Кибербезопасность
👉 от %username%
Подборка ресурсов по кибербезопасности
На русском 🇷🇺
Securitylab Securitylab
последний пост 1 час назад
С февраля в Сеть утекли данные 8 млн клиентов сервисов доставки еды
С февраля в Сеть утекли данные 8 млн клиентов сервисов доставки еды С февраля в Сеть утекли данные 8 млн клиентов сервисов доставки еды

С февраля в Сеть утекли данные 8 млн клиентов сервисов доставки едыAlexander AntipovЦифры без учёта последнего случая с Delivery Club, который, по версии специалистов, может оказаться рекордным.

Сервис разведки утечек данных и мониторинга даркнета DLBI рассказал РБК, что с февраля этого года в Сеть утекли данные более 8 млн российских пользователей различных сервисов доставки еды.

Первое место занимает инцидент с утечкой из сервиса «Яндекс.Еда», произошедший в марте — более 6,8 млн пользователей.

DLBI не учитывала данные клиентов Delivery Club — эта информация попала в открытый доступ 20 мая.

Каков реальный объём клиентских данных во всей базе, сказать сложно, так как экстраполяция доли уни…

1 час назад @ securitylab.ru
В России разрешат использовать музыку и фильмы правообладателей, прекративших работать в стране
В России разрешат использовать музыку и фильмы правообладателей, прекративших работать в стране В России разрешат использовать музыку и фильмы правообладателей, прекративших работать в стране

В России разрешат использовать музыку и фильмы правообладателей, прекративших работать в странеAlexander AntipovЛицензионные платежи будут вноситься на рублевый счет зарубежного правообладателяРоссийские власти разрабатывают временный порядок внесения платежей по контрактам с правообладателями, прекратившими работу в стране.

Платить нужно будет в том числе за объекты интеллектуальной собственности, использование которых в России запретили сами зарубежные правообладатели, пишут «Ведомости».

Такие платежи будут осуществляться даже за те объекты интеллектуальной собственности, использование которых на территории России запретили после начала спецоперации сами зарубежные правообладатели.

Предпо…

2 часа назад @ securitylab.ru
В психбольнице при СИЗО "Бутырка" незаконно добывали криптовалюту
В психбольнице при СИЗО "Бутырка" незаконно добывали криптовалюту В психбольнице при СИЗО "Бутырка" незаконно добывали криптовалюту

В психбольнице при СИЗО "Бутырка" незаконно добывали криптовалютуAlexander AntipovОборудование для майнинга успешно и эффективно работало до февраля этого годаВ филиале психиатрической больницы, расположенной в московском следственном изоляторе №2 «Бутырская тюрьма», незаконно добывали криптовалюту.

По версии следствия, в ноябре 2021 года Цыганов вместе с «неустановленными лицами» установил в психбольнице «технические средства, осуществляющие добычу криптовалюты».

Оборудование работало до февраля 2022 года: за этот период на майнинг потратили 8379,45 кВт электроэнергии стоимостью 62175 рублей 52 копейки.

Следователи считают, что офицер вместе с подельниками в ноябре 2021 года установил аппа…

2 часа назад @ securitylab.ru
Безопасность сети: советы от бывалых из «Айдеко»
Безопасность сети: советы от бывалых из «Айдеко» Безопасность сети: советы от бывалых из «Айдеко»

Безопасность сети: советы от бывалых из «Айдеко»Alexander AntipovПриглашаем на стрим с разработчиками компании «Айдеко», посвященный безопасности сети и возможностям Ideco UTM.

Коллеги, приглашаем вас на стрим с разработчиками компании «Айдеко», посвященный безопасности сети и возможностям Ideco UTM.

Дата: 26.05.2022Начало: 11:15 мскПродолжительность: 1,5 часаНа каждом вебинаре мы получаем множество вопросов о возможностях и настройках Ideco UTM, сравнении с другими продуктами, вопросы по организации и обеспечению безопасности компаний в целом.

Не на все из них наши спикеры успевают ответить в эфире.

В программе:Ideco UTM: настройки, возможности и планы появления новых сервисовПочему беспла…

4 часа назад @ securitylab.ru
Вредоносный PyPI-пакет заражал бэкдором Windows-, Linux- и Darwin-системы
Вредоносный PyPI-пакет заражал бэкдором Windows-, Linux- и Darwin-системы Вредоносный PyPI-пакет заражал бэкдором Windows-, Linux- и Darwin-системы

Вредоносный PyPI-пакет заражал бэкдором Windows-, Linux- и Darwin-системыAlexander AntipovНазвание пакета напоминает PyKafka – популярный клиент Apache Kafka.

В PyPI обнаружен очередной вредоносный пакет, использующийся в атаках на цепочку поставок с конечной целью установить маячок Cobalt Strike или бэкдор на системы под управлением Windows, Linux и Darwin.

Скрипт определяет операционную систему хоста и в зависимости от ее типа (Windows, Linux или Darwin) извлекает совместимую полезную нагрузку, которая затем выполняется на системе.

Для Windows и Darwin полезная нагрузка представляла собой маячок Cobalt Strike, обеспечивавший удаленный доступ к зараженному устройству.

Они предоставляют уда…

12 часов назад @ securitylab.ru
Sandworm продолжает атаковать Украину
Sandworm продолжает атаковать Украину Sandworm продолжает атаковать Украину

Sandworm продолжает атаковать УкраинуAlexander AntipovАтаки были обнаружены и нейтрализованы государственными экспертами с помощью компаний ESET и Microsoft.

Эксперты по безопасности из ESET сообщили, что Sandworm продолжает проводить кибератаки против организаций в Украине.

В апреле Sandworm атаковал энергетические объекты Украины с помощью нового штамма вредоносного ПО Industroyer ICS (INDUSTROYER2) и новой версии вайпера CaddyWiper .

По данным CERT-UA, субъекты национального государства нацелились на высоковольтные электрические подстанции с помощью INDUSTROYER2, вариант, проанализированный исследователями, был адаптирован для целевых подстанций.

Однако атаки были обнаружены и нейтрализо…

12 часов назад @ securitylab.ru
Cisco исправила уязвимость нулевого дня в маршрутизаторах с ОС IOS XR
Cisco исправила уязвимость нулевого дня в маршрутизаторах с ОС IOS XR Cisco исправила уязвимость нулевого дня в маршрутизаторах с ОС IOS XR

Cisco исправила уязвимость нулевого дня в маршрутизаторах с ОС IOS XRAlexander AntipovЗлоумышленник может проэксплуатировать уязвимость, подключившись к установке Redis на открытом порту.

Компания Cisco исправила уязвимость нулевого дня в своих маршрутизаторах с ОС IOS XR, позволяющую неавторизованным злоумышленникам удаленно получать доступ к установкам Redis, запущенным в контейнерах NOSi Docker.

Под управлением операционной системы IOS XR работает множество маршрутизаторов Cisco, включая устройства серий NCS 540 и 560, NCS 5500, 8000 и ASR 9000.

Ранее в этом месяце Cisco стало известно об эксплуатации данной уязвимости в реальных хакерских атаках.

Администраторы также могут воспользовать…

1 день, 9 часов назад @ securitylab.ru
Российская DAG/DCAP-система «Спектр»: практические кейсы и сравнение с зарубежными аналогами
Российская DAG/DCAP-система «Спектр»: практические кейсы и сравнение с зарубежными аналогами Российская DAG/DCAP-система «Спектр»: практические кейсы и сравнение с зарубежными аналогами

Российская DAG/DCAP-система «Спектр»: практические кейсы и сравнение с зарубежными аналогамиAlexander AntipovНева-Автоматизация в партнёрстве с ITD Group и CyberPeak приглашают на вебинар, который состоится 24 мая в 11:00 (МСК).

Нева-Автоматизация в партнёрстве с ITD Group и CyberPeak приглашают вас и ваших коллег на обзорный вебинар "Российская DAG/DCAP-система «Спектр»: практические кейсы и сравнение с зарубежными аналогами", который состоится 24 мая в 11:00 (МСК).

На вебинаре мы продемонстрируем работу системы и покажем кейсы, интересные для сотрудников департаментов ИТ и ИБ.

Обзор и демонстрация возможностей системы “Спектр”, сравнение с продуктами зарубежных производителей (Varonis, Ne…

1 день, 12 часов назад @ securitylab.ru
Премьер министра Нидерландов обвинили в использовании старого телефона Nokia
Премьер министра Нидерландов обвинили в использовании старого телефона Nokia Премьер министра Нидерландов обвинили в использовании старого телефона Nokia

Премьер министра Нидерландов обвинили в использовании старого телефона NokiaAlexander AntipovВ парламенте считают что использование старого телефона ставит под угрозу национальную безопасность страны.

Марк Рютте столкнулся с необычным политическим и общественным давлением после того, как выяснилось, что он годами удалял текстовые сообщения по официальным вопросам.

Критики обвиняют его в сокрытии государственной деятельности, но он говорит, что сообщения просто занимали слишком много места в его старомодном телефоне Nokia.

Рютте пережил вотум недоверия в парламенте в четверг из-за удаленных текстовых сообщений, но оппозиционные партии призывают к дальнейшему расследованию.

Что они и сделали …

1 день, 12 часов назад @ securitylab.ru
В Перми осужден сисадмин за неправомерное воздействие на критическую инфраструктуру
В Перми осужден сисадмин за неправомерное воздействие на критическую инфраструктуру В Перми осужден сисадмин за неправомерное воздействие на критическую инфраструктуру

В Перми осужден сисадмин за неправомерное воздействие на критическую инфраструктуруAlexander AntipovСисадмин постоянно просыпал работу и менял данные в системе пропусков.

Это первый обвинительный приговор в Пермском крае по уголовной статье о воздействии на критическую инфраструктуру государства.

Системного администратора АО «Протон-ПМ» признали виновным в неправомерном воздействии на критическую информационную инфраструктуру Российской Федерации (ч.

Сотрудниками службы безопасности предприятия было выявлено, что весной 2021 года он изменил время прибытия на работу в системе контроля управления и доступа на предприятии.

В случае, когда сисадмин был «пойман за руку», если бы случай его опозд…

1 день, 13 часов назад @ securitylab.ru
Искусственный интеллект уничтожил вредоносное ПО менее чем за секунду
Искусственный интеллект уничтожил вредоносное ПО менее чем за секунду Искусственный интеллект уничтожил вредоносное ПО менее чем за секунду

Искусственный интеллект уничтожил вредоносное ПО менее чем за секундуAlexander AntipovБританские ученые выведут кибербезопасность на новый уровеньБританские ученые из Кардиффского университета создали новый метод автоматического обнаружения и уничтожения вредоносного ПО на устройстве менее чем за секунду.

Метод обнаружения на основе искусственного интеллекта протестирован на тысячах образцах вредоносных программ и позволил предотвратить повреждение 92% файлов на компьютере, уничтожив вредонос за 0,3 секунды.

По заявлению специалистов, новый метод может обнаружить и уничтожить зловред в режиме реального времени и может изменить подход к современной кибербезопасности.

Новый метод разработан в…

2 дня, 2 часа назад @ securitylab.ru
Поддерживаемая США анонимность интернета способствует распространению компьютерных вирусов и деятельность киберпреступников
Поддерживаемая США анонимность интернета способствует распространению компьютерных вирусов и деятельность киберпреступников Поддерживаемая США анонимность интернета способствует распространению компьютерных вирусов и деятельность киберпреступников

Поддерживаемая США анонимность интернета способствует распространению компьютерных вирусов и деятельность киберпреступниковAlexander AntipovОб этом заявил секретарь Совета безопасности (СБ) РФ Николай Патрушев по итогам заседания Совбеза с президентом России Владимиром Путиным.

Об этом в пятницу, 20 мая, заявил секретарь Совета безопасности (СБ) РФ Николая Патрушева по итогам заседания Совбеза с президентом России Владимиром Путиным.

«Анонимность глобального информационного пространства, всячески поддерживаемая Вашингтоном, способствует неконтролируемому распространению вредоносного программного обеспечения и преступной деятельности международных кибергруппировок», – отметил он.

По его слов…

2 дня, 2 часа назад @ securitylab.ru
Активность Linux-вредоноса XorDDos выросла на 254%
Активность Linux-вредоноса XorDDos выросла на 254% Активность Linux-вредоноса XorDDos выросла на 254%

Активность Linux-вредоноса XorDDos выросла на 254%Alexander AntipovИсследователи Microsoft заметили всплеск активности XorDdos за последние шесть месяцев.

XorDDos умеет обфусцировать свои активности, что помогает обойти механизмы обнаружения на основе правил и поиск вредоносных файлов по хэшу.

За последние шесть месяцев эксперты Microsoft отметили 254%-ный рост активности, связанной с XorDDos.

График роста активности, связанной с XorDDos.

В заключении отчета говорится, что XorDDos – универсальный троян, способный заражать различные архитектуры Linux-систем.

2 дня, 3 часа назад @ securitylab.ru
Большинство APT атак используют известные уязвимости
Большинство APT атак используют известные уязвимости Большинство APT атак используют известные уязвимости

Большинство APT атак используют известные уязвимостиAlexander AntipovAPT атаки оказались не такими сложными, как думают многие пользователинедавнем отчете исследователи безопасности из Университета University of Trento в Италии провели оценку защиты организаций от APT угроз (Advanced Persistent Threat, APT).

Исследователи изучили векторы атак, эксплуатируемые уязвимости и затронутое программное обеспечение.

По словам исследователей, из 86 APT атак, только 8 (Stealth Falcon, APT17, Equation, Dragonfly, Elderwood, FIN8, DarkHydrus и Rancor) использовали уязвимости, которые не эксплуатировали другие кампании.

«Тем не менее, не все APT сложны, поскольку часто используют одинаковые инструменты, …

2 дня, 4 часа назад @ securitylab.ru
Microsoft экстренно исправляет проблему авторизации в Windows AD
Microsoft экстренно исправляет проблему авторизации в Windows AD Microsoft экстренно исправляет проблему авторизации в Windows AD

Microsoft экстренно исправляет проблему авторизации в Windows ADAlexander AntipovКомпания активно работала над исправлениями с 12 мая.

Microsoft выпустила внеплановые исправления (OOB) для решения проблемы с авторизацией в Windows Active Directory (AD), над которыми работала с 12 мая.

Проблема появилась после установки на контроллеры домена обновлений Windows, выпущенных в майский вторник исправлений 2022 года.

Выпущенные сегодня обновления OOB Windows доступны только через Microsoft Update Catalog и не будут распространяться через Windows Update.

Инструкции по WSUS можно найти на странице WSUS , а по Configuration Manager – на странице импорта обновлений из Microsoft Update Catalog.

2 дня, 4 часа назад @ securitylab.ru
Anti-Malware Anti-Malware
последний пост 2 дня, 12 часов назад
Какими уязвимостями в финансовых приложениях киберпреступники пользуются чаще всего?
Какими уязвимостями в финансовых приложениях киберпреступники пользуются чаще всего? Какими уязвимостями в финансовых приложениях киберпреступники пользуются чаще всего?

В России в условиях санкций растёт спрос на отечественные программные разработки, для создания которых нередко используется софт с открытым исходным кодом (Open Source).

Уязвимости в коде приложенияКод приложений пишут люди, пусть и обладающие техническими знаниями, но допускающие ошибки по неосторожности или по незнанию.

При этом в третьи руки попадают и персональные данные (47 % утечек), и в целом учётные данные (31 %).

Уязвимости в библиотеках с открытым исходным кодомОднако уязвимости могут быть не только в коде, который пишут разработчики компании, но и в библиотеках с открытым исходным кодом, применяемых для упрощения и ускорения разработки.

Согласно статистике, использование библиоте…

2 дня, 12 часов назад @ anti-malware.ru
Управление уязвимостями (Vulnerability Management) в новых реалиях
Управление уязвимостями (Vulnerability Management) в новых реалиях Управление уязвимостями (Vulnerability Management) в новых реалиях

Они связаны с очень разными особенностями ПО и инфраструктуры, при этом в реальности в компаниях могут появляться только часть уязвимостей, известных вендору.

Если назначать приоритеты автоматически, например следуя рекомендациям вендора, то насколько велика уверенность, что в его базе патчей прописаны все новые эксплойты?

Илья Егоркин добавил, что «в реальной практической работе ключевым становится дефицит ресурсов, дефицит аналитиков, которые могут провести грамотный аудит наиболее важных ресурсов.

В БДУ ФСТЭК России присутствует информация о 39 тысячах уязвимостей, в том числе самых последних.

В то же время он отметил, что в настоящее время уже сделано очень многое в этом направлении.

3 дня, 9 часов назад @ anti-malware.ru
Bug Bounty: как белым хакерам заработать в России на поиске уязвимостей
Bug Bounty: как белым хакерам заработать в России на поиске уязвимостей Bug Bounty: как белым хакерам заработать в России на поиске уязвимостей

Выбор платформы Bug BountyОценка эффективности программ Bug Bounty«Главное достоинство программ Bug Bounty состоит в следующем.

Официально многие из них уже работают в ИБ, а в свободное время они участвуют в программах Bug Bounty.

Риски в программах Bug BountyГлавный риск исследователя, принимающего участие в программе Bug Bounty, — это отказ от выплаты ему вознаграждения.

Участие в программе Bug Bounty — это оценка в условиях реального рынка.

После этого надо умножить это число на четыре и заложить полученный результат как годовой бюджет на Bug Bounty» (Алексей Гришин).

5 дней, 8 часов назад @ anti-malware.ru
Цифровой рубль: сколько осталось ждать?
Цифровой рубль: сколько осталось ждать? Цифровой рубль: сколько осталось ждать?

Блокчейн-сеть, которую Банк России собирается построить в России, лишена перечисленных недостатков.

Понятие «цифровой рубль» описывает Федеральный закон № 259 «О цифровых финансовых активах», введённый в действие с 1 января 2021 года.

Технологически цифровой рубль должен стать более надёжным, чем обработка пластиковых карт с их магнитными носителями, чипами, ограничениями PCI DSS.

Русский HyperledgerВ конце 2020 года Банк России опубликовал интервью зампреда Алексея Заботкина, в котором тот изложил, как ЦБ видит будущий цифровой рубль.

После того как SEC отказалась от скорого внедрения в США цифрового доллара, финансовый регулятор в России поставил внедрение цифрового рубля на паузу.

6 дней, 12 часов назад @ anti-malware.ru
Аварийные маяки до эпохи кибервойн
Аварийные маяки до эпохи кибервойн Аварийные маяки до эпохи кибервойн

Сегодня они являются частью национальных и международных систем экстренного спасения и развиваются по пути оснащения ИИ, наращивания функций кибербезопасности, повышения надёжности и комплаенса.

По иронии и с примесью «народного» юмора это же название получили и аварийные радиостанции нового поколения, появившиеся во время Второй мировой войны.

Военные организации выпускают для пилотов индивидуальные радиостанции для выживания.

Есть такие системы и в России.

Однако современные российские радиомаяки и системы аварийного радиооповещения отстали от лучших образцов, которые доступны в мире для спасения гражданских и военных судов и самолётов.

