

Video 3: Frank explains what a “ceremony” is as part of the user experience and why they are so important.

And I’m looking forward to all the new things that we’re going to learn while Azure Active Directory (Azure AD) verifiable credentials is in preview.

Before introducing Rust into the Android Open Source Project (AOSP), we needed to demonstrate that Rust interoperability with C and C++ is sufficient for practical, convenient, and safe use within Android.

While both Rust and C++ support using the C ABI, it is not sufficient for idiomatic usage of either language.

While making Rust functions callable from C++ is a goal, this analysis focuses on making C++ functions available to Rust so that new Rust code can be added while taking advantage of existing implementations in C++.

Types are extracted by running objdump on shared libraries to find external C++ functions they use1 and running c++filt to parse the C++ types.

Instead of using cxx it …

Supply chains that use systems like Tekton are more secure.

Secure delivery pipeline through chains and provenanceSo how do these two design decisions combine to make supply chain security easier?

Enter Tekton Chains.

The full documentation is available So how do these two design decisions combine to make supply chain security easier?

Install Tekton Chains into your cluster:

We invite our top abuse researchers to the program.

We award grants immediately before research begins, no strings attached.

Bug Hunters apply for the targets we share with them and start their research.

On top of the grant, researchers are eligible for regular rewards for the bugs they discover in scope of our Bug Bounty program.

Their contributions resulted in +1,000 valid bugs, helping us raise the bar in combating product abuse As a result of this continued success, today we are announcing a new experimental Abuse Research Grants Program in addition to the already existing Vulnerability Research Grants .

In 2020 we launched Enhanced Safe Browsing, which you can turn on in your Chrome security settings, with the goal of substantially increasing safety on the web.

As a result, Enhanced Safe Browsing users are successfully phished 35% less than other users.

Chrome extensions - Better protection before installationEvery day millions of people rely on Chrome extensions to help them be more productive, save money, shop or simply improve their browser experience.

Enhanced Safe Browsing will now offer additional protection when you install a new extension from the Chrome Web Store.

Any extensions built by a developer who follows the Chrome Web Store Developer Program Policies, will be considered tr…

Integrating security into your app development lifecycle can save a lot of time, money, and risk.

That’s why we’ve launched Security by Design on Google Play Academy to help developers identify, mitigate, and proactively protect against security threats.

The course Introduction to app security best practices takes these protections one step further by helping you take advantage of additional security features to build into your app.

In the next course, you can learn how to integrate security at every stage of the development process by adopting the Security Development Lifecycle (SDL).

Sign up for the Security by Design module where in a few short courses, you will learn how to integrate se…

Google has been working with JEDEC , an independent semiconductor engineering trade organization, along with other industry partners, in search of possible solutions for the Rowhammer phenomenon.

Much like speculative execution vulnerabilities in CPUs, Rowhammer is a breach of the security guarantees made by the underlying hardware.

As an electrical coupling phenomenon within the silicon itself, Rowhammer allows the potential bypass of hardware and software memory protection policies.

However, in 2020, the TRRespass paper showed how to reverse-engineer and neutralize the defense by distributing accesses, demonstrating that Rowhammer techniques are still viable.

However, with Half-Double, we…

This post discusses some of the key design considerations and resulting decisions we made in integrating Rust support into Android’s build system.

indirectly through Cargo, Soong would have no understanding of how the (the Cargo build file) would influence the commands Cargo emits to .

These are relied upon by source code, are unavoidable for third-party dependencies, and are useful enough to define and use within our platform code.

("/path/to/hello.rs");The Rust community depends on build.rs scripts alongside assumptions about the Cargo build environment to get around this limitation.

When building, the cargo command sets an OUT_DIR environment variable which build.rs scripts are expected …

To start signing distroless we integrated cosign into the distroless CI system, which builds and pushes images via Cloud Build.

Signing every distroless image was as easy as adding an additionalRight now, cosign can be run as an image or as a CLI tool.

Signing every distroless image was as easy as adding an additional Cloud Build step to the Cloud Build job responsible for building and pushing the images.

This additional step uses the cosign container image and a key pair stored in GCP KMS to sign every distroless image.

This problem isn’t unique to distroless images – until now, there just hasn’t been an easy way to verify that images are what they claim to be.

Chrome 90 for Windows adopts Hardware-enforced Stack Protection, a mitigation technology to make the exploitation of security bugs more difficult for attackers.

Below we describe some exploitation techniques that are mitigated by stack protection, discuss its limitations and what we will do next to approach them.

Stack protection enforces the reverse-edge of the call graph but does not constrain the forward-edge.

Debugging TipsYou can see if Hardware-enforced Stack Protection is enabled for a process using the Windows Task Manager.

Open task manager, open the Details Tab, Right Click on a heading, Select Columns & Check the Hardware-enforced Stack Protection box.

Additionally, in 2020, Google Play Protect scanned over 100B installed apps each day for malware across billions of devices.

COVID-19 apps requirements: To ensure public safety, information integrity and privacy, we introduced specific requirements for COVID-19 apps.

Election support: We created teams and processes across Google Play focused on elections to provide additional support and adapt to the changing landscape.

Our machine-learning detection capabilities and enhanced app review processes prevented over 962k policy-violating app submissions from getting published to Google Play.

We look forward to building an even better Google Play experience.

According to eMarketer, in 2020 users spent over three and a half hours per day using mobile apps.

With so much time spent on mobile devices, ensuring the safety of mobile apps is more important than ever.

Despite the importance of digital security, there isn’t a consistent industry standard for assessing mobile apps.

Over 20 industry stakeholders, including Google, Amazon, and a number of certified labs such as NCC Group and Dekra, as well as automated mobile app security testing vendors like NowSecure collaborated to develop this new security standard for mobile apps.

The standard also serves as a guiding light to inspire more developers to invest in mobile app security.

We joined the Rust for Linux organization, where the community had already done and continues to do great work toward adding Rust support to the Linux kernel build system.

Let’s get into a few examples of how Rust can assist kernel developers in writing drivers that are safe and correct.

fn ioctl ( & self , file: &File, cmd: & mut IoctlCommand ) -> KernelResult< i32 > { cmd.dispatch( self , file) } impl IoctlHandler for FileState { fn read ( & self , _file: &File, cmd: u32 , writer: & mut UserSlicePtrWriter ) -> KernelResult< i32 > { match cmd { IOCTL_GET_READ_COUNT => { writer.write( & self .read_count .load(Ordering::Relaxed))?

In the C example above, and in are protected by , but there i…

Correctness of code in the Android platform is a top priority for the security, stability, and quality of each Android release.

The Android OS uses Java extensively, effectively protecting large portions of the Android platform from memory bugs.

Lower levels of the OS require systems programming languages like C, C++, and Rust.

In comparison, the Rust compiler assists in avoiding stray mutability annotations by offering warnings for mutable values which are never mutated.

In comparison, the Rust compiler assists in avoiding stray mutability annotations by offering warnings for mutable values which are never mutated.

StrongBox is an implementation of the Keymaster HAL that resides in a hardware security module.

It is an important security enhancement for Android devices and paved the way for us to consider features that were previously not possible.

Most modern phones now include discrete tamper-resistant hardware called a Secure Element (SE).

In order to accelerate adoption of these new Android use cases, we are announcing the formation of the Android Ready SE Alliance.

Please visit our Android Security and Privacy developer site for more info.