1 неделя, 2 дня назад @ anti-malware.ru
Импортозамещение: какие отечественные системы NTA / NDR выбрать
Импортозамещение: какие отечественные системы NTA / NDR выбрать Импортозамещение: какие отечественные системы NTA / NDR выбрать

Системы анализа трафика, обнаружения и предотвращения атак (NTA / NDR) — третий «кит» в работе современного центра мониторинга и реагирования (SOC).

Вместе с SIEM и EDR этот сегмент образует триаду, способную обнаружить сложную угрозу и быстро на неё ответить.

NTA / NDR справляются с обработкой сложных инцидентов, обогащают данными базу SOC и сокращают время и ресурсы на анализ, проверку и реакцию.

Варианты импортозамещения систем анализа трафика (NTA), обнаружения и предотвращения атак (NDR)ВыводыСегмент NTA-решений продолжает развиваться.

Уже опубликованы обзоры по отечественным WAF, средствам защиты от DDoS-атак, NGFW и UTM, системам обнаружения и предотвращения вторжений (IPS / IDS).

1 неделя, 3 дня назад @ anti-malware.ru
Виртуальная комната данных (VDR) как способ борьбы с утечками документов
Виртуальная комната данных (VDR) как способ борьбы с утечками документов Виртуальная комната данных (VDR) как способ борьбы с утечками документов

Эта тенденция распространяется и на корпоративные системы, и на технические обновления, а также на обеспечение более высокого уровня информационной безопасности.

При этом в каждой организации есть большая часть офисных сотрудников, которая привыкла работать «по старинке», согласовывая документы в распечатанном виде или по электронной почте.

В случае утечки документов из такого VDR можно провести экспертизу по скомпрометированному фрагменту, просто загрузив его в систему, и по маркировке определить источник.

Одним из преимуществ подхода «VDR с опцией невидимой маркировки» может быть его относительная компактность в части реализации проекта.

ВыводыИспользование виртуальной комнаты данных явля…

1 неделя, 4 дня назад @ anti-malware.ru
Разъяснения к Указу Президента о дополнительных мерах по обеспечению ИБ (№ 250 от 01.05.2022)
Разъяснения к Указу Президента о дополнительных мерах по обеспечению ИБ (№ 250 от 01.05.2022) Разъяснения к Указу Президента о дополнительных мерах по обеспечению ИБ (№ 250 от 01.05.2022)

Установить определённую структуру ответственности за обеспечение ИБ: На должностное лицо уровня заместителя руководителя организации нужно возложить полномочия по обеспечению ИБ; на самого руководителя — персональную ответственность за обеспечение ИБ.

Таким образом, просто одной штатной единицы, ответственной за ИБ в организации, теперь будет недостаточно.

Также организациям стоит быть готовыми к предоставлению доступа (в том числе удалённого) ФСБ России к информационным ресурсам в целях осуществления мониторинга защищённости.

Резюмируя, можно сказать, что организациям сейчас нужно провести работы по распределению ответственности за обеспечение ИБ на должностных лиц.

Также необходимо провес…

2 недели, 2 дня назад @ anti-malware.ru
Тренировка сотрудников как альтернатива СЗИ в период импортозамещения
Тренировка сотрудников как альтернатива СЗИ в период импортозамещения Тренировка сотрудников как альтернатива СЗИ в период импортозамещения

Благодаря обучению сотрудников и тренировке их навыков компании могут повысить свой уровень защищённости.

Как эти проблемы можно решить с помощью обучения сотрудников: людей можно научить выявлять признаки подозрительных ситуаций и возможных целевых атак.

Атаки, в которых не участвуют вредоносные программы, не поступают на вход SOAR-системы и не могут быть обработаны.

ВыводыПредложенные примеры показывают, как обучение сотрудников и формирование у них необходимых навыков могут стать альтернативой техническим средствам или усилить СЗИ.

Прежде всего нужно выбрать приоритетные классы решений — с точки зрения критической значимости и рисков — и в рамках этих приоритетов оценить, как обучение со…

2 недели, 2 дня назад @ anti-malware.ru
Утечка данных пользователей Яндекс.Еды: новые угрозы
Утечка данных пользователей Яндекс.Еды: новые угрозы Утечка данных пользователей Яндекс.Еды: новые угрозы

Среди наиболее известных происшествий последнего времени можно вспомнить пример утечки данных из «Сбера» в 2019 году.

Это были сведения о транзакциях, количество атрибутов для идентификации клиентов было ограничено, точное число пострадавших так и не было выявлено.

Реальный объём украденных данных так и не был назван официально.

Клиенты «Яндекс.Еды» пострадали25 февраля 2022 года на форуме raidforums.com появилась информация, что в Сеть попали данные оператора экспресс-доставки документов и грузов СДЭК.

Было также обещано, что в адрес всех, кого коснулась утечка, будет направлено письмо с подробными инструкциями относительно смягчения угроз.

2 недели, 4 дня назад @ anti-malware.ru
Отток ИТ-разработчиков из России: миф или реальность
Отток ИТ-разработчиков из России: миф или реальность Отток ИТ-разработчиков из России: миф или реальность

Несмотря на бытующее в СМИ мнение, что компании заявили о своём уходе из России, фактически крупные вендоры не делали подобных заявлений.

В социальных сетях стала нарастать волна сообщений о якобы стихийно возникшем массовом отъезде ИТ-разработчиков из России.

РАЭК также дала прогноз, что в течение второго месяца проведения войсковой операции на Украине (апрель) из страны уедет ещё 70 тыс.

Источник: опрос АРППОтъезд ИТ-специалистовВ АРПП хотели получить ответ на вопрос о том, является ли информация об отъезде ИТ-специалистов из России реальностью или искажённым мнением.

Так, велика вероятность того, что в будущем в России будет наблюдаться постепенная деградация парка аппаратной инфраструкт…

3 недели, 2 дня назад @ anti-malware.ru
Обзор Ideco UTM 12.0, российского универсального шлюза сетевой безопасности
Обзор Ideco UTM 12.0, российского универсального шлюза сетевой безопасности Обзор Ideco UTM 12.0, российского универсального шлюза сетевой безопасности

Вышла новая версия универсального шлюза безопасности Ideco UTM (Unified Threat Management).

В марте 2022 г. российская компания «Айдеко» представила новую (двенадцатую) версию универсального шлюза безопасности Ideco UTM.

Функциональные возможности Ideco UTMПрограммно-аппаратный комплекс Ideco UTM обладает следующими особенностями и функциональными возможностями:Межсетевой экран — базовая функциональность сетевой фильтрации.

Веб-аутентификация в Ideco UTMТакже в Ideco UTM есть авторизация через Ideco Agent — доступ будет обеспечен только в то время, когда пользователь авторизован с помощью этой программы.

Раздел «Журнал» в Ideco UTMВ разделе «Монитор трафика» можно ознакомиться с информацией…

3 недели, 2 дня назад @ anti-malware.ru
Импортозамещение: какие отечественные системы IPS / IDS выбрать
Импортозамещение: какие отечественные системы IPS / IDS выбрать Импортозамещение: какие отечественные системы IPS / IDS выбрать

Системы обнаружения и предотвращения вторжений (IPS / IDS) анализируют данные и сетевую активность, блокируют вредоносные программы, не позволяют хакерам перехватить контроль над корпоративными сетями и дата-центрами.

Разберёмся, какие отечественные IPS / IDS можно выбрать в рамках импортозамещения.

ВведениеСистемы обнаружения и предотвращения вторжений (IPS / IDS) — это комплексы программных или аппаратных средств, которые выявляют факты несанкционированного доступа в корпоративную систему и предотвращают попытки его получить.

Системы IPS / IDS могут быть нескольких видов, они различаются расположением, типами сенсоров и механизмами работы подсистемы анализа.

Варианты импортозамещения сист…

3 недели, 3 дня назад @ anti-malware.ru
Применение технологий FIDO для корпоративной беспарольной аутентификации
Применение технологий FIDO для корпоративной беспарольной аутентификации Применение технологий FIDO для корпоративной беспарольной аутентификации

Функциональные возможности аппаратных токенов SafeNet eToken FIDO и SafeNet IDPrime 3940 FIDOКомплекс для корпоративной беспарольной аутентификации SafeNet Trusted Access компании Thales предлагает пользователям в качестве средств строгой аутентификации как классические аппаратные USB-токены SafeNet eToken FIDO, так и смарт-карты SafeNet IDPrime 3940 FIDO.

Раздел «Policies» системы SafeNet Trusted AccessПри первом обращении к порталу самообслуживания, после включения соответствующих политик, SafeNet Trusted Access предложит пользователю зарегистрировать FIDO-токен.

Привязка FIDO-токена делается один раз и может быть использована для всех приложений, интегрированных в SafeNet Trusted Access …

3 недели, 3 дня назад @ anti-malware.ru
Работа в Security Vision глазами сотрудников: смотрим, что внутри нового офиса
Работа в Security Vision глазами сотрудников: смотрим, что внутри нового офиса Работа в Security Vision глазами сотрудников: смотрим, что внутри нового офиса

ВведениеSecurity Vision — лидер рынка SOAR и SGRC в России — недавно переехала в новый офис и пригласила нас на него посмотреть.

В конце экскурсии мы вернулись в коммерческий отдел и поговорили об особенностях продаж ИБ-решений в условиях санкций и импортозамещения.

Через несколько минут, расположившись в удобных креслах в кабинете генерального директора, мы обсуждаем с ним перспективы Security Vision и рынка в целом.

В первую очередь хочется сказать, что спрос растёт, в том числе в связи с тем, что необходима автоматизация реагирования на киберинциденты, роботизация рутинных операций.

Мы узнали много нового и интересного и с удовольствием делимся нашими впечатлениями в этом кратком обзоре …

3 недели, 4 дня назад @ anti-malware.ru
Хабр: ИБ Хабр: ИБ
последний пост 6 часов назад
OSINT самолетов, пароходов и поездов
OSINT самолетов, пароходов и поездов OSINT самолетов, пароходов и поездов

Если вам срочно понадобилось отследить самолет Илона Маска или просто послушать переговоры диспетчеров, то тоже найдете тут много полезного.Открытый проект, основанный на сообществе, предоставляющий (почти) в режиме реального времени информацию о передвижении судов и их местонахождении в гаванях и портах.Отслеживание и поиск судов в реальном времени.

Всего 2,923,863 фоток.Отслеживание рейсов в реальном времени (включая многие военные самолеты).История полетов конкретного самолета за последние два года.

Поиск по N-номеру (он же позывной).

Полный список частных самолетов в США.База данных авиационных происшествий; можно искать по стране, регистрации, году и т.д.Подробная онлайн-карта мировой …

6 часов назад @ habr.com
О QR-кодах и социальной инженерии
О QR-кодах и социальной инженерии О QR-кодах и социальной инженерии

Есть подозрение, что такое могло бы сработать и в этих ваших Европах и Америках с высокотехнологичными криптографическими кодами.

Я в этих странах бывал мало, но где бывал, с проверкой второго фактора дела обстояли ровно так же, как и в России.

Долго это все продолжаться не могло, и в конечном итоге огромная база кодов была слита в Интернет.

При этом никакой конкретной информации не дается, сайт не сообщает о попытке взлома, но и как валидный запрос трактовать обращение не спешит.

В конечном счете, это все теперь неактуально: как известно, мы в очередной раз окончательно победили коронавирус, и все ограничения были сняты.

23 часа назад @ habr.com
Как законно продавать персональные?
Как законно продавать персональные? Как законно продавать персональные?

Мои выводы могут быть ошибочными или не точными, а возможно для кого-то это и вовсе секрет Полишинеля.

В выделенном абзаце сказали, что распространение ПД не происходит, т.к.

Все, можно продавать доступ к ПД без их раскрытия.

Конечно, кто-то может сказать, что это не продажа персональных данных, т.к.

Остается только суд, но пока на это банально нет времени.

1 день назад @ habr.com
PHDays 11 завершен: взрыв интереса к ИБ, расследование атаки на Rutube, демонстрация остановки нефтепровода
PHDays 11 завершен: взрыв интереса к ИБ, расследование атаки на Rutube, демонстрация остановки нефтепровода PHDays 11 завершен: взрыв интереса к ИБ, расследование атаки на Rutube, демонстрация остановки нефтепровода

Победителями киберучений со стороны атакующих стала команда Codeby (27 715 баллов), на втором месте True0xA3 (23 381 балл) и на третьем — Invuls (12 352 балла).

Как атаковали RutubeБлиже к вечеру второго дня PHDays 11 гости эфирной студии поделились деталями недавней атаки на видеохостинг Rutube.

Эксперты рассказали о применении искусственного интеллекта в разных областях жизни, в том числе в ИБ, о количественном росте использования нейросетей в будущем и о трансформации многих популярных профессий.

«Искусственный интеллект очень скоро серьезно поможет ИБ снять когнитивную нагрузку со специалистов, чтобы те смогли сконцентрироваться на действительно важных проблемах, а не на рутине», — счит…

2 дня, 6 часов назад @ habr.com
ТОП-3 ИБ-событий недели по версии Jet CSIRT
ТОП-3 ИБ-событий недели по версии Jet CSIRT ТОП-3 ИБ-событий недели по версии Jet CSIRT

Microsoft сообщила о росте атак с использованием ботнета XorDDoSVMware устранила ряд уязвимостей в своих продуктахСпециалисты из Cyble опубликовали информацию о новом сервисе-конструкторе ВПОСегодня в ТОП-3 — рост атак с использованием ботнета XorDDoS, устранение уязвимостей в продуктах VMware, новый сервис-конструктор ВПО.

Новости собирал Дмитрий Лифанов, ведущий аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».Подробнее читайте под катом.

По информации от специалистов, за последние шесть месяцев количество активностей выросло на 254%.

Проблемам подвержены следующие продукты: Workspace ONE Access (Access), Identity Manager (vIDM), vRealize Au…

2 дня, 7 часов назад @ habr.com
Про «Сайфон» (он же Psiphon): сами перевели, сами протестировали
Про «Сайфон» (он же Psiphon): сами перевели, сами протестировали Про «Сайфон» (он же Psiphon): сами перевели, сами протестировали

Как устроена работа PsiphonРазработчики сервиса пошли чуть дальше создания привычного VPN и скомбинировали его с технологиями обфускации (запутывания).

При использовании этого приложения данные отправляются и принимаются через защищенную сеть, и при этом скрыт не только тип передаваемого трафика, и но и даже то, откуда он поступает.

Результат наших тестовМы установили Psiphon на рабочие устройства команды iFreedomLab.

Короткое резюме:проведя мини-серию тестов, существенную разницу мы в работе интернет-подключений через Psiphon и без него мы увидели только на высокоскоростных подключениях.

Для большинства же обычных пользователей скорость будет вполне сносной и для ПК, и для мобильных устрой…

2 дня, 8 часов назад @ habr.com
Web-сервер с двухуровневой иерархией ЦС. Авторизация по SSL
Web-сервер с двухуровневой иерархией ЦС. Авторизация по SSL Web-сервер с двухуровневой иерархией ЦС. Авторизация по SSL

После этого сервер RootCA нам больше не нужен и в целях безопасности его лучше выключить.

Все сертификаты теперь будут выпускаться на подписывающем сервере SubCA:cd ~/easyrsa-rootca/ ./easyrsa import-req /tmp/ca.req SubCA ./easyrsa sign-req ca SubCA scp pki/issued/SubCA.crt [email protected]_SubCA:/tmp scp pki/ca.crt [email protected]_SubCA:/tmp/RootCA.crtПереходим на SubCA и перемещаем подписанный сертификат в СЦ.

{crt,key,pem} [email protected]_web_server:/tmpИдем на web-сервер создадим директорию для хранения сертификатов и перенесем их туда:mkdir ~/ssl_cert/ mkdir ~/ssl_cert/{key,cert} sudo chmod 600 ~/ssl_cert/key/ mv /tmp/*.

Для этого мы должны дать системе корневой сертификат и сказать, что всем сертификатам, кот…

2 дня, 10 часов назад @ habr.com
Получение доступа к защищённым данным во встроенной памяти
Получение доступа к защищённым данным во встроенной памяти Получение доступа к защищённым данным во встроенной памяти

Наша команда лаборатории информационной и сетевой безопасности провела реверс-инжиниринг ПЗУ промышленного устройства и получила доступ к данным, которые считаются защищёнными.

Для этого придумана масса вариантов: отказоустойчивые файловые системы, криптоконтейнеры и специализированные драйверы — менеджеры управления «сырым» массивом флеш-памяти, позволяющие обращаться к нему как к жёсткому диску и ограничивать доступ к определённым зонам.

Забегая вперёд, скажем, что в ходе исследования был найден способ получения доступа к защищённым данным, а также сформулированы базовые рекомендации по противодействию подобным атакам.

В итоге последовательно были сняты все слои защиты, и мы получили полн…

3 дня, 8 часов назад @ habr.com
The Standoff 365: на PHDays 11 презентовали платформу bug bounty
The Standoff 365: на PHDays 11 презентовали платформу bug bounty The Standoff 365: на PHDays 11 презентовали платформу bug bounty

На PHDays 19 мая была представлена платформа The Standoff 365 Bug Bounty, которая объединит компании и исследователей безопасности для поиска уязвимостей и оценки защищенности организаций.

Впервые исследователи безопасности смогут получать награду не только за найденные недопустимые для бизнеса события, но и за их реализацию.

На платформе The Standoff 365 компании смогут устанавливать свои правила bug bounty: сроки, границы исследований, форматы отчетов, суммы вознаграждений и права доступа.

От The Standoff 365 Bug Bounty мы ожидаем активного участия багхантеров и качественных отчетов.

Компания Positive Technologies, которая уже проводила открытые киберучения на своей инфраструктуре, также …

3 дня, 8 часов назад @ habr.com
Суверенный, сувенирный, самопровозглашенный
Суверенный, сувенирный, самопровозглашенный Суверенный, сувенирный, самопровозглашенный

«перечень аккредитованных УЦ, аккредитация которых прекращена» ) и, насколько можно судить по сайту НИИ, так и не была возобновлена Лишь спустя месяц Правительство впервые упомянуло НУЦ в нормативном правовом акте , а еще через 2 недели одобрило проект (!)

Только после этого и ни секундой раньше на свет появляются сертификаты от НУЦ.Согласно действующей редакции Положения о Минцифры , оно(5.4.8) и(5.4.11).

Ни о каком создании собственного УЦ или самостоятельном выпуске «конечных» сертификатов в Положении речи не идет.

Все соответствующие полномочия Минцифры в данной сфере перечислены на Портале УФО .

ФИО, должность, перечень полномочий, нормативные правовые и организационно-распорядительные…

3 дня, 11 часов назад @ habr.com
Positive Hack Days: главное из конференции по защите промышленных предприятий от киберугроз
Positive Hack Days: главное из конференции по защите промышленных предприятий от киберугроз Positive Hack Days: главное из конференции по защите промышленных предприятий от киберугроз

Уход зарубежных производителей АСУ ТП и решений по ИБ существенно ухудшил положение промышленных компаний в сфере защиты от киберугроз.

Бюджеты на ИБ, на самом деле, исторически довольно низкие.

Проблема не в том, что оно подорожало, а в том, что этого физически не хватает.

Как добавил Краснов, в следующем году будет рост бюджетов и цен на ИБ как от нехватки железа, так и специалистов.

Спикер также готов поручиться, что в на отечественном рынке появятся новые продукты и новые игроки, поскольку на текущий момент на это есть запрос.

4 дня, 5 часов назад @ habr.com
Моделирование угроз (описание объекта защиты)
Моделирование угроз (описание объекта защиты) Моделирование угроз (описание объекта защиты)

Раздел «Общие положение» пропустим и рассмотрим раздел «Описание систем и сетей и их характеристика, как объектов защиты».

В соответствии с Методикой рассматриваемый раздел содержит:1) Наименование систем и сетей, для которых разработана модель угроз безопасности информацииУказывается наименование ОЗ.

После определения процессов, реализация которых обеспечивается различными компонентами инфраструктуры, можно выполнить разделение инфраструктуры на объекты защиты (с привязкой к процессам), для которых в дальнейшем будет выполняться моделирование угроз и последующее построение систем защиты информации.

Здесь приводим описание ОЗ в части используемых сред виртуализации, указываем, где и для чег…

4 дня, 7 часов назад @ habr.com
Как недальновидность превратила смарт-карты в огромную дыру в безопасности армии США
Как недальновидность превратила смарт-карты в огромную дыру в безопасности армии США Как недальновидность превратила смарт-карты в огромную дыру в безопасности армии США

Изображение: Cac.milНадежная системаТот самый пареньАмериканское правительство последние 15 лет активно внедряет использование смарт-карт как способ доступа и аутентификации пользователя в госучреждениях.

Карты были предпочтимы, потому что как и банковские продукты, они выполнимы и в бесконтактном радио-варианте и вообще, решение со всех сторон отличное.Внедрение тоже прошло по-армейски стремительно.

Картами обзавелся старший и младший офицерский состав, а после успешный опыт армии, по доброй американской традиции, переняли и другие государственные службы страны.

Он производится тайваньской компанией Saicoo.Но главная проблема ни в происхождении устройства, а в том, что Plug-and-Play оно ра…

4 дня, 8 часов назад @ habr.com
Вот она пришла весна – как паранойя: «интернет с нуля»
Вот она пришла весна – как паранойя: «интернет с нуля» Вот она пришла весна – как паранойя: «интернет с нуля»

Сейчас же есть попытки именно интернет создать вновь и с нуля, только приватный и безопасный.

Делает их команда Utopia с помощью децентрализованной p2p экосистемы.

Данные пользователей она таким образом не продаёт, как это делает Google, одна синяя запрещённая в России как экстремистская соцсеть и ещё одна соцсеть с фотографиями, настолько же запрещённая.

В отличие от Фидонета, коммерческие операции в Utopia имеются.

Как и аналоги Википедии и другие информационные ресурсы.

4 дня, 8 часов назад @ habr.com
Никита Ростовцев: «Мы способны найти многое, чего не видят другие»
Никита Ростовцев: «Мы способны найти многое, чего не видят другие» Никита Ростовцев: «Мы способны найти многое, чего не видят другие»

Мне нравится сам факт, что мы даем клиентам значительную фору — время на проактивные действия по предотвращению потенциальных инцидентов.

Cyclops Blink заражает преимущественно устройства WatchGuard, и в разделе сетевых индикаторов исследователи выложили список из 25 IP-адресов.

Его любит и киберкриминал, и даже проправительственные APT, потому что думают, что это позволит им смешаться с другими атакующими и не выделяться.

Скачайте демо — поймете о чем я. В общем, благодаря ему мы способны найти очень многое из того, чего не видят другие.

Они говорят, что злоумышленники используют вот это и это для реализации этих и тех целей.

4 дня, 8 часов назад @ habr.com
Хакер Хакер
последний пост 4 часа назад
Титры №276. Кто делает этот журнал
Титры №276. Кто делает этот журнал Титры №276. Кто делает этот журнал

Ад­рес редак­ции: 125080, город Мос­ква, Волоко­лам­ское шос­се, дом 1, стро­ение 1, этаж 8, помеще­ние IX, ком­ната 54, офис 7.

Учре­дитель: ООО «Медиа Кар»​ ​125080, город Мос­ква, Волоко­лам­ское шос­се, дом 1, стро­ение 1, этаж 8, помеще­ние IX, ком­ната 54, офис 7.

Зарегис­три­рова­но в Федераль­ной служ­бе по над­зору в сфе­ре свя­зи, информа­цион­ных тех­нологий и мас­совых ком­муника­ций (Рос­комнад­зоре), сви­детель­ство ​Эл № ​ФС77-​67001 от ​30.​08.​2016 года.

Лица, исполь­зующие дан­ную информа­цию в про­тиво­закон­ных целях, могут быть прив­лечены к ответс­твен­ности.

По воп­росам лицен­зирова­ния и получе­ния прав на исполь­зование редак­цион­ных матери­алов жур­нала обра­щай­…

4 часа назад @ xakep.ru
Саратовский суд отменил блокировку The Tor Project
Саратовский суд отменил блокировку The Tor Project Саратовский суд отменил блокировку The Tor Project

Роскомсвобода сообщает, что суд апелляционной инстанции отменил решение №2-1-1373/2017 от 18.12.2017 Саратовского районного суда Саратовской области, на основании которого в декабре прошлого года был заблокирован сайт The Tor Project.

В блоге Tor Project тогда появилось официальное послание, согласно которому сайт torproject.org официально заблокирован по решению Саратовского районного суда от 2017 года в соответствии со ст.

Подтверждение этому можно было найти и в реестре Роскомнадзора.

Думаю, дело вернется в суд первой инстанции в течение месяца, и мы продолжим там рассмотрение нашего второго довода об отсутствии каких-либо законодательных запретов на распространение информации и технолог…

1 день, 23 часа назад @ xakep.ru
В Нидерландах арестованы злоумышленники, взрывавшие банкоматы
В Нидерландах арестованы злоумышленники, взрывавшие банкоматы В Нидерландах арестованы злоумышленники, взрывавшие банкоматы

Европол, а также правоохранители из Нидерландов и Германии отчитались о проведении операции Pfeil/Pentagon и задержании трех подозреваемых, ответственных за серию ограблений банкоматов в Германии.

Сообщается, что эти аресты последовали за арестами трех других членов той же преступной группы 30 марта 2022 года в Гессене, и на данный момент правоохранительные органы пытаются установить личность седьмого участника этой группировки.

Считается, что в период с октября по ноябрь 2021 года подозреваемые ограбили восемь банкоматов в Гессене, Баден-Вюртемберге, Нижней Саксонии и Рейнланд-Пфальце, суммарно похитив более 958 000 евро наличными.

Интересно, что количество физических атак на банкоматы, на…

2 дня назад @ xakep.ru
Microsoft предупреждает о возросшей активности ботнета XorDdos
Microsoft предупреждает о возросшей активности ботнета XorDdos Microsoft предупреждает о возросшей активности ботнета XorDdos

Специалисты Microsoft предупредили, что активность модульной малвари XorDdos, применяющейся для взлома Linux-устройств и создания DDoS-ботнета, за последние полгода увеличилась на 254%.

Этот вредонос, также известный как XOR.DDoS и XOR DDoS, активен с 2014 года и ориентирован на Linux-системы.

— Во время изучения недавних кампаний мы заметили, что XorDdos скрывает вредоносные действия от анализа, перезаписывая конфиденциальные файлы нулевым байтом».

Также в отчете специалистов отмечается, что помимо запуска DDoS-атак, операторы используют XorDDoS для установки руткитов, сохранения доступа к взломанным устройствам и, вероятно, для доставки дополнительных полезных нагрузок.

Аналитики вообще п…

2 дня, 2 часа назад @ xakep.ru
Шифровальщик Conti прекращает работу и распадается на несколько группировок
Шифровальщик Conti прекращает работу и распадается на несколько группировок Шифровальщик Conti прекращает работу и распадается на несколько группировок

Эксперты сообщают, что вымогательская группа Conti прекратила свою деятельность, ее инфраструктура отключена, а руководители группы заявили, что бренда больше нет.

Одним из первых перемены заметил Елисей Богуславский из компании Advanced Intel, который сообщил в Twitter, что внутренняя инфраструктура группировки отключена.

В рамках такого «партнерства» небольшие хак-группы получают приток опытных пентестеров, переговорщиков и операторов из числа участников Conti.

А синдикат Conti, разделяясь на более мелкие «ячейки», управляемые единым руководством, получает мобильность и возможность уклоняться от внимания правоохранительных органов.

Также в Advanced Intel считают, что члены Conti создали р…

2 дня, 4 часа назад @ xakep.ru
Сбербанк рассказал о мощнейшей DDoS-атаке в своей истории
Сбербанк рассказал о мощнейшей DDoS-атаке в своей истории Сбербанк рассказал о мощнейшей DDoS-атаке в своей истории

Вице-президент, директор департамента кибербезопасности Сбербанка Сергей Лебедь принял участие в пленарном заседании «Тектонический сдвиг российского кибербеза» на форуме по практической кибербезопасности Positive Hack Days 11.

Также, по словам Лебедя, 6 мая 2022 года Сбербанк отразил самую мощную DDoS-атаку в своей истории.

«Если до 24 февраля фиксировалась одна DDoS-атака в неделю, то уже в марте мы фиксировали до 46 одновременных DDoS-атак, нацеленных на разные сервисы Сбербанка.

Центр киберзащиты Сбербанка в режиме 24/7 ведет анализ киберугроз и оперативно реагирует на них.

Эксперты Сбербанка полагают, что в ближайшем будущем количество DDoS-атак будет снижаться, однако их мощность прод…

2 дня, 5 часов назад @ xakep.ru
У Delivery Club произошла утечка пользовательских данных
У Delivery Club произошла утечка пользовательских данных У Delivery Club произошла утечка пользовательских данных

Вчера эксперты Data Leakage & Breach Intelligence (DLBI) сообщили, что в продаже в даркнете появилась база данных службы доставки Delivery Club.

Сегодня представители компании подтвердили утечку данных о заказах пользователей, но подчеркнули, что дамп не содержит банковские данные заказчиков.

Так, в пресс-службе Delivery Club заявили:«Данные включают в себя информацию о заказах и не затрагивают банковские реквизиты.

Кроме того, сообщается, что Роскомнадзор уже обратился с запросом в Delivery Club и изучает детали случившегося.

13.11 КоАП РФ, которая предполагает наказание в виде штрафа в размере от 60 000 рублей до 100 000 рублей.

2 дня, 6 часов назад @ xakep.ru
Теплый ламповый дисплей. Собираем монитор из электронно-лучевой трубки
Теплый ламповый дисплей. Собираем монитор из электронно-лучевой трубки Теплый ламповый дисплей. Собираем монитор из электронно-лучевой трубки

Обыч­но, кро­ме цифер­бла­та и нес­коль­ких цифр, на него ничего не выводят, и это таки не слу­чай­но!

На выходе вып­рямите­ля получа­ем око­ло +330 В. На выходе умно­жите­ля име­ем, соот­ветс­твен­но, око­ло –660 В, что в сум­ме дает нам 1000 В — впол­не дос­таточ­ное нап­ряжение для работы труб­ки.

И это в пер­вую оче­редь быс­тро­дей­ствие.

И что с того, спро­сишь ты?

А кро­ме того, ЦАП на 74HC595 выда­ет сиг­нал до 5 В, что, учи­тывая низ­кую чувс­тви­тель­ность труб­ки, нам толь­ко на руку.

2 дня, 7 часов назад @ xakep.ru
Уязвимости в продуктах VMware подвергаются атакам
Уязвимости в продуктах VMware подвергаются атакам Уязвимости в продуктах VMware подвергаются атакам

Еще в апреле текущего года эксперты VMware обнаружили и исправили RCE-уязвимость CVE-2022-22954, а также уязвимость повышения привилегий CVE-2022-22960.

«Согласно отчетам надежных третьих сторон, злоумышленники могут объединять эти уязвимости в цепочку.

Также на этой неделе VMware предупредила клиентов о необходимости немедленного исправления другой критической уязвимости, допускающей обход аутентификации и «влияющей на пользователей локального домена», что можно использовать для получения прав администратора.

Другой баг, исправленный на этой неделе, получил идентификатор CVE-2022-22973 и может использоваться для локального повышения привилегий.

Полный список продуктов VMware, на которые вл…

3 дня назад @ xakep.ru
NordPass: руководители бизнеса используют слабые пароли
NordPass: руководители бизнеса используют слабые пароли NordPass: руководители бизнеса используют слабые пароли

Аналитики NordPass опубликовали статистику, согласно которой руководители предприятий и владельцы компаний обычно используют слабые и легко взламываемые пароли, а это значительно увеличивает вероятность масштабных утечек данных.

Отчет компании гласит, что «рейтинг» паролей был составлен в партнерстве с независимыми исследователями, специализирующимися на изучении инцидентов в области кибербезопасности.

Исследование было сосредоточено на плохих паролях, которые используют высокопоставленные руководители бизнеса, а также владельцев компаний самых разных отраслей.

К сожалению, эксперты пришли к выводу, что пароли 123456, 123456789, qwerty и password по-прежнему остаются популярными и возглавля…

3 дня, 2 часа назад @ xakep.ru
Банк Замбии троллит операторов малвари Hive и шлет им дикпики
Банк Замбии троллит операторов малвари Hive и шлет им дикпики Банк Замбии троллит операторов малвари Hive и шлет им дикпики

Сообщается, что пострадавший банк не только отказался платить злоумышленникам выкуп, но и высмеял их, а также прислал фото мужских гениталий.

«Хотим сообщить, что с тех пор работа этих систем была полностью восстановлена», — подчеркивается в официальном заявлении.

Хакеры утверждали, что зашифровали NAS в сети банка и требовали выкуп за восстановление данных.

Когда журналисты Bleeping Computer впервые увидели эту переписку, появилась предположение, что в чат для переговоров проникли посторонние, ведь такое не раз случалось в прошлом.

При этом Нсофу заявил, что представители банка уже «послали злоумышленников» по известному адресу, тем самым подтвердив, что они все же участвовали в переговора…

3 дня, 4 часа назад @ xakep.ru
В среднем вымогатели требуют у своих жертв 247 000 долларов США
В среднем вымогатели требуют у своих жертв 247 000 долларов США В среднем вымогатели требуют у своих жертв 247 000 долларов США

В 2021 году самыми агрессивными операторами шифровальщиков, совершившими наибольшее число кибератак в мире, были признаны группы LockBit, Conti и Pysa.

Запрашиваемые злоумышленниками суммы выкупа в прошлом году достигли астрономических величин — средний размер требуемого выкупа вырос до 247 000 долларов США.

Среднее время простоя атакованной компании в 2021 году увеличилось с 18 дней до 22 дней.

Таким образом, в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200%.

Векторы и тактикиКак и в позапрошлом году, самым частым способом получения первоначального доступа в сети компаний стала компрометация публичных RDP-серверов.

3 дня, 5 часов назад @ xakep.ru
Представители «Гемотест» подтвердили факт взлома
Представители «Гемотест» подтвердили факт взлома Представители «Гемотест» подтвердили факт взлома

СМИ сообщают, что представители медицинской лаборатории «Гемотест» подтвердили в письме «факт хакерской атаки и несанкционированного доступа к информационному ресурсу», выявленные 22 апреля текущего года.

Напомню, что в начале мая специалисты Data Leakage & Breach Intelligence (DLBI) заметили, что в даркнете выставили на продажу базу данных клиентов медицинской лаборатории «Гемотест».

Исследователи писали, что в закрытом доступе и для узкого круга лиц эта база появилась еще начале весны 2022 года.

При этом в «Гемотесте» подчеркивают, что есть основания сомневаться в достоверности «распространяемой в сети интернет информации об объеме имеющихся в распоряжении злоумышленников данных».

Также с…

3 дня, 6 часов назад @ xakep.ru
Купила мама Konica. Как специалисты нашли уязвимость и взломали прошивку МФУ
Купила мама Konica. Как специалисты нашли уязвимость и взломали прошивку МФУ Купила мама Konica. Как специалисты нашли уязвимость и взломали прошивку МФУ

Иссле­дова­тели из SEC Consult Vulnerability Lab недав­но наш­ли любопыт­ную уяз­вимость в мно­гофун­кци­ональ­ных устрой­ствах Konica Minolta и рас­ска­зали о том, как на ее исправ­ление пов­лияла эпи­демия COVID-19.

Проб­лема акту­аль­на для нес­коль­ких моделей МФУ Konica Minolta bizhub и поз­воля­ет получить пол­ный дос­туп к опе­раци­онной сис­теме на чте­ние и запись от име­ни поль­зовате­ля root.

Прав­да, есть нюанс: для это­го нуж­но иметь непос­редс­твен­ный физичес­кий кон­такт с сен­сорным дис­пле­ем МФУ и воз­можность под­клю­чить к нему внеш­нюю кла­виату­ру.

В сво­ем ис­сле­дова­нии спе­циалис­ты SEC Consult рас­ска­зали о том, что при работе с МФУ Konica Minolta bizhub C3300i…

3 дня, 7 часов назад @ xakep.ru
Эксперты показали взлом Tesla Model 3 через Bluetooth-атаку
Эксперты показали взлом Tesla Model 3 через Bluetooth-атаку Эксперты показали взлом Tesla Model 3 через Bluetooth-атаку

Продукты, которые полагаются на BLE для аутентификации на основе близости, защищены от известных методов relay-атак благодаря проверкам точного количества задержек (latency), а также шифрованию на уровне канала.

Так как Tesla Model 3 и Model Y используют систему входа на основе BLE, предложенный экспертами метод может использоваться для разблокировки и запуска этих автомобилей.

Хотя технические детали атаки пока не опубликованы, исследователи рассказывают, что они протестировали свой метод на Tesla Model 3 2020 года с использованием iPhone 13 mini и приложением Tesla версии 4.6.1-891.

Тест был успешно воспроизведен на Tesla Model Y 2021 года, поскольку в этом авто используются аналогичные т…

4 дня назад @ xakep.ru
In English 🇺🇸
The Hacker News The Hacker News
последний пост 1 день, 14 часов назад
Researchers Find Backdoor in School Management Plugin for WordPress
Researchers Find Backdoor in School Management Plugin for WordPress Researchers Find Backdoor in School Management Plugin for WordPress

Multiple versions of a WordPress plugin by the name of "School Management Pro" harbored a backdoor that could grant an adversary complete control over vulnerable websites.

The issue, spotted in premium versions before 9.9.7, has been assigned the CVE identifier CVE-2022-1609 and is rated 10 out of 10 for severity.

School Management, developed by an India-based company called Weblizar, is billed as a Wordpress add-on to "manage complete school operation."

It also claims more than 340,000 customers of its premium and free WordPress themes and plugins.

The free version of School Management, which doesn't pack the licensing code, is not impacted.

1 день, 14 часов назад @ thehackernews.com
Cisco Issues Patches for New IOS XR Zero-Day Vulnerability Exploited in the Wild
Cisco Issues Patches for New IOS XR Zero-Day Vulnerability Exploited in the Wild Cisco Issues Patches for New IOS XR Zero-Day Vulnerability Exploited in the Wild

Cisco on Friday rolled out fixes for a medium-severity vulnerability affecting IOS XR Software that it said has been exploited in real-world attacks.

Tracked as CVE-2022-20821 (CVSS score: 6.5), the issue relates to an open port vulnerability that could be abused by an unauthenticated, remote attacker to connect to a Redis instance and achieve code execution.

"Given the configuration of the sandboxed container that the Redis instance runs in, a remote attacker would be unable to execute remote code or abuse the integrity of the Cisco IOS XR Software host system."

The flaw, which it said was identified during the resolution of a technical assistance center (TAC) case, impacts Cisco 8000 Seri…

1 день, 16 часов назад @ thehackernews.com
Microsoft Warns Rise in XorDdos Malware Targeting Linux Devices
Microsoft Warns Rise in XorDdos Malware Targeting Linux Devices Microsoft Warns Rise in XorDdos Malware Targeting Linux Devices

A Linux botnet malware known as XorDdos has witnessed a 254% surge in activity over the last six months, according to latest research from Microsoft.

The trojan, so named for carrying out denial-of-service attacks on Linux systems and its use of XOR-based encryption for communications with its command-and-control (C2) server, is known to have been active since at least 2014.

"Its SSH brute force attacks are a relatively simple yet effective technique for gaining root access over a number of potential targets."

XorDdos has since emerged as the top Linux-targeted threat in 2021, according to a report from CrowdStrike published earlier this January.

"XorDdos uses evasion and persistence mechan…

2 дня, 8 часов назад @ thehackernews.com
Cytrox's Predator Spyware Target Android Users with Zero-Day Exploits
Cytrox's Predator Spyware Target Android Users with Zero-Day Exploits Cytrox's Predator Spyware Target Android Users with Zero-Day Exploits

Google's Threat Analysis Group (TAG) on Thursday pointed fingers at a North Macedonian spyware developer named Cytrox for developing exploits against five zero-day (aka 0-day) flaws, four in Chrome and one in Android, to target Android users.

"The campaigns were limited — in each case, we assess the number of targets was in the tens of users," Lecigne and Resell noted.

The ultimate goal of the operation, the researchers assessed, was to distribute a malware dubbed Alien, which acts as a precursor for loading Predator onto infected Android devices.

The third campaign — a full Android 0-day exploit — was detected in October 2021 on an up-to-date Samsung phone running the then latest version o…

2 дня, 9 часов назад @ thehackernews.com
Researchers Uncover Rust Supply-Chain Attack Targeting Cloud CI Pipelines
Researchers Uncover Rust Supply-Chain Attack Targeting Cloud CI Pipelines Researchers Uncover Rust Supply-Chain Attack Targeting Cloud CI Pipelines

A case of software supply chain attack has been observed in the Rust programming language's crate registry that leveraged typosquatting techniques to publish a rogue library containing malware.

In this case, the crate in question is "rustdecimal," a typosquat of the real "rust_decimal" package that's been downloaded over 3.5 million times to date.

Specifically, the new function checks if the "GITLAB_CI" environment variable is set, suggesting a "singular interest in GitLab continuous integration (CI) pipelines," SentinelOne noted.

"Software supply-chain attacks have gone from a rare occurrence to a highly desirable approach for attackers to 'fish with dynamite' in an attempt to infect entir…

2 дня, 9 часов назад @ thehackernews.com
Hackers Exploiting VMware Horizon to Target South Korea with NukeSped Backdoor
Hackers Exploiting VMware Horizon to Target South Korea with NukeSped Backdoor Hackers Exploiting VMware Horizon to Target South Korea with NukeSped Backdoor

The North Korea-backed Lazarus Group has been observed leveraging the Log4Shell vulnerability in VMware Horizon servers to deploy the NukeSped (aka Manuscrypt) implant against targets located in its southern counterpart.

"The attacker used the Log4j vulnerability on VMware Horizon products that were not applied with the security patch," AhnLab Security Emergency Response Center (ASEC) said in a new report.

NukeSped is a backdoor that can perform various malicious activities based on commands received from a remote attacker-controlled domain.

Last year, Kaspersky disclosed a spear-phishing campaign aimed at stealing critical data from defense companies using a NukeSped variant called ThreatN…

2 дня, 9 часов назад @ thehackernews.com
Hackers Trick Users with Fake Windows 11 Downloads to Distribute Vidar Malware
Hackers Trick Users with Fake Windows 11 Downloads to Distribute Vidar Malware Hackers Trick Users with Fake Windows 11 Downloads to Distribute Vidar Malware

Fraudulent domains masquerading as Microsoft's Windows 11 download portal are attempting to trick users into deploying trojanized installation files to infect systems with the Vidar information stealer malware.

"These variants of Vidar malware fetch the C2 configuration from attacker-controlled social media channels hosted on Telegram and Mastodon network."

But embedded within the 330MB binary is a 3.3MB-sized executable that's the Vidar malware, with the rest of the file content padded with 0x10 bytes to artificially inflate the size.

The findings add to a list of different methods that have been uncovered in the past month to distribute the Vidar malware, including Microsoft Compiled HTML…

2 дня, 13 часов назад @ thehackernews.com
QNAP Urges Users to Update NAS Devices to Prevent Deadbolt Ransomware Attacks
QNAP Urges Users to Update NAS Devices to Prevent Deadbolt Ransomware Attacks QNAP Urges Users to Update NAS Devices to Prevent Deadbolt Ransomware Attacks

Taiwanese network-attached storage (NAS) devices maker QNAP on Thursday warned its customers of a fresh wave of DeadBolt ransomware attacks.

"QNAP urges all NAS users to check and update QTS to the latest version as soon as possible, and avoid exposing their NAS to the internet," QNAP said in an advisory.

This development marks the third time QNAP devices have come under assault from DeadBolt ransomware since the start of the year.

In late January, as many as 4,988 DeadBolt-infected QNAP devices were identified, prompting the company to release a forced firmware update.

DeadBolt attacks are also notable for the fact that they allegedly leverage zero-day flaws in the software to gain remote …

2 дня, 16 часов назад @ thehackernews.com
New Bluetooth Hack Could Let Attackers Remotely Unlock Smart Locks and Cars
New Bluetooth Hack Could Let Attackers Remotely Unlock Smart Locks and Cars New Bluetooth Hack Could Let Attackers Remotely Unlock Smart Locks and Cars

A novel Bluetooth relay attack can let cybercriminals more easily than ever remotely unlock and operate cars, break open residential smart locks, and breach secure areas.

The vulnerability has to do with weaknesses in the current implementation of Bluetooth Low Energy (BLE), a wireless technology used for authenticating Bluetooth devices that are physically located within a close range.

"An attacker can falsely indicate the proximity of Bluetooth LE (BLE) devices to one another through the use of a relay attack," U.K.-based cybersecurity company NCC Group said.

"This approach can circumvent the existing relay attack mitigations of latency bounding or link layer encryption, and bypass locali…

3 дня, 4 часа назад @ thehackernews.com
7 Key Findings from the 2022 SaaS Security Survey Report
7 Key Findings from the 2022 SaaS Security Survey Report 7 Key Findings from the 2022 SaaS Security Survey Report

The 2022 SaaS Security Survey Report, in collaboration with CSA, examines the state of SaaS security as seen in the eyes of CISOs and security professionals in today's enterprises.

1: SaaS Misconfigurations are Leading to Security IncidentsSince 2019, SaaS misconfigurations have become a top concern for organizations, with at least 43% of organizations reporting they've dealt with one or more security incidents caused by a SaaS misconfiguration.

On the other hand, investment in security tools (73%) and staff (55%) for SaaS security is lower.

This dissonance represents an increasing burden on the existing security teams to monitor SaaS security.

Companies currently using or planning to use S…

3 дня, 6 часов назад @ thehackernews.com
High-Severity Bug Reported in Google's OAuth Client Library for Java
High-Severity Bug Reported in Google's OAuth Client Library for Java High-Severity Bug Reported in Google's OAuth Client Library for Java

Google last month addressed a high-severity flaw in its OAuth client library for Java that could be abused by a malicious actor with a compromised token to deploy arbitrary payloads.

"The vulnerability is that the IDToken verifier does not verify if the token is properly signed," an advisory for the flaw reads.

"Signature verification makes sure that the token's payload comes from a valid provider, not from someone else.

The open-source Java library, built on the Google HTTP Client Library for Java, makes it possible to obtain access tokens to any service on the web that supports the OAuth authorization standard.

Users of the google-oauth-java-client library are recommended to update to ver…

3 дня, 9 часов назад @ thehackernews.com
Web Trackers Caught Intercepting Online Forms Even Before Users Hit Submit
Web Trackers Caught Intercepting Online Forms Even Before Users Hit Submit Web Trackers Caught Intercepting Online Forms Even Before Users Hit Submit

A new research published by academics from KU Leuven, Radboud University, and the University of Lausanne has revealed that users' email addresses are exfiltrated to tracking, marketing, and analytics domains before such is submitted and without prior consent.

Furthermore, 52 websites were determined to be collecting passwords in the same manner, an issue that has since been addressed following responsible disclosure.

LiveRamp, Taboola, Adobe, Verizon, Yandex, Meta, TikTok, Salesforce, Listrak, and Oracle are some of the top third-party trackers that have been spotted logging email addresses, while Yandex, Mixpanel, and LogRocket lead the list in the password-grabbing category.

Email address…

3 дня, 13 часов назад @ thehackernews.com
VMware Releases Patches for New Vulnerabilities Affecting Multiple Products
VMware Releases Patches for New Vulnerabilities Affecting Multiple Products VMware Releases Patches for New Vulnerabilities Affecting Multiple Products

VMware has issued patches to contain two security flaws impacting Workspace ONE Access, Identity Manager, and vRealize Automation that could be exploited to backdoor enterprise networks.

"It is extremely important that you quickly take steps to patch or mitigate these issues in on-premises deployments," VMware said.

With root access, the actor could wipe logs, escalate permissions, and move laterally to other systems."

"CISA expects threat actors to quickly develop a capability to exploit these newly released vulnerabilities in the same impacted VMware products," the agency said.

The agency has also released a follow-up advisory with regards to the active exploitation of CVE-2022-1388 (CVSS…

3 дня, 14 часов назад @ thehackernews.com
How to Protect Your Data When Ransomware Strikes
How to Protect Your Data When Ransomware Strikes How to Protect Your Data When Ransomware Strikes

Lookout, a leader in endpoint-to-cloud security, has published an interactive infographic to help you visualize how a ransomware attack happens and understand how to protect your data.

3 — Render data useless for ransom with proactive encryptionThe final step of a ransomware attack is to hold your data hostage.

Encryption is a critical part of any data loss prevention (DLP) strategy, and triggering it off of contextual data protection policies can help you protect your most sensitive data from compromise.

Securing against ransomware: point products versus a unified platformA ransomware attack isn't just a single event; it's a persistent threat.

To learn more about key lessons you can learn …

4 дня, 5 часов назад @ thehackernews.com
Researchers Expose Inner Workings of Billion-Dollar Wizard Spider Cybercrime Gang
Researchers Expose Inner Workings of Billion-Dollar Wizard Spider Cybercrime Gang Researchers Expose Inner Workings of Billion-Dollar Wizard Spider Cybercrime Gang

The inner workings of a cybercriminal group known as the Wizard Spider have been exposed, shedding light on its organizational structure and motivations.

"Some of the money they get is put back into the project to develop new tools and talent."

The TrickBot operators have also extensively cooperated with Conti, another Russia-linked cybercrime group notorious for offering ransomware-as-a-service packages to its affiliates.

In addition to leveraging a wealth of utilities for credential theft and reconnaissance, Wizard Spider is known to use an exploitation toolkit that makes use of recently disclosed vulnerabilities such as Log4Shell to gain an initial foothold into victim networks.

Last yea…

4 дня, 7 часов назад @ thehackernews.com
threatpost threatpost
последний пост 2 дня, 7 часов назад
Closing the Gap Between Application Security and Observability
Closing the Gap Between Application Security and Observability Closing the Gap Between Application Security and Observability

Daniel Kaar, global director application security engineering at Dynatrace, highlights the newfound respect for AppSec-enabled observability in the wake of Log4Shell.

When it’s all said and done, application security pros may come to look upon the Log4Shell vulnerability as a gift.

But in the still burgeoning age of cloud computing, Log4Shell also exposed the significant gap that exists between application security and observability.

Avisi’s observability and application security tool enabled the security team to accelerate the response to Log4Shell.

Also, an application security remediation tracking screen for each vulnerability helps security teams spot and highlight whether each affected…

2 дня, 7 часов назад @ threatpost.com
380K Kubernetes API Servers Exposed to Public Internet
380K Kubernetes API Servers Exposed to Public Internet 380K Kubernetes API Servers Exposed to Public Internet

More than 380,000 Kubernetes API servers allow some kind of access to the public internet, making the popular open-source container-orchestration engine for managing cloud deployments an easy target and broad attack surface for threat actors, researchers have found.

The Shadowserver Foundation discovered the access when it scanned the internet for Kubernetes API servers, of which there are more than 450,000, according to a blog post published this week.

Of the more than 450,000 Kubernetes API instances identified by Shadowserver, 381,645 responded with “200 OK,” researchers said.

In all, Shadowserver found 454,729 Kubernetes API servers.

Cloud Under AttackThe findings are troubling given th…

2 дня, 8 часов назад @ threatpost.com
Critical Vulnerability in Premium WordPress Themes Allows for Site Takeover
Critical Vulnerability in Premium WordPress Themes Allows for Site Takeover Critical Vulnerability in Premium WordPress Themes Allows for Site Takeover

The plugin is required to run the JupiterX theme.

Affected versions of the themes are: Jupiter Theme 6.10.1 or earlier, and JupiterX Core Plugin 2.0.7 or earlier.

By May 10, the developed had released updated versions of both the Jupiter and JupiterX themes that had patched all the flaws.

Critical VulnerabilityThe critical flaw found resides in a function, uninstallTemplate, which is intended to reset a site after a template is uninstalled.

In the Jupiter theme, the function is found in the theme itself; in JupiterX, it’s present in the JupiterX Core plugin.

3 дня, 7 часов назад @ threatpost.com
DOJ Says Doctor is Malware Mastermind
DOJ Says Doctor is Malware Mastermind DOJ Says Doctor is Malware Mastermind

The U.S. Department of Justice indites middle-aged doctor, accusing him of being a malware mastermind.

On Monday, the U.S. Attorney’s Office for the Eastern District of New York revealed criminal charges against 55 year-old cardiologist Moises Luis Zagala Gonzalez of Cuidad Bolivar, Venezuela accusing him of being the mastermind behind the prolific Thanos malware.

According to a DOJ press release, beginning in late 2019, Gonzalez took to online cybercrime forums to market a new product he’d built.

It was a ransomware builder – software that helps other cybercriminals more easily design their own, custom ransomware programs.

Cybercriminals could purchase a subscription to this malware or par…

4 дня, 5 часов назад @ threatpost.com
APTs Overwhelmingly Share Known Vulnerabilities Rather Than Attack O-Days
APTs Overwhelmingly Share Known Vulnerabilities Rather Than Attack O-Days APTs Overwhelmingly Share Known Vulnerabilities Rather Than Attack O-Days

“Contrary to common belief, most APT campaigns employed publicly known vulnerabilities,” they wrote in the report.

Indeed, of the 86 APTs that researchers investigated, only eight–Stealth Falcon, APT17, Equation, Dragonfly, Elderwood, FIN8, DarkHydrus and Rancor—exploited vulnerabilities that others didn’t, researchers found.

Faster Updates Reduce RiskThis finding promotes faster updates to fix known flaws in organizations’ systems rather than taking their time to apply updates that are released for known vulnerabilities, which seems to be the trend right now.

However, to combat APTs, “slow updates do not seem appropriate,” researchers wrote.

Organizations could perform “12 percent of all p…

4 дня, 6 часов назад @ threatpost.com
April VMware Bugs Abused to Deliver Mirai Malware, Exploit Log4Shell
April VMware Bugs Abused to Deliver Mirai Malware, Exploit Log4Shell April VMware Bugs Abused to Deliver Mirai Malware, Exploit Log4Shell

Researchers say a GitHub proof-of-concept exploitation of recently announced VMware bugs is being abused by hackers in the wild.

Recently reported VMware bugs are being used by hackers who are focused on using them to deliver Mirai denial-of-service malware and exploit the Log4Shell vulnerability.

Security researchers at Barracuda discovered that attempts were made to exploit the recent vulnerabilities CVE-2022-22954 and CVE-2022-22960, both reported last month.

The VMware Workspace One is an intelligent-drive workspace platform that helps to manage any app on any device in a secure and simpler manner.

Exploitation Occurred After PoC ReleaseThe Barracuda researchers noted that the previous …

4 дня, 6 часов назад @ threatpost.com
Sysrv-K Botnet Targets Windows, Linux
Sysrv-K Botnet Targets Windows, Linux Sysrv-K Botnet Targets Windows, Linux

Unpatched vulnerabilities in the Spring Framework and WordPress plugins are being exploited by cybercriminals behind the Sysrv botnet to target Linux and Windows systems.

The botnet variant is being called Sysrv-K by Microsoft Security Intelligence researchers that posted a thread on Twitter revealing details of the botnet variant.

Once running on a device, Sysrv-K deploys a cryptocurrency miner,” said Microsoft Security Intelligence in a tweet.

This could put the rest of the network at risk of becoming part of the Sysrv-K botnet” the Microsoft security intelligence team reported.

Microsoft advised the organizations to secure internet-facing Linux or Windows systems, timely apply security u…

5 дней, 6 часов назад @ threatpost.com
iPhones Vulnerable to Attack Even When Turned Off
iPhones Vulnerable to Attack Even When Turned Off iPhones Vulnerable to Attack Even When Turned Off

Wireless features Bluetooth, NFC and UWB stay on even when the device is powered down, which could allow attackers to execute pre-loaded malware.

Attackers can target iPhones even when they are turned off due to how Apple implements standalone wireless features Bluetooth, Near Field Communication (NFC ) and Ultra-wideband ( UWB) technologies in the device, researchers have found.

Root of the IssueThe root cause of the issue is the current implementation of low power mode (LPM) for wireless chips on iPhones, researchers detailed in the paper.

As a result, on modern iPhones, wireless chips can no longer be trusted to be turned off after shutdown.

In this attack, a threat actor with system-lev…

5 дней, 6 часов назад @ threatpost.com
Microsoft’s May Patch Tuesday Updates Cause Windows AD Authentication Errors
Microsoft’s May Patch Tuesday Updates Cause Windows AD Authentication Errors Microsoft’s May Patch Tuesday Updates Cause Windows AD Authentication Errors

Microsoft is alerting customers that its May Patch Tuesday update is causing authentications errors and failures tied to Windows Active Directory Domain Services.

In a Friday update, Microsoft said it was investigating the issue.

The warning comes amid shared reports of multiple services and policies failing after installing the security update.

“Installation of updates released May 10, 2022, on client Windows devices and non-domain controller Windows Servers will not cause this issue.

WorkaroundsThe Domain administrators are advised by Microsoft to manually map the certificates to a user in Active Directory until the official updates are available.

6 дней, 8 часов назад @ threatpost.com
Threat Actors Use Telegram to Spread ‘Eternity’ Malware-as-a-Service
Threat Actors Use Telegram to Spread ‘Eternity’ Malware-as-a-Service Threat Actors Use Telegram to Spread ‘Eternity’ Malware-as-a-Service

The modules include a stealer, clipper, worm, miner and ransomware, depending on what type of attack a threat actors wants to mount, according to the post.

This is likely because threat actors can sell their products without any regulation, they said.

The Eternity Miner, a malicious program that uses the infected device to mine cryptocurrency, sells for $90 for an annual subscription.

The Eternity Clipper–malware that monitors the clipboard of an infected machine for cryptocurrency wallets and replaces them with the threat actor’s crypto-wallet addresses–is being sold for $110.

Threat actors are selling the Eternity Worm, a virus that spreads through infected machines via files and networks…

1 неделя, 2 дня назад @ threatpost.com
Malware Builder Leverages Discord Webhooks
Malware Builder Leverages Discord Webhooks Malware Builder Leverages Discord Webhooks

On April 23rd, 2022, a Discord user with the handle “Portu” began advertising a new password-stealing malware builder.

Malware builders are programs which so-called script kiddie hackers can craft their own executables on top of.

Four days later, threat analysts from Uptycs discovered the first sample of a Portu-inspired malware sample in the wild researchers dubbed “KurayStealer.” According to researchers, the malware has been used to target Discord users.

They’re like APIs, the key difference being that webhooks send information automatically, without the need for a request from the receiver.

Then it begins credential hunting: probing for passwords, tokens, IP addresses and more from Disc…

1 неделя, 3 дня назад @ threatpost.com
You Can’t Eliminate Cyberattacks, So Focus on Reducing the Blast Radius
You Can’t Eliminate Cyberattacks, So Focus on Reducing the Blast Radius You Can’t Eliminate Cyberattacks, So Focus on Reducing the Blast Radius

Tony Lauro, director of security technology and strategy at Akamai, discusses reducing your company’s attack surface and the “blast radius” of a potential attack.

The core of this strategy is the concept of “reducing the blast radius” of an attack.

Zero Trust Remote AccessWith the advent of ubiquitous remote access, every laptop, phone and tablet has become a potential threat vector for malware seeking to access the corporate network.

Instead of using infrastructure for segmentation, software creates a segmentation overlay that works across data center and cloud environments to manage all segmentation policies.

But by reducing the blast radius of an attack by containing the bad actors, you …

1 неделя, 3 дня назад @ threatpost.com
Novel ‘Nerbian’ Trojan Uses Advanced Anti-Detection Tricks
Novel ‘Nerbian’ Trojan Uses Advanced Anti-Detection Tricks Novel ‘Nerbian’ Trojan Uses Advanced Anti-Detection Tricks

Dubbed Nerbian RAT, the novel malware variant is written in the OS-agnostic Go programming language and “utilizes significant anti-analysis and anti-reversing capabilities”, according to a Proofpoint blog post published Wednesday.

The messages include safety measures related to COVID-19 as well as attachments that also include “covid19” in their names but are actually Word documents containing malicious macros.

Complexity and EvasionThe Nerbian RAT “leverages multiple anti-analysis components spread across several stages, including multiple open-source libraries,” researchers wrote.

The dropper performs various environment scans, such as anti-reversing and anti-VM checks, before executing t…

1 неделя, 3 дня назад @ threatpost.com
Intel Memory Bug Poses Risk for Hundreds of Products
Intel Memory Bug Poses Risk for Hundreds of Products Intel Memory Bug Poses Risk for Hundreds of Products

“Potential security vulnerabilities in some Intel Optane SSD and Intel Optane SSD Data Center products may allow escalation of privilege, denial of service or information disclosure,” reported Intel.

Vulnerability DetailsCVE-2021-33078According to Intel, it has the CVSS base score of 7.9 and is described as a Race condition within a thread in Intel Optane SSD and Intel Optane SSD DC products.

CVE-2021-33077This vulnerability is described as insufficient control flow management in firmware for Intel SSD and Intel SSD DC products.

It has a CVSS base score of 7.3CVE-2021-33080An attacker can perform information disclosure or privilege escalation via physical access on Intel SSD DC, Intel Optan…

1 неделя, 4 дня назад @ threatpost.com
Novel Phishing Trick Uses Weird Links to Bypass Spam Filters
Novel Phishing Trick Uses Weird Links to Bypass Spam Filters Novel Phishing Trick Uses Weird Links to Bypass Spam Filters

A novel form of phishing takes advantage of a disparity between how browsers and email inboxes read web domains.

The clever trick takes advantage of a key difference in how email inboxes and browsers read URLs, according a Monday report by Perception Point.

Ordinary email security filters interpreted it as a comment, but browsers interpreted it as a legitimate web domain.

A Lame Phishing AttemptOn May 2, Perception Point’s incident response (IR) team flagged a hasily-designed phishing email trying to pass itself off as a Microsoft notice.

So here’s the mystery: how did such a low-effort phishing attempt make it past email security filters, which are trained to spot much more sophisticated f…

1 неделя, 4 дня назад @ threatpost.com
DarkReading
последний пост 2 дня назад
Chatbot Army Deployed in Latest DHL Shipping Phish
Chatbot Army Deployed in Latest DHL Shipping Phish

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

2 дня назад @ darkreading.com
Partial Patching Still Provides Strong Protection Against APTs
Partial Patching Still Provides Strong Protection Against APTs

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

2 дня назад @ darkreading.com
Quantum Key Distribution for a Post-Quantum World
Quantum Key Distribution for a Post-Quantum World

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

2 дня, 2 часа назад @ darkreading.com
Microsoft Rushes a Fix After May Patch Tuesday Breaks Authentication
Microsoft Rushes a Fix After May Patch Tuesday Breaks Authentication

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

2 дня, 3 часа назад @ darkreading.com
Authentication Is Static, Yet Attackers Are Dynamic: Filling the Critical Gap
Authentication Is Static, Yet Attackers Are Dynamic: Filling the Critical Gap

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

2 дня, 6 часов назад @ darkreading.com
New Open Source Project Brings Consistent Identity Access to Multicloud
New Open Source Project Brings Consistent Identity Access to Multicloud

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

2 дня, 7 часов назад @ darkreading.com
More Than 1,000 Cybersecurity Career Pursuers Complete the (ISC)² Entry-Level Cybersecurity Certification Pilot Exam
More Than 1,000 Cybersecurity Career Pursuers Complete the (ISC)² Entry-Level Cybersecurity Certification Pilot Exam

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

2 дня, 22 часа назад @ darkreading.com
Deadbolt Ransomware Targeting QNAP NAS Devices
Deadbolt Ransomware Targeting QNAP NAS Devices

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

2 дня, 22 часа назад @ darkreading.com
Pro-Russian Information Operations Escalate in Ukraine War
Pro-Russian Information Operations Escalate in Ukraine War

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

3 дня назад @ darkreading.com
DoJ Won't Charge 'Good Faith' Security Researchers
DoJ Won't Charge 'Good Faith' Security Researchers

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

3 дня назад @ darkreading.com
Majority of Kubernetes API Servers Exposed to the Public Internet
Majority of Kubernetes API Servers Exposed to the Public Internet

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

3 дня, 1 час назад @ darkreading.com
Dig Exits Stealth With $11M for Cloud Data Detection and Response Solution
Dig Exits Stealth With $11M for Cloud Data Detection and Response Solution

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

3 дня, 1 час назад @ darkreading.com
6 Scary Tactics Used in Mobile App Attacks
6 Scary Tactics Used in Mobile App Attacks

Mobile attacks have been going on for many years, but the threat is rapidly evolving as more sophisticated malware families with novel features enter the scene.

3 дня, 6 часов назад @ darkreading.com
Phishing Attacks for Initial Access Surged 54% in Q1
Phishing Attacks for Initial Access Surged 54% in Q1

For the first time in a year, security incidents involving email compromises surpassed ransomware incidents, a new analysis shows.

3 дня, 7 часов назад @ darkreading.com
MITRE Creates Framework for Supply Chain Security
MITRE Creates Framework for Supply Chain Security

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

3 дня, 22 часа назад @ darkreading.com
WeLiveSecurity WeLiveSecurity
последний пост 2 дня, 2 часа назад
Cryptocurrency: secure or not? – Week in security with Tony Anscombe
Cryptocurrency: secure or not? – Week in security with Tony Anscombe Cryptocurrency: secure or not? – Week in security with Tony Anscombe

When you hear the term ‘cryptocurrency’, does ‘secure’ also spring to mind?

Here are some implications of the lack of sound security practices in the world of crypto.

When you hear the term ‘cryptocurrency’, does ‘secure’ also immediately spring to mind?

In this edition of Week in security, Tony examines several implications of the lack of sound security practices in the world of crypto.

Sign up to receive an email update whenever a new article is published in our Ukraine Crisis – Digital Security Resource Center Submit

2 дня, 2 часа назад @ welivesecurity.com
Sandworm uses a new version of ArguePatch to attack targets in Ukraine
Sandworm uses a new version of ArguePatch to attack targets in Ukraine Sandworm uses a new version of ArguePatch to attack targets in Ukraine

The ESET research team has now spotted an updated version of the ArguePatch malware loader that was used in the Industroyer2 attack against a Ukrainian energy provider and in multiple attacks involving data wiping malware called CaddyWiper.

The Industroyer2 attack, meanwhile, leveraged a patched version of HexRays IDA Pro’s remote debug server.

The latest find builds on a string of discoveries that ESET researchers have made since just before Russia’s invasion of Ukraine.

The next day, a second destructive attack against a Ukrainian governmental network started, this time deploying IsaacWiper.

Importantly, ESET’s collaboration with CERT-UA led to the discovery of a planned attack involving …

2 дня, 3 часа назад @ welivesecurity.com
The flip side of the coin: Why crypto is catnip for criminals
The flip side of the coin: Why crypto is catnip for criminals The flip side of the coin: Why crypto is catnip for criminals

Naturally, the fascination with all things crypto and the (almost) gravity-defying increase in the value of many cryptocurrencies haven’t escaped the notice of criminals.

Let’s look at how criminals hijack computing power to mine new coins and how they make off with other people’s ‘crypto cash’.

ConsAs crypto prices fluctuate wildly, “investing” in these assets is not for the faint of heart.

The semiconductor chip shortage along with the rush by crypto “prospectors” to build specialized rigs in order to capitalize on the soaring crypto prices have conspired to a burst in demand for GPUs, ultimately sending their prices through the roof.

TheftCryptocurrencies are stored in so-called wallets …

3 дня, 10 часов назад @ welivesecurity.com
Fake news – why do people believe it?
Fake news – why do people believe it? Fake news – why do people believe it?

From this point on, each will be more open to consume news that confirms their perspective – even if the news is fake.

On social media, we are inside of our own bubble, the place where we are always right.

These battalions of trolls and bots use social media to shape people’s minds and amplify “marginal voices and ideas by inflating the number of likes, shares, and retweets”.

Harder than knowing the people behind fake news is understanding what we can do to manage the content published on online platforms.

Since then, fake news has not only impacted election results, but also brought harm to people in real life.

4 дня, 10 часов назад @ welivesecurity.com
The downside of ‘debugging’ ransomware
The downside of ‘debugging’ ransomware The downside of ‘debugging’ ransomware

But if we crack open the keys to ransomware, don’t we just help the bad guys make it better next time?

But the bad guys are usually good at hiding – they can afford all the good tools by paying the big bucks they just stole.

And it cuts the lifespan of effective ransomware tools and techniques down so they don’t make much money.

It costs money for the bad guys to develop good ransomware, and they want a payback.

Dealing with ransomware, both its operators and the ransomware code itself, is a tricky process, and it is often a game of chess that can take weeks or months or even years to play out as the good guys battle the bad guys.

6 дней, 10 часов назад @ welivesecurity.com
How to spot and avoid a phishing attack – Week in security with Tony Anscombe
How to spot and avoid a phishing attack – Week in security with Tony Anscombe How to spot and avoid a phishing attack – Week in security with Tony Anscombe

Can you spot the tell-tale signs of a phishing attempt and check if an email that has landed in your inbox is legit?

Did you know that some 90 percent of successful cyberattacks start with a phishing email?

This helps show why learning to recognize and avoid phishing attacks is such an important skill to master these days.

In this edition of Week in security, Tony shares a few tell-tale warning signs of phishing messages.

Sign up to receive an email update whenever a new article is published in our Ukraine Crisis – Digital Security Resource Center Submit

1 неделя, 2 дня назад @ welivesecurity.com
10 reasons why we fall for scams
10 reasons why we fall for scams 10 reasons why we fall for scams

What’s more, scams are growing in sophistication and none of us is immune to any of the various flavors of online schemes that have proven their staying power.

Let’s look at some of the most common reasons why the various tricks and social engineering methods aimed at parting us from our money are so effective.

Scammers are good storytellersMany con artists can create plausible stories and personas that may not always trigger your spam filters.

Likewise, they’re quick to exploit current events for their own gain, including by taking advantage of fears surrounding public emergencies.

In closing, never assume you can’t fall victim to a scam.

1 неделя, 3 дня назад @ welivesecurity.com
Opportunity out of crisis: Tapping the Great Resignation to close the cybersecurity skills gap
Opportunity out of crisis: Tapping the Great Resignation to close the cybersecurity skills gap Opportunity out of crisis: Tapping the Great Resignation to close the cybersecurity skills gap

What can organizations do to capitalize on the current fluidity in the job market and bring fresh cybersecurity talent into the fold?

We all know there’s a cybersecurity skills shortage.

We’ve also all heard about the Great Resignation: a once-in-a-generation period of upheaval in the job market as workers reappraise their career paths following the pandemic.

According to (ISC)², the global cybersecurity skills shortfall now stands at 2.7 million workers globally, including nearly 200,000 in Europe.

Time for changeSo what can employers do to tap the Great Resignation and capitalize on the current fluidity in the job market?

1 неделя, 4 дня назад @ welivesecurity.com
Common LinkedIn scams: Beware of phishing attacks and fake job offers
Common LinkedIn scams: Beware of phishing attacks and fake job offers Common LinkedIn scams: Beware of phishing attacks and fake job offers

Let’s go through a few examples of common scams exploiting LinkedIn.

Once we click a link in such a fake email, we’re sent to a fake LinkedIn landing page that asks for our login credentials.

** LinkedIn Phishing Scams ** Scammers target jobseekers with fake emails like this to make them think that recruiters may be interested in hiring them.#ScamAdviserAlerts #ScamAlert #OnlineScam #Phishing #LinkedIn pic.twitter.com/6p3yrZhBZZ — ScamAdviser (@scamadviser) March 25, 2022Bogus job offersOther ways of stealing logins involve offers for well-paying “job offers” that are within reach upon replying to a direct message.

I just confirmed from Afex on LinkedIn that this job advert, interview and e…

1 неделя, 6 дней назад @ welivesecurity.com
Defending against APT attacks – Week in security with Tony Anscombe
Defending against APT attacks – Week in security with Tony Anscombe Defending against APT attacks – Week in security with Tony Anscombe

The conflict in Ukraine has highlighted the risks of cyberespionage attacks that typically involve Advanced Persistent Threat groups and often target organizations’ most valuable dataThe conflict in Ukraine has highlighted the risks of cyberespionage and sabotage, which typically involve Advanced Persistent Threat (APT) groups.

In this special edition of Week in security, Tony looks at:what the term “Advanced Persistent Threat” actually describes and what the objectives of groups behind these attacks arewhat some of the most dangerous APT groups are and their activities have also been analyzed by ESET researchers recentlywhat kinds of mitigation measures organizations can implement so they …

2 недели, 2 дня назад @ welivesecurity.com
There’s no sugarcoating it: That online sugar daddy may be a scammer
There’s no sugarcoating it: That online sugar daddy may be a scammer There’s no sugarcoating it: That online sugar daddy may be a scammer

But have you heard of sugar daddy, or sugar momma, scams?

This was sent to my dog’s Instagram account pic.twitter.com/ZayKUaJL4Y — Jessica Huseman (@JessicaHuseman) January 25, 2022What are sugar daddy or sugar momma scams, anyway?

Fortunately, there are several ways to spot the tell-tale signs of a sugar daddy scammer.

Before replying to a possible sugar daddy on social media, check their profile for some of the above tell-tale signs of a scammer.

And if you think a family member of friend may be on the lookout for a sugar daddy, share this article.

2 недели, 3 дня назад @ welivesecurity.com
3 most dangerous types of Android malware
3 most dangerous types of Android malware 3 most dangerous types of Android malware

Your smartphone stores almost every aspect of your life, from memories captured as photos to personal notes and schedules, login details and various other kinds of sensitive data.

Add to that the open nature of the Android ecosystem and it’s clearer why these devices bear the brunt of malicious attacks on mobile devices and remain a lucrative target for attackers.

Google has, of course, introduced a number of privacy- and security-enhancing features for Android devices.

Malware comes in various forms and works in various vicious ways.

Sign up to receive an email update whenever a new article is published in our Ukraine Crisis – Digital Security Resource Center Submit

2 недели, 4 дня назад @ welivesecurity.com
What’s behind the record‑high number of zero days?
What’s behind the record‑high number of zero days? What’s behind the record‑high number of zero days?

These software bugs are exploited for attacks before the flaw is known to the software vendor and so before a patch is available.

Google’s Project Zero team was created over eight years ago with the specific goal of finding and responsibly disclosing zero-day bugs to vendors.

It identified 80 zero-day vulnerabilities exploited in the wild last year, more than double the previous record of 32 back in 2019.

As Google’s Stone argued, the industry needs to get better at making zero-day exploits harder for threat actors to develop.

That will force attackers to start from scratch when looking to find new zero-day bugs.

2 недели, 5 дней назад @ welivesecurity.com
TA410 under the microscope – Week in security with Tony Anscombe
TA410 under the microscope – Week in security with Tony Anscombe TA410 under the microscope – Week in security with Tony Anscombe

Here’s what you should know about FlowingFrog, LookingFrog and JollyFrog – the three teams making up the TA410 espionage umbrella groupIn this edition of Week in security, Tony looks at the latest ESET research that:provided a detailed overview of TA410, a cyberespionage umbrella group that targets entities in the government and education sectors all around the worldrevealed that TA 410 is made up of three teams – FlowingFrog, LookingFrog, and JollyFrog, each with its own toolset and targets anddiscovered a new version of FlowCloud, a complex and modular remote access tool that has several interesting capabilities and is used by FlowingFrogFor example, FlowCloud can:collect mouse movements,…

3 недели, 2 дня назад @ welivesecurity.com
A lookback under the TA410 umbrella: Its cyberespionage TTPs and activity
A lookback under the TA410 umbrella: Its cyberespionage TTPs and activity A lookback under the TA410 umbrella: Its cyberespionage TTPs and activity

The C&C server is hardcoded, in cleartext, in the sample; in this specific case, it is set to 114.118.83[.]141.

T1559.001 Inter-Process Communication: Component Object Model FlowCloud uses COM interfaces to schedule tasks and perform WMI queries.

T1014 Rootkit FlowCloud uses a rootkit to hide its network traffic and processes from system utilities.

T1574.002 Hijack Execution Flow: DLL Side-Loading FlowCloud uses DLL Side-Loading to launch its second-stage dropper.

T1115 Clipboard Data FlowCloud registers a listener to steal clipboard data when it is changed.

3 недели, 4 дня назад @ welivesecurity.com
Naked Security Naked Security
последний пост 1 день, 20 часов назад
Mozilla patches Wednesday’s Pwn2Own double-exploit… on Friday!
Mozilla patches Wednesday’s Pwn2Own double-exploit… on Friday! Mozilla patches Wednesday’s Pwn2Own double-exploit… on Friday!

Have you listened to our podcast?

1 день, 20 часов назад @ nakedsecurity.sophos.com
Microsoft patches the Patch Tuesday patch that broke authentication
Microsoft patches the Patch Tuesday patch that broke authentication Microsoft patches the Patch Tuesday patch that broke authentication

Have you listened to our podcast?

1 день, 21 час назад @ nakedsecurity.sophos.com
US Government says: Patch VMware right now, or get off our network
US Government says: Patch VMware right now, or get off our network US Government says: Patch VMware right now, or get off our network

US Government says: Patch VMware right now, or get off our network

2 дня, 6 часов назад @ nakedsecurity.sophos.com
S3 Ep83: Cracking passwords, patching Firefox, and Apple vulns [Podcast]
S3 Ep83: Cracking passwords, patching Firefox, and Apple vulns [Podcast] S3 Ep83: Cracking passwords, patching Firefox, and Apple vulns [Podcast]

Have you listened to our podcast?

3 дня, 6 часов назад @ nakedsecurity.sophos.com
Pwn2Own hacking schedule released – Windows and Linux are top targets
Pwn2Own hacking schedule released – Windows and Linux are top targets Pwn2Own hacking schedule released – Windows and Linux are top targets

Have you listened to our podcast?

4 дня, 6 часов назад @ nakedsecurity.sophos.com
Apple patches zero-day kernel hole and much more – update now!
Apple patches zero-day kernel hole and much more – update now! Apple patches zero-day kernel hole and much more – update now!

Have you listened to our podcast?

5 дней, 10 часов назад @ nakedsecurity.sophos.com
Firefox out-of-band update to 100.0.1 – just in time for Pwn2Own?
Firefox out-of-band update to 100.0.1 – just in time for Pwn2Own? Firefox out-of-band update to 100.0.1 – just in time for Pwn2Own?

Have you listened to our podcast?

6 дней, 22 часа назад @ nakedsecurity.sophos.com
He cracked passwords for a living – now he’s serving 4 years in prison
He cracked passwords for a living – now he’s serving 4 years in prison He cracked passwords for a living – now he’s serving 4 years in prison

Tolpintsev was also accused of using that botnet to crack passwords that he then sold on the dark web.

But password cracking in its simplest form can trivially be sliced up into as many sub-tasks as you have processor cores available.

He’s now been sentenced to four years in prison, and ordered to pay up $82,648 that the DOJ could show he’d “earned” by selling on the passwords he’d cracked.

A good password manager will not only generated wacky, random passwords for you, it will prevent you from using the same password twice.

A good password manager will not only generated wacky, random passwords for you, it will prevent you from using the same password twice.

1 неделя, 2 дня назад @ nakedsecurity.sophos.com
S3 Ep82: Bugs, bugs, bugs (and Colonial Pipeline again) [Podcast]
S3 Ep82: Bugs, bugs, bugs (and Colonial Pipeline again) [Podcast] S3 Ep82: Bugs, bugs, bugs (and Colonial Pipeline again) [Podcast]

Have you listened to our podcast?

1 неделя, 3 дня назад @ nakedsecurity.sophos.com
Serious Security: Learning from curl’s latest bug update
Serious Security: Learning from curl’s latest bug update Serious Security: Learning from curl’s latest bug update

Have you listened to our podcast?

1 неделя, 3 дня назад @ nakedsecurity.sophos.com
Colonial Pipeline facing $1,000,000 fine for poor recovery plans
Colonial Pipeline facing $1,000,000 fine for poor recovery plans Colonial Pipeline facing $1,000,000 fine for poor recovery plans

Have you listened to our podcast?

1 неделя, 5 дней назад @ nakedsecurity.sophos.com
RubyGems supply chain rip-and-replace bug fixed – check your logs!
RubyGems supply chain rip-and-replace bug fixed – check your logs! RubyGems supply chain rip-and-replace bug fixed – check your logs!

Have you listened to our podcast?

1 неделя, 6 дней назад @ nakedsecurity.sophos.com
You didn’t leave enough space between ROSE and AND, and AND and CROWN
You didn’t leave enough space between ROSE and AND, and AND and CROWN You didn’t leave enough space between ROSE and AND, and AND and CROWN

You didn’t leave enough space between ROSE and AND, and AND and CROWN

2 недели, 2 дня назад @ nakedsecurity.sophos.com
S3 Ep81: Passwords (still with us!), Github, Firefox at 100, and network worms [Podcast]
S3 Ep81: Passwords (still with us!), Github, Firefox at 100, and network worms [Podcast] S3 Ep81: Passwords (still with us!), Github, Firefox at 100, and network worms [Podcast]

Have you listened to our podcast?

2 недели, 3 дня назад @ nakedsecurity.sophos.com
World Password Day – the 1960s just called and gave you your passwords back
World Password Day – the 1960s just called and gave you your passwords back World Password Day – the 1960s just called and gave you your passwords back

Have you listened to our podcast?

2 недели, 3 дня назад @ nakedsecurity.sophos.com
Help Net Security Help Net Security
последний пост 11 часов назад
Week in review: VMware critical fixes, Bluetooth LE flaw unlocks cars, Kali Linux 2022.2
Week in review: VMware critical fixes, Bluetooth LE flaw unlocks cars, Kali Linux 2022.2 Week in review: VMware critical fixes, Bluetooth LE flaw unlocks cars, Kali Linux 2022.2

Offensive Security has released Kali Linux 2022.2, the latest version of its popular penetration testing and digital forensics platform.

Remote work hazards: Attackers exploit weak WiFi, endpoints, and the cloudInfoblox unveils a global report examining the state of security concerns, costs, and remedies.

As the pandemic and uneven shutdowns stretch into a third year, organizations are accelerating digital transformation projects to support remote work.

Two business-grade Netgear VPN routers have security vulnerabilities that can’t be fixedNetgear has admitted that multiple security vulnerabilities in its business-grade BR200 and BR500 VPN routers can’t be fixed due to technical limitations…

11 часов назад @ helpnetsecurity.com
BigBear.ai names Tony Barrett as President of the Cyber and Engineering Sector
BigBear.ai names Tony Barrett as President of the Cyber and Engineering Sector BigBear.ai names Tony Barrett as President of the Cyber and Engineering Sector

BigBear.ai announced the company has appointed Tony Barrett as President of the Cyber and Engineering Sector.

Previously, Barrett was Senior Vice President of the Integrated Defense Solutions Business Unit in the Cyber and Engineering Sector for BigBear.ai, servicing the United States Air Force and Department of Homeland Security.

Earlier in his career, Barrett served over two decades in the Marine Corps in the Intelligence field as an analyst and Intelligence Officer.

We’re excited to see the new heights Tony will achieve in this role.”“BigBear.ai’s Cyber and Engineering Sector is a critical resource to the federal government as it increases adoption of emerging technologies to solve compl…

21 час назад @ helpnetsecurity.com
Workato expands leadership team with new appointments
Workato expands leadership team with new appointments Workato expands leadership team with new appointments

Workato announced the appointments of Carle Quinn as Chief People Officer; Kerry Moore as its first Vice President of Talent & Diversity; and Keith Tyndall as Vice President of Corporate and Brand Marketing.

He has previously held marketing leadership roles at ServiceTitan, BlackLine, and Cornerstone OnDemand.

Tyndall will drive Workato’s global brand marketing and corporate communications strategy across key areas, utilizing his extensive expertise in high-growth SaaS technology companies across strategic communications, investor relations, product marketing, and brand strategy.

“I’ve dedicated my career to marketing leadership roles in global enterprise organizations, and am excited to le…

21 час назад @ helpnetsecurity.com
CyberSheath launches partner program to help DIB companies achieve CMMC compliance
CyberSheath launches partner program to help DIB companies achieve CMMC compliance CyberSheath launches partner program to help DIB companies achieve CMMC compliance

Security, compliance, and IT roadblocks slow down federal contractors working to achieve compliance with Cybersecurity Maturity Model Certification (CMMC).

CyberSheath has launched a partner program designed to empower vendors to expand their core capabilities and achieve CMMC compliance faster.

The CyberSheath Partner Program allows managed security service providers (MSSPs) and managed service providers (MSPs) to easily identify opportunities to speed their end customers’ cybersecurity compliance journeys.

Every customer has gaps when it comes to CMMC compliance, and they want to fill them efficiently.

Our one-of-a-kind partner program allows IT providers to step into cybersecurity and vi…

21 час назад @ helpnetsecurity.com
Microchip Precise Time Scale Systems enables traceability to UTC without depending on GNSS
Microchip Precise Time Scale Systems enables traceability to UTC without depending on GNSS Microchip Precise Time Scale Systems enables traceability to UTC without depending on GNSS

With pervasive cybersecurity threats to Global Navigation Satellite Systems (GNSS), utilizing an alternative time system is a matter of national security.

The Precise Time Scale System (PTSS) is a fully integrated system capable of providing timing accuracies comparable to the world’s best national laboratories.

The Precise Time Scale System integrates the new portfolio of time scale products into a turnkey solution, available in a single rack and guaranteed by a complete Factory Acceptance Test (FAT) that exceeds the most stringent requirements.

This system modularity allows timekeepers the ability to procure the system over time as budgets permit and technology evolves.

AvailabilityThe Pr…

1 день, 19 часов назад @ helpnetsecurity.com
PlainID partners with PwC to help enterprises manage authorization policies
PlainID partners with PwC to help enterprises manage authorization policies PlainID partners with PwC to help enterprises manage authorization policies

The Amsterdam-based PwC firm operates as the “IAM Center Of Excellence” within EMEA for digital identity services.

Adding PlainID to its fold will allow PwC to extend the IAM portfolio into the policy-based digital identity domain, recognizing that PlainID is a core component of zero trust architecture.

“We are excited to build this partnership with PlainID,” said Gerald Horst, PwC Lead Partner – Digital Identity EMEA, and member of the PwC global Network Information Security Review Board.

By making authorization decisions simple, smart, granular, and dynamic, PlainID helps enterprises control who can access what, when, and how on whose authority.

“Working together with PwC enables us to de…

1 день, 20 часов назад @ helpnetsecurity.com
Castellan Solutions announces integrations with leading emergency notification platforms
Castellan Solutions announces integrations with leading emergency notification platforms Castellan Solutions announces integrations with leading emergency notification platforms

Castellan Solutions announces new integrations with leading emergency notification platforms, enabling organizations to drive crisis and disruption communications natively from within the Castellan resilience management platform.

“While Castellan offers its own emergency notification option, customers already using one of these third-party platforms may prefer to continue using that platform as their primary notification system,” stated Annie Asrari, Chief Product Officer of Castellan.

“Integrating these respected providers with the Castellan platform allows resilience leaders to manage their critical communications more seamlessly and effectively.

Leverage message templates created in your…

1 день, 20 часов назад @ helpnetsecurity.com
Red River appoints Brian Roach as CEO
Red River appoints Brian Roach as CEO Red River appoints Brian Roach as CEO

Red River announced that Brian Roach has been appointed Chief Executive Officer, effective May 31.

Roach joins Red River from SAP North America, where he led the Regulated Industries practice in the United States.

“Brian is ideally suited to lead Red River into the future,” said Red River Chairman Nana Banerjee.

“This is an exciting time to join Red River,” said Roach.

“Red River continues to meet the evolving needs of government agencies and businesses with its market-leading capabilities,” said Michael Sanford, Cerberus Senior Managing Director.

1 день, 21 час назад @ helpnetsecurity.com
Amit Serper joins Sternum as Director of Security Research
Amit Serper joins Sternum as Director of Security Research Amit Serper joins Sternum as Director of Security Research

Sternum welcomes Amit Serper, an international cybersecurity expert, as its new Director of Security Research.

Amit Serper, who found a “vaccine” for NotPetya, now joins Sternum’s leadership team to lend the company his vast expertise in cybersecurity.

Before joining Sternum, Amit worked as the Director of Security Research for Akamai Technologies, a U.S. cloud and cybersecurity giant, where he focused on enterprise network protection.

“Sternum’s product is a real breakthrough for the entire IoT security industry,” says Amit Serper, Sternum’s Director of Security Research.

“He is a world-class expert whose knowledge will be crucial for us as we work to transform the core tenets of IoT secur…

1 день, 21 час назад @ helpnetsecurity.com
ISACA Risk Starter Kit provides risk management templates and policies
ISACA Risk Starter Kit provides risk management templates and policies ISACA Risk Starter Kit provides risk management templates and policies

To aid enterprises in creating their own tailored risk management program, ISACA has released a Risk Starter Kit, which contains a wealth of tools and templates to facilitate risk assessment, risk appetite, risk maturity assessment, risk policy creation and other related tasks.

Created by a group of global risk experts, the Risk Starter Kit includes guidance and templates that provide enterprises with a strong foundation for creating their own customized risk management tasks suited to their needs.

“It takes time and reflection for enterprises to perform risk management functions and having a trusted foundation from which to design these risk activities adds significant value.

These tools w…

1 день, 21 час назад @ helpnetsecurity.com
NTU Singapore and CSA Singapore open security testing centre
NTU Singapore and CSA Singapore open security testing centre NTU Singapore and CSA Singapore open security testing centre

To meet the demands of Singapore’s cybersecurity evaluation needs, Nanyang Technological University, Singapore (NTU Singapore) and the Cyber Security Agency of Singapore (CSA) officially launched the National Integrated Centre for Evaluation (NiCE).

The first of its kind in South-East Asia, the joint centre serves as a one-stop facility for cyber security evaluation and certification.

End users have little means to assess if these components are secure and need to rely on independent experts to perform such security evaluation.

Seeding a community of practiceThe barriers to entry for the security evaluation industry is high due to high equipment cost and deep expertise needed to perform sec…

1 день, 21 час назад @ helpnetsecurity.com
Two business-grade Netgear VPN routers have security vulnerabilities that can’t be fixed
Two business-grade Netgear VPN routers have security vulnerabilities that can’t be fixed Two business-grade Netgear VPN routers have security vulnerabilities that can’t be fixed

Netgear has admitted that multiple security vulnerabilities in its business-grade BR200 and BR500 VPN routers can’t be fixed due to technical limitations outside of their control, and is offering users a free or discounted replacement router.

The routers and the vulnerabilitiesNetgear’s BR200 and BR500 VPN routers are marketed as remote networking solutions for small to medium-size businesses and home offices, and provide features such as a site-2-site VPN connection, a firewall, remote configuration and monitoring, and more.

Close all other browser tabs other than the router’s management GUI.

Make sure that you log out when you are not actively managing your router,” the company advises.

S…

2 дня, 7 часов назад @ helpnetsecurity.com
New infosec products of the week: May 20, 2022
New infosec products of the week: May 20, 2022 New infosec products of the week: May 20, 2022

Here’s a look at the most interesting products from the past week, featuring releases from Deepfence, Kasten by Veeam, Qualys, Skybox Security, and Trusona.

Deepfence Cloud protects cloud native applications and infrastructure against cybersecurity threatsDeepfence Cloud, built on the ThreatStryker offering from Deepfence, observes runtime indicators of attack (IoA) and indicators of compromise (IoC) and correlates events to tell the story of each attack as it evolves.

With Deepfence Cloud, enterprises can easily tap into ThreatStryker to provide targeted security for their applications against known and unknown threats in real time.

This new financial calculation enables customers to ident…

2 дня, 15 часов назад @ helpnetsecurity.com
How to ensure that the smart home doesn’t jeopardize data privacy?
How to ensure that the smart home doesn’t jeopardize data privacy? How to ensure that the smart home doesn’t jeopardize data privacy?

This status has been almost entirely driven by the rise of the smart speaker – the first truly mass-market smart home device.

However, as more and more people buy into the smart home and devices proliferate, there is an ever-bigger price to pay when it comes to data security and privacy.

There is a much lower ceiling to the smart home market if consumer concerns around data privacy cannot be solved – not just for today’s smart speakers, but also for whatever devices come next.

Security and privacy are non-negotiable for the smart homeMaking devices capable of processing data locally, and reacting to the results based on local AI, would represent a huge stride forward in data privacy.

The sh…

2 дня, 16 часов назад @ helpnetsecurity.com
Email is the riskiest channel for data security
Email is the riskiest channel for data security Email is the riskiest channel for data security

Email was revealed as the riskiest channel for data loss in organizations, as stated by 65% of IT security practitioners.

User-created data (sensitive email content, text files, M&A documents), regulated data (credit card data, Social Security numbers, national ID numbers, employee data), and intellectual property were identified as the three types of data that are most difficult to protect from data loss.

The top two consequences for data loss incidents were revealed as non-compliance with data protection regulations (57%) and damage to an organization’s reputation (52%).

Further, 52% of respondents report being unable to identify legitimate data loss incidents and standard employee data h…

2 дня, 16 часов назад @ helpnetsecurity.com
IT Security Guru
последний пост 2 дня, 9 часов назад
Conti ransomware group disbands
Conti ransomware group disbands

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

2 дня, 9 часов назад @ itsecurityguru.org
Who is UNC1756 – the hacker threatening Costa Rica?
Who is UNC1756 – the hacker threatening Costa Rica?

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

3 дня, 4 часа назад @ itsecurityguru.org
Two million Texans have their details exposed
Two million Texans have their details exposed

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

3 дня, 8 часов назад @ itsecurityguru.org
Good News…Security Culture is Improving Around the World
Good News…Security Culture is Improving Around the World

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

4 дня, 5 часов назад @ itsecurityguru.org
North Korean devs go undercover to aid DPRK hackers
North Korean devs go undercover to aid DPRK hackers

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

4 дня, 9 часов назад @ itsecurityguru.org
Omnicell healthcare company hit by ransomware
Omnicell healthcare company hit by ransomware

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

4 дня, 10 часов назад @ itsecurityguru.org
OBRELA secures King Faisal Specialist Hospital and Research Centre
OBRELA secures King Faisal Specialist Hospital and Research Centre

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

4 дня, 10 часов назад @ itsecurityguru.org
Armis Launches new ‘Critical Infrastructure Protection Program’
Armis Launches new ‘Critical Infrastructure Protection Program’

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

5 дней, 6 часов назад @ itsecurityguru.org
Thanos and Jigsaw ransomware linked to 55 year old doctor
Thanos and Jigsaw ransomware linked to 55 year old doctor

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

5 дней, 10 часов назад @ itsecurityguru.org
Italian police thwart Eurovision cyberattack
Italian police thwart Eurovision cyberattack

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

5 дней, 10 часов назад @ itsecurityguru.org
UK announces nuclear cybersecurity strategy
UK announces nuclear cybersecurity strategy

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

6 дней, 9 часов назад @ itsecurityguru.org
EU announces provisional cybersecurity directive
EU announces provisional cybersecurity directive

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

6 дней, 10 часов назад @ itsecurityguru.org
Security pros say their mental health has declined
Security pros say their mental health has declined

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

1 неделя, 2 дня назад @ itsecurityguru.org
NCSC launches free email security check
NCSC launches free email security check

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

1 неделя, 3 дня назад @ itsecurityguru.org
Five Eyes urges organisations to secure supply chains
Five Eyes urges organisations to secure supply chains

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

1 неделя, 3 дня назад @ itsecurityguru.org
SecurityTrails
последний пост None
Блоги 👨‍💻
Бизнес без опасности Бизнес без опасности
последний пост 5 месяцев, 3 недели назад
Блог переезжает на новый домен - lukatsky.ru
Блог переезжает на новый домен - lukatsky.ru Блог переезжает на новый домен - lukatsky.ru

Месячник молчания закончен - спешу сообщить, что блог переехал на новый домен - lukatsky.ru, где мы с вами и встретимся :-)Тут всем пока, а там всем привет!

И с международным днем защиты информации!!

5 месяцев, 3 недели назад @ lukatsky.blogspot.com
Куда падает качество нормативки наших регуляторов и что с этим делать?
Куда падает качество нормативки наших регуляторов и что с этим делать? Куда падает качество нормативки наших регуляторов и что с этим делать?

РКН со своим 1046-м Постановление Правительства по надзору в области персональных данных тоже накосячил - и в расширительном толковании отдельных терминов, и синтаксических ошибках.

И это только три примера, которые достаточно свежие и от разных регуляторов, но их ведь гораздо больше.

Надо сказать, что это не совсем проблема регулятора, что у нас исторически все боятся сказать что-то против политики партии, но и его тоже - он же поощряет ее.

Поэтому только публичная активность, но на это рассчитывать не приходится - не приучен у нас регулятор к публичной критике, а еще и отомстить может.

Пятый вариант заключается в том, чтобы попробовать сферического коня в вакууме в своем загоне, то есть в…

6 месяцев, 3 недели назад @ lukatsky.blogspot.com
Моделирование угроз в процессе разработки ПО
Моделирование угроз в процессе разработки ПО Моделирование угроз в процессе разработки ПО

Решил я тут раскрыть чуть больше краткую заметку в своем Telegram, посвященную моделированию угроз в процессе разработки ПО.

Я написал следующее: "Методика оценки угроз ФСТЭК не применяется при моделировании угроз в рамках безопасной разработки.

А, в конце концов, нарушение правил контроля доступа, которое отвечает за 10 из 30 основных проблем безопасности ПО?

Ее, кстати, нет и в текущей методике оценки угроз, что ставить нас перед непростой задачей - какую из актуальных угроз нейтрализовывать первой, какую второй, какую третьей и т.д.

А пока я остаюсь при своем мнении относительно того, что пока у нас нет методики оценки угроз в рамках процесса безопасной разработки.

6 месяцев, 4 недели назад @ lukatsky.blogspot.com
Как может s-curve'иться CISO?
Как может s-curve'иться CISO? Как может s-curve'иться CISO?

Одни высказывались в пользу того, что не дело ИБ следить за тем, как тратится рабочее время компании.

Да, возможно слежение за рабочим времени - это не функция ИБ (что не мешает ИБ-вендорам активно допиливать свои решения именно для этой задачи).

Но не стоит забывать, что ИБ - это не только функция, но и инструмент, который может быть использован и другими подразделениями для их задач.

Да, ИБ может не приносить дохода, но при этом влиять на снижение расходов, тем самым увеличивая прибыль предприятия.

И дело не только и не столько в том, чтобы снижать стоимость инцидентов или предотвращать мошенничество, о чем мы тоже говорили.

7 месяцев, 3 недели назад @ lukatsky.blogspot.com
Круглый стол "Формальная безопасность vs практическая безопасность: как достичь синергии"
Круглый стол "Формальная безопасность vs практическая безопасность: как достичь синергии" Круглый стол "Формальная безопасность vs практическая безопасность: как достичь синергии"

Вторым круглым столом на конференции "Кибербезопасность нового времени", проведенной Innostage в рамках казанской DigitalWeek, был "Формальная безопасность vs практическая безопасность: как достичь синергии", который получился не таким, как я его задумывал изначально, готовя вопросы.

Почему об этом нигде не говорится и зачем вообще тогда надо было принимать документ, который нормально и не применить и меньше через год надо повторять процедуру (а деньги где брать)?

А все потому, что этот стандарт имеет пометку "для служебного пользования".

И как тут быть?

ФСТЭК говорила на мероприятиях, что у них есть ОКИИ (научной деятельностью они же занимаются в том же Воронеже).

7 месяцев, 3 недели назад @ lukatsky.blogspot.com
Подомнет ли большая пятерка ИБ-игроков российский рынок или когда выпи***т всех иностранцев с рынка?
Подомнет ли большая пятерка ИБ-игроков российский рынок или когда выпи***т всех иностранцев с рынка? Подомнет ли большая пятерка ИБ-игроков российский рынок или когда выпи***т всех иностранцев с рынка?

Она сообщила, что заявленный план перехода объектов КИИ на российское ПО и оборудование к 2023-2024 г. выглядит красиво, но нереалистично.

Возможно в Газпромнефти и Энергоатоме разные ПО и железо, но я из практики тоже больше склоняюсь к позиции Лилии Загородных.

Если государство думает, что иностранные игроки всеми конечностями будут жержаться за российский рынок и довольствооваться подачками, то это не так.

И в тучные времена доля России в объеме бизнеса иностранных ИТ и ИБ-компаний составляла около 1%.

И это правда.

8 месяцев назад @ lukatsky.blogspot.com
Перевод MITRE ATT&CK и ее маппинг на техники ФСТЭК
Перевод MITRE ATT&CK и ее маппинг на техники ФСТЭК Перевод MITRE ATT&CK и ее маппинг на техники ФСТЭК

К этому выступлению я планировал завершить перевод последней версии матрицы MITRE ATT&CK v9 на русский язык и маппинг техник ФСТЭК в техники MITRE ATT&CK, что и было сделано (ссылки будут ниже).

Поэтому я и задался целью связать то, что принято во всем мире как стандарт де-факто (пусть и неидеальный) и что требует делать ФСТЭК.

Второй и, наверное, более серьезной задачей было найти соответствие между 145 техниками ФСТЭК и 400+ техник MITRE ATT&CK.

В октябре должна быть анонсирована новая, 10-я версия, MITRE ATT&CK и я планирую обновить свои переводы и маппинг.

Кроме того, у меня в планах перевести матрицу ATT&CK for ICS, провести маппинг техник ФСТЭК с ней, а также провести обратный маппинг…

8 месяцев, 1 неделя назад @ lukatsky.blogspot.com
Сколько ИБшников надо в штат службы ИБ: формула расчета
Сколько ИБшников надо в штат службы ИБ: формула расчета Сколько ИБшников надо в штат службы ИБ: формула расчета

И ты выходишь весь оплеванный и не знаешь, как обосновать выделение ресурсов.

Идея заключается в том, что мы должны выписать все функции, которые нам нужны для обеспечения ИБ в табличку и против каждой функции проставить число часов, которые эта функция требует.

Очевидно, что чем крупнее организация, тем больше функций ИБ в ней реализуется и тем больше времени на них нужно.

Но в данном примере нам нужно 140 часов в неделю, что при 40 рабочих часах по Трудовому Кодексу составит 3,5 FTE (Full-Time Equivalent).

Допустим, вы банк и вам "навесили" обеспечение непрерывной надежности и уведомление ФинЦЕРТ об инцидентах ИБ, а ИТ сбагрила вам проект по идентификации и аутентификации.

8 месяцев, 3 недели назад @ lukatsky.blogspot.com
О резюме специалистов по ИБ
О резюме специалистов по ИБ О резюме специалистов по ИБ

Почему мало кто из ИБшников или ИБшных сейлов пишет о своих измеримых достижениях в резюме?

По ним оценивается специалист, а не по тому какому КОИБАСу его учили старперы по учебникам времен Петра Первого.

Как правильно отметила в заметке Екатерина Калугина, большинство соискателей в резюме пишут, что делали (а это у многих схожих по роли специалистов очень похоже), а не что сделали.

Писать резюме - несложная штука, научиться сильно проще, чем обращаться с PowerPoint" и я с ним согласен.

О том, как писать резюме можно писать еще много, но я не ставил перед собой такую задачу.

8 месяцев, 3 недели назад @ lukatsky.blogspot.com
2 государевых модели угроз, авторы которых забили болт на требования ФСТЭК
2 государевых модели угроз, авторы которых забили болт на требования ФСТЭК 2 государевых модели угроз, авторы которых забили болт на требования ФСТЭК

Вчера я наткнулся на модель угроз и нарушителя безопасности информации, обрабатываемой в программно-техническом комплексе дистанционного электронного голосования (ДЭГ).

Меня немного удивило заявление, что в ДЭГ не обрабатываются специальная категория персональных данных о политических взглядах.

В приложении А в выписке отображена архитектура ДЭГ.

В этом нормативном документе описана и структура модели угроз, которая должна быть, и ряд обязательных элементов, среди которых сценарии реализации угроз.

Но ФСТЭК молчит и не публикует никаких информационных писем на этот счет, разъясняющих свою позицию.

9 месяцев назад @ lukatsky.blogspot.com
Платить вымогателям или нет?
Платить вымогателям или нет? Платить вымогателям или нет?

Если следовать набившей оскомину идее, что ИБ должна говорить с бизнесом на его языке и быть вообще бизнес-ориентированной, то и проблему выплаты выкупа надо рассматривать как проблему бизнеса и приравнивать ее к "платить за переход к облакам или нет", "платить за кофе или нет", "поднять зарплату или нет", "открыть новый офис или нет".

Я не призываю всегда платить вымогателям, но прекрасно осознаю, что это вполне реальная опция.

Уверены ли мы, что ключи шифрования помогут и в реализации шифрования нет ошибок?

Не будет ли данная оплата рассматриваться как финансирование терроризма или экстремизма, а для госорганов - как нецелевое расходование средства?

Есть ли у вас криптовалютный кошелек (е…

9 месяцев, 2 недели назад @ lukatsky.blogspot.com
Калькулятор оценки технологической зрелости соответствия 239-му приказу
Калькулятор оценки технологической зрелости соответствия 239-му приказу Калькулятор оценки технологической зрелости соответствия 239-му приказу

И вот на днях подумал я, что неплохо бы реализовать такую идею самостоятельно, что я и сделал.

Поэтому классический вариант с оценкой зрелости по CMMI сюда не подходил.

Затем она переходит к многофакторной аутентификации, потом задумывается о Zero Trust или 802.1x начинает аутентифицировать не только пользователей, но и устройства.

Но такова уж карма термина "активный аудит", который в России известен уже давно и в него засовывают и обнаружение вторжений, и анализ защищенности.

Но и с этим я тоже справился.

9 месяцев, 4 недели назад @ lukatsky.blogspot.com
Жизнь 80 на 20 Жизнь 80 на 20
последний пост 3 месяца, 2 недели назад
Обновился стандарт ISO 27001, новый список контролей
Обновился стандарт ISO 27001, новый список контролей Обновился стандарт ISO 27001, новый список контролей

На днях вышло официальное обновление стандарта ISO 27001, ISO/IEC 27001:2013/DAmd 1(en) Information technology — Security techniques — Information security management systems — Requirements — AMENDMENT 1. Теперь у нас новый список контролей (мер ИБ) в приложении А, теперь он выровнен с обновленным стандартом ISO 27002:2022, который мы также ожидаем со дня на день.Общее количество контролей сокращено до 93 (в основном путем объединения), добавлено 11 новых:5.7 Threat intelligence5.23 Information security for use of cloud services5.30 ICT readiness for business continuity7.4 Physical security monitoring8.9 Configuration management8.10 Information deletion8.11 Data masking8.12 Data leakage pre…

3 месяца, 2 недели назад @ 80na20.blogspot.com
Статистика по сертификатам ISO 27001 за 2020 год
Статистика по сертификатам ISO 27001 за 2020 год Статистика по сертификатам ISO 27001 за 2020 год

ISO опубликовала свежие данные по сертификации систем менеджмента (ISO Survey), из которых меня особенно интересует статистика по СУИБ (ISO 27001). The ISO Survey results contain three sets of data:the number of valid certificates for each country for the 12 ISO management system standards,the number of sites covered by the certificates for each country for 12 ISO management system standards,the number of sectors per country covered by the certificates for 10 ISO management system standards (ISO 22000 and ISO 13485 do not contain data on sectors).Общее количество сертификатов на конец 2020 года:По ISO 27001 рост на 22%.Топ 10 стран, по количеству выданных сертификатов:В РФ 90/252 (рост за г…

5 месяцев, 3 недели назад @ 80na20.blogspot.com
ZLONOV
последний пост None
Блог Артема Агеева Блог Артема Агеева
последний пост None
Schneier on Security Schneier on Security
последний пост 1 день, 22 часа назад
Friday Squid Blogging: Squid Street Art
Friday Squid Blogging: Squid Street Art Friday Squid Blogging: Squid Street Art

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

1 день, 22 часа назад @ schneier.com
The Onion on Google Map Surveillance
The Onion on Google Map Surveillance The Onion on Google Map Surveillance

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

2 дня назад @ schneier.com
Bluetooth Flaw Allows Remote Unlocking of Digital Locks
Bluetooth Flaw Allows Remote Unlocking of Digital Locks Bluetooth Flaw Allows Remote Unlocking of Digital Locks

Locks that use Bluetooth Low Energy to authenticate keys are vulnerable to remote unlocking.

The research focused on Teslas, but the exploit is generalizable.

In a video shared with Reuters, NCC Group researcher Sultan Qasim Khan was able to open and then drive a Tesla using a small relay device attached to a laptop which bridged a large gap between the Tesla and the Tesla owner’s phone.

“This proves that any product relying on a trusted BLE connection is vulnerable to attacks even from the other side of the world,” the UK-based firm said in a statement, referring to the Bluetooth Low Energy (BLE) protocol—technology used in millions of cars and smart locks which automatically open when in …

2 дня, 9 часов назад @ schneier.com
Websites that Collect Your Data as You Type
Websites that Collect Your Data as You Type Websites that Collect Your Data as You Type

A surprising number of websites include JavaScript keyloggers that collect everything you type as you type it, not just when you submit a form.

They found that 1,844 websites gathered an EU user’s email address without their consent, and a staggering 2,950 logged a US user’s email in some form.

Many of the sites seemingly do not intend to conduct the data-logging but incorporate third-party marketing and analytics services that cause the behavior.

The group disclosed their findings to these sites, and all 52 instances have since been resolved.

We thought maybe we were going to find a few hundred websites where your email is collected before you submit, but this exceeded our expectations by …

3 дня, 8 часов назад @ schneier.com
iPhone Malware that Operates Even When the Phone Is Turned Off
iPhone Malware that Operates Even When the Phone Is Turned Off iPhone Malware that Operates Even When the Phone Is Turned Off

Researchers have demonstrated iPhone malware that works even when the phone is fully shut down.

t turns out that the iPhone’s Bluetooth chip­ — which is key to making features like Find My work­ — has no mechanism for digitally signing or even encrypting the firmware it runs.

Academics at Germany’s Technical University of Darmstadt figured out how to exploit this lack of hardening to run malicious firmware that allows the attacker to track the phone’s location or run new features when the device is turned off.

[…]The research is the first — or at least among the first — to study the risk posed by chips running in low-power mode.

Not to be confused with iOS’s low-power mode for conserving ba…

4 дня, 8 часов назад @ schneier.com
Attacks on Managed Service Providers Expected to Increase
Attacks on Managed Service Providers Expected to Increase Attacks on Managed Service Providers Expected to Increase

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

5 дней, 8 часов назад @ schneier.com
The NSA Says that There are No Known Flaws in NIST’s Quantum-Resistant Algorithms
The NSA Says that There are No Known Flaws in NIST’s Quantum-Resistant Algorithms The NSA Says that There are No Known Flaws in NIST’s Quantum-Resistant Algorithms

The agency’s mathematicians, however, worked with NIST to support the process, trying to crack the algorithms in order to test their merit.

“Those candidate algorithms that NIST is running the competitions on all appear strong, secure, and what we need for quantum resistance,” Joyce said.

This is what the NSA did with NIST’s candidate algorithms for AES and then for SHA-3.

I still worry about the long-term security of the submissions, though.

It’s possible that quantum computers will someday break all of them, even those that today are quantum resistant.

6 дней, 8 часов назад @ schneier.com
Upcoming Speaking Engagements
Upcoming Speaking Engagements Upcoming Speaking Engagements

Upcoming Speaking EngagementsThis is a current list of where and when I am scheduled to speak:The list is maintained on this page.

Posted on May 14, 2022 at 12:05 PM • 0 Comments

1 неделя, 1 день назад @ schneier.com
Friday Squid Blogging: Squidmobile
Friday Squid Blogging: Squidmobile Friday Squid Blogging: Squidmobile

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

1 неделя, 1 день назад @ schneier.com
Surveillance by Driverless Car
Surveillance by Driverless Car Surveillance by Driverless Car

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

1 неделя, 3 дня назад @ schneier.com
ICE Is a Domestic Surveillance Agency
ICE Is a Domestic Surveillance Agency ICE Is a Domestic Surveillance Agency

Georgetown has a new report on the highly secretive bulk surveillance activities of ICE in the US:When you think about government surveillance in the United States, you likely think of the National Security Agency or the FBI.

You might even think of a powerful police agency, such as the New York Police Department.

But unless you or someone you love has been targeted for deportation, you probably don’t immediately think of Immigration and Customs Enforcement (ICE).

Our two-year investigation, including hundreds of Freedom of Information Act requests and a comprehensive review of ICE’s contracting and procurement records, reveals that ICE now operates as a domestic surveillance agency.

Federa…

1 неделя, 4 дня назад @ schneier.com
Apple Mail Now Blocks Email Trackers
Apple Mail Now Blocks Email Trackers Apple Mail Now Blocks Email Trackers

Apple Mail now blocks email trackers by default.

The server keeps track of every time this “image” is opened and by which IP address.

So, how does Apple Mail stop this?

Apple Mail downloads all images for all emails before you open them.

Practically speaking, that means every message downloaded to Apple Mail is marked “read,” regardless of whether you open it.

1 неделя, 6 дней назад @ schneier.com
Friday Squid Blogging: Squid Filmed Changing Color for Camouflage Purposes
Friday Squid Blogging: Squid Filmed Changing Color for Camouflage Purposes Friday Squid Blogging: Squid Filmed Changing Color for Camouflage Purposes

Friday Squid Blogging: Squid Filmed Changing Color for Camouflage PurposesVideo of oval squid (Sepioteuthis lessoniana) changing color in reaction to their background.

The research paper claims this is the first time this has been documented.

As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Read my blog posting guidelines here.

Posted on May 6, 2022 at 4:15 PM • 2 Comments

2 недели, 1 день назад @ schneier.com
Corporate Involvement in International Cybersecurity Treaties
Corporate Involvement in International Cybersecurity Treaties Corporate Involvement in International Cybersecurity Treaties

It’s a major milestone for global Internet security and safety.

The notions of trust and stability in cyberspace are about much more than international safety and security.

The Internet Engineering Task Force, the group that agrees on the technical protocols that make the Internet work, is largely run by volunteer individuals.

First and foremost, “cyber” still isn’t taken seriously by much of the government, specifically the State Department.

Trying to create another cyber center of power within the State Department threatens those existing powers.

2 недели, 2 дня назад @ schneier.com
15.3 Million Request-Per-Second DDoS Attack
15.3 Million Request-Per-Second DDoS Attack 15.3 Million Request-Per-Second DDoS Attack

Cloudflare is reporting a large DDoS attack against an unnamed company “operating a crypto launchpad.”While this isn’t the largest application-layer attack we’ve seen, it is the largest we’ve seen over HTTPS.

HTTPS DDoS attacks are more expensive in terms of required computational resources because of the higher cost of establishing a secure TLS encrypted connection.

Therefore it costs the attacker more to launch the attack, and for the victim to mitigate it.

We’ve seen very large attacks in the past over (unencrypted) HTTP, but this attack stands out because of the resources it required at its scale.

2 недели, 3 дня назад @ schneier.com
Krebs On Security
последний пост 4 дня, 3 часа назад
Senators Urge FTC to Probe ID.me Over Selfie Data
Senators Urge FTC to Probe ID.me Over Selfie Data Senators Urge FTC to Probe ID.me Over Selfie Data

The lawmakers say that in public statements and blog posts, ID.me has frequently emphasized the difference between two types of facial recognition: One-to-one, and one-to-many.

One-to-many facial recognition involves comparing a face against a database of other faces to find any potential matches.

Americans have particular reason to be concerned about the difference between these two types of facial recognition, says the letter to the FTC, signed by Sens.

The agency also pledged that any biometric data shared with ID.me would be permanently deleted.

Asked to respond to concerns raised in the letter from Senate lawmakers, ID.me instead touted its successes in stopping fraud.

4 дня, 3 часа назад @ krebsonsecurity.com
When Your Smart ID Card Reader Comes With Malware
When Your Smart ID Card Reader Comes With Malware When Your Smart ID Card Reader Comes With Malware

But many government employees aren’t issued an approved card reader device that lets them use these cards at home or remotely, and so turn to low-cost readers they find online.

Not having a smart card reader at home and lacking any obvious guidance from his co-workers on how to get one, Mark opted to purchase a $15 reader from Amazon that said it was made to handle U.S. government smart cards.

The USB-based device Mark settled on is the first result that currently comes up one when searches on Amazon.com for “PIV card reader.” The card reader Mark bought was sold by a company called Saicoo, whose sponsored Amazon listing advertises a “DOD Military USB Common Access Card (CAC) Reader” and ha…

4 дня, 18 часов назад @ krebsonsecurity.com
DEA Investigating Breach of Law Enforcement Data Portal
DEA Investigating Breach of Law Enforcement Data Portal DEA Investigating Breach of Law Enforcement Data Portal

The U.S. Drug Enforcement Administration (DEA) says it is investigating reports that hackers gained unauthorized access to an agency portal that taps into 16 different federal law enforcement databases.

According to this page at the Justice Department website, LEIA “provides federated search capabilities for both EPIC and external database repositories,” including data classified as “law enforcement sensitive” and “mission sensitive” to the DEA.

The DEA portal esp.usdoj.gov is listed on Page 87 of a Justice Department “data inventory,” which catalogs all of the data repositories that correspond to DOJ agencies.

It’s not going to be as simple as just turning on multi-factor authentication fo…

1 неделя, 3 дня назад @ krebsonsecurity.com
Microsoft Patch Tuesday, May 2022 Edition
Microsoft Patch Tuesday, May 2022 Edition Microsoft Patch Tuesday, May 2022 Edition

Microsoft today released updates to fix at least 74 separate security problems in its Windows operating systems and related software.

This month’s patch batch includes fixes for seven “critical” flaws, as well as a zero-day vulnerability that affects all supported versions of Windows.

By all accounts, the most urgent bug Microsoft addressed this month is CVE-2022-26925, a weakness in a central component of Windows security (the “Local Security Authority” process within Windows).

CVE-2022-26925 was publicly disclosed prior to today, and Microsoft says it is now actively being exploited in the wild.

The flaw affects Windows 7 through 10 and Windows Server 2008 through 2022.

1 неделя, 4 дня назад @ krebsonsecurity.com
Your Phone May Soon Replace Many of Your Passwords
Your Phone May Soon Replace Many of Your Passwords Your Phone May Soon Replace Many of Your Passwords

“To sign into a website on your computer, you’ll just need your phone nearby and you’ll simply be prompted to unlock it for access.

“Sign in with Google”), but users need to sign in at every website to use the passwordless functionality.

“I worry about people who can’t afford an extra device, or can’t easily replace a broken or stolen device,” Bellovin said.

“If you forget the password and lose your phone and CAN’T, well, now you’ve lost your authorization token that is used for logging in.

“Taking advantage of the phone’s strong authentication of the phone owner (if you have a decent passcode) is quite nice.

2 недели, 1 день назад @ krebsonsecurity.com
Russia to Rent Tech-Savvy Prisoners to Corporate IT?
Russia to Rent Tech-Savvy Prisoners to Corporate IT? Russia to Rent Tech-Savvy Prisoners to Corporate IT?

“The study also notes that the number of IT people who want to leave Russia is growing.

According to the BCC, about half of the world’s prison population is held in the United States, Russia or China.

The BCC says Russia currently houses nearly 875,000 inmates, or about 615 inmates for every 100,000 citizens.

Boyarsky is head of the St. Petersburg branch of United Russia, a strongly pro-Putin political party that holds more than 70 percent of the seats in the Russian State Duma.

Russian news outlet RBC reports that businesses started using prison labor after the possibility of creating correctional centers in organizations appeared in 2020.

2 недели, 5 дней назад @ krebsonsecurity.com
You Can Now Ask Google to Remove Your Phone Number, Email or Address from Search Results
You Can Now Ask Google to Remove Your Phone Number, Email or Address from Search Results You Can Now Ask Google to Remove Your Phone Number, Email or Address from Search Results

Google said this week it is expanding the types of data people can ask to have removed from search results, to include personal contact information like your phone number, email address or physical address.

The move comes just months after Google rolled out a new policy enabling people under the age of 18 (or a parent/guardian) to request removal of their images from Google search results.

Google has for years accepted requests to remove certain sensitive data such as bank account or credit card numbers from search results.

TechCrunch writes that the policy expansion comes six months after Google started allowing people under 18 or their parents request to delete their photos from search re…

3 недели, 2 дня назад @ krebsonsecurity.com
Fighting Fake EDRs With ‘Credit Ratings’ for Police
Fighting Fake EDRs With ‘Credit Ratings’ for Police Fighting Fake EDRs With ‘Credit Ratings’ for Police

Twilio confirmed it uses Kodex’s technology for law enforcement requests destined for any of its business units, but likewise declined to comment further.

The company doesn’t disclose how many EDRs came from foreign law enforcement entities during that same time period.

Meta/Facebook says roughly 11 percent of all law enforcement data requests — 21,700 of them — were EDRs in the first half of 2021.

Google also runs its own portal for accepting law enforcement data requests.

The company accepts law enforcement requests via snail mail or fax.

3 недели, 4 дня назад @ krebsonsecurity.com
Leaked Chats Show LAPSUS$ Stole T-Mobile Source Code
Leaked Chats Show LAPSUS$ Stole T-Mobile Source Code Leaked Chats Show LAPSUS$ Stole T-Mobile Source Code

The logs show LAPSUS$ breached T-Mobile multiple times in March, stealing source code for a range of company projects.

Or maybe it was all one big Capture the Flag competition, with source code being the flag.

The chats reveal that LAPSUS$ stole a great deal more source code than they bragged about online.

“FFS, THAT AWS HAD TMO SRC [T-Mobile source] code!” White yelled back.

The two then make a mad scramble to hack back into T-Mobile and re-download the stolen source code.

1 месяц назад @ krebsonsecurity.com
Conti’s Ransomware Toll on the Healthcare Industry
Conti’s Ransomware Toll on the Healthcare Industry Conti’s Ransomware Toll on the Healthcare Industry

Microsoft’s civil lawsuit against Zloader names seven “John Does,” essentially seeking information to identify cybercriminals who used Zloader to conduct ransomware attacks.

Conti ravaged the healthcare sector throughout 2020, and leaked internal chats from the Conti ransomware group show the gang had access to more than 400 healthcare facilities in the U.S. alone by October 2020.

Security software firm Emsisoft found that at least 68 healthcare providers suffered ransomware attacks last year.

While Conti is just one of many ransomware groups threatening the healthcare industry, it seems likely that ransomware attacks on the healthcare sector are underreported.

The FBI said Conti has been o…

1 месяц назад @ krebsonsecurity.com
Microsoft Patch Tuesday, April 2022 Edition
Microsoft Patch Tuesday, April 2022 Edition Microsoft Patch Tuesday, April 2022 Edition

Microsoft on Tuesday released updates to fix roughly 120 security vulnerabilities in its Windows operating systems and other software.

Of particular concern this month is CVE-2022-24521, which is a “privilege escalation” vulnerability in the Windows common log file system driver.

In its advisory, Microsoft said it received a report from the NSA that the flaw is under active attack.

“Microsoft advises blocking TCP port 445 at the perimeter firewall, which is strong advice regardless of this specific vulnerability.

As always, please consider backing up your system or at least your important documents and data before applying system updates.

1 месяц, 1 неделя назад @ krebsonsecurity.com
RaidForums Gets Raided, Alleged Admin Arrested
RaidForums Gets Raided, Alleged Admin Arrested RaidForums Gets Raided, Alleged Admin Arrested

The DOJ also charged the alleged administrator of RaidForums — 21-year-old Diogo Santos Coelho, of Portugal — with six criminal counts, including conspiracy, access device fraud and aggravated identity theft.

Perhaps the most bustling marketplace within RaidForums was its “Leaks Market,” which described itself as a place to buy, sell, and trade hacked databases and leaks.

23, after a federal investigator confirmed rumors that the FBI had been secretly operating the RaidForums website for weeks.

Coelho landed on the radar of U.S. authorities in June 2018, when he tried to enter the United States at the Hartsfield-Jackson International Airport in Atlanta.

The DOJ said Coelho was arrested in t…

1 месяц, 1 неделя назад @ krebsonsecurity.com
Double-Your-Crypto Scams Share Crypto Scam Host
Double-Your-Crypto Scams Share Crypto Scam Host Double-Your-Crypto Scams Share Crypto Scam Host

Here’s a closer look at hundreds of phony crypto investment schemes that are all connected through a hosting provider which caters to people running crypto scams.

Typical of crypto scam sites, Coinbase-x2 promises a chance to win 50,000 ETH (Ethereum virtual currency), plus a “welcome bonus” wherein they promise to double any crypto investment made with the platform.

Unfortunately, each of these clues lead to a dead end, meaning they were likely picked and used solely for these scam sites.

Cryptohost also controls several other address ranges, including 194.31.98.X, which is currently home to even more crypto scam websites, many targeting lesser-known cryptocurrencies like Polkadot.

That’s …

1 месяц, 1 неделя назад @ krebsonsecurity.com
Actions Target Russian Govt. Botnet, Hydra Dark Market
Actions Target Russian Govt. Botnet, Hydra Dark Market Actions Target Russian Govt. Botnet, Hydra Dark Market

FBI officials said Wednesday they disrupted “Cyclops Blink,” a collection of compromised networking devices managed by hackers working with the Russian Federation’s Main Intelligence Directorate (GRU).

The DOJ said it did not seek to disinfect compromised devices; instead, it obtained court orders to remove the Cyclops Blink malware from its “command and control” servers — the hidden machines that allowed the attackers to orchestrate the activities of the botnet.

The FBI and other agencies warned in March that the Cyclops Blink malware was built to replace a threat called “VPNFilter,” an earlier malware platform that targeted vulnerabilities in a number of consumer-grade wireless and wired …

1 месяц, 2 недели назад @ krebsonsecurity.com
The Original APT: Advanced Persistent Teenagers
The Original APT: Advanced Persistent Teenagers The Original APT: Advanced Persistent Teenagers

If these tactics sound like something you might sooner expect from spooky, state-sponsored “Advanced Persistent Threat” or APT groups, consider that the core LAPSUS$ members are thought to range in age from 15 to 21.

ADVANCED PERSISTENT TEENAGERSThis unusual combination makes LAPSUS$ something of an aberration that is probably more aptly referred to as “Advanced Persistent Teenagers,” said one CXO at a large organization that recently had a run-in with LAPSUS$.

The group of teenagers who hacked Twitter hailed from a community that traded in hacked social media accounts.

Most targeted employees are working from home or can be reached on a mobile device.

“Nation states have typically wanted l…

1 месяц, 2 недели назад @ krebsonsecurity.com
Graham Cluley Graham Cluley
последний пост 2 дня, 3 часа назад
Greenland hit by cyber attack, finds its health service crippled
Greenland hit by cyber attack, finds its health service crippled

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

2 дня, 3 часа назад @ bitdefender.com
Bank refuses to pay ransom to hackers, sends dick pics instead
Bank refuses to pay ransom to hackers, sends dick pics instead Bank refuses to pay ransom to hackers, sends dick pics instead

I’m not sure if it would be enough for me to switch bank accounts, but I have something of a sneaking respect for the Bank of Zambia.

As Bleeping Computer reports, Zambia’s central bank fell foul of a ransomware attack orchestrated by the Hive ransomware gang earlier this month.

We wish to advise that these systems have since been fully restored.”Well, that’s good to know – but it’s not that that impresses me.

“So we pretty much told them where to get off.”Yup, they sure did that.

Follow Graham Cluley on Twitter to read more of the exclusive content we post.

2 дня, 4 часа назад @ grahamcluley.com
Phishing gang that stole over 400,000 Euros busted in Spain
Phishing gang that stole over 400,000 Euros busted in Spain Phishing gang that stole over 400,000 Euros busted in Spain

Spanish police say that they have dismantled a phishing gang operating across the country, following the arrest of 13 people and the announcement that they are investigating a further seven suspects.

According to police, the phishing ring defrauded some 146 victims, stealing at least 443,600 Euros from online bank accounts.

Unsuspecting recipients who clicked on the link were not taken to the real banking website, but instead lookalike webpages under the control of the criminal gang.

The police investigation began following complaints in 2018 both from victims and a bank, after unauthorised purchases were made in electronics stores in France and elsewhere.

According to police, the gang used…

2 дня, 23 часа назад @ tripwire.com
Hackers are finding it too easy to achieve their initial access, warn agencies
Hackers are finding it too easy to achieve their initial access, warn agencies Hackers are finding it too easy to achieve their initial access, warn agencies

It should be hard for malicious hackers to break into systems, but all too often it isn’t.

In addition, malicious hackers exploit weak controls and other poor practices “to gain initial access or as part of other tactics to compromise a victims’ system.”According to the report, just a small number of techniques are commonly used by attackers to compromise systems:Exploitation of a public-facing application.

“As long as these security holes exist, malicious cyber actors will continue to exploit them,” said NSA Cybersecurity Director Rob Joyce.

Fortunately, the advisory details what it says are the best practices to defend systems from these common attacks:Control access.

Is it any wonder mal…

3 дня, 8 часов назад @ tripwire.com
Smashing Security podcast #275: Jail for Bing, and mental health apps may not be good for you
Smashing Security podcast #275: Jail for Bing, and mental health apps may not be good for you Smashing Security podcast #275: Jail for Bing, and mental health apps may not be good for you

All this and much more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault, joined this week by Dr Jessica Barker.

Try Kolide Free for 14 Days; no credit card required.

Sponsor: GoodAccess GoodAccess – Free Business Cloud VPN for up to 100 Users.

Get a cloud VPN with strong network encryption and unprecedented online threat protection.

Remember: Subscribe on Apple Podcasts, or your favourite podcast app, to catch all of the episodes as they go live.

3 дня, 21 час назад @ grahamcluley.com
“Incompetent” council leaks details of students with special educational needs
“Incompetent” council leaks details of students with special educational needs “Incompetent” council leaks details of students with special educational needs

The good news: Central Bedfordshire Council in the UK responded to a Freedom of Information (FOI) request from parents campaigning for their children with special educational needs (SEND).

The bad news: Central Bedfordshire Council failed to properly redact the details of ‘dozens and dozens’ of pupils with special educational needs, publishing them on a public website.

It is the latest in a long history of incompetence and disregard for the law in relation to SEND families.

It also said it would be making changes to its procedures to avoid a repeat of the incident in the future.

Hopefully some appropriate staff training about the importance of protecting the private personal information of …

6 дней, 3 часа назад @ grahamcluley.com
Russian cyber attack on Eurovision foiled by Italian authorities
Russian cyber attack on Eurovision foiled by Italian authorities

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

6 дней, 6 часов назад @ bitdefender.com
Smashing Security podcast #274: Hands off my biometrics, and a wormhole squirmish
Smashing Security podcast #274: Hands off my biometrics, and a wormhole squirmish Smashing Security podcast #274: Hands off my biometrics, and a wormhole squirmish

All this and more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault.

Try Kolide Free for 14 Days; no credit card required.

Sponsor: GoodAccess GoodAccess – Free Business Cloud VPN for up to 100 Users.

Get a cloud VPN with strong network encryption and unprecedented online threat protection.

Remember: Subscribe on Apple Podcasts, or your favourite podcast app, to catch all of the episodes as they go live.

1 неделя, 3 дня назад @ grahamcluley.com
Keeper Connection Manager: Privileged access to remote infrastructure with zero-trust and zero-knowledge security
Keeper Connection Manager: Privileged access to remote infrastructure with zero-trust and zero-knowledge security Keeper Connection Manager: Privileged access to remote infrastructure with zero-trust and zero-knowledge security

Graham Cluley Security News is sponsored this week by the folks at Keeper Security.

The mass migration to distributed work has given IT and DevOps teams the new challenge of performing infrastructure monitoring and management remotely.

Keeper Connection Manager (KCM) provides DevOps and IT teams with effortless access to RDP, SSH, databases and Kubernetes endpoints through a web browser.

KCM is an agentless remote desktop gateway that can be installed in any on-premise or cloud environment.

KCM significantly enhances security by enabling organizations to adopt zero-trust remote access to IT infrastructure, which the majority of VPNs do not support, with features such as least-privilege acce…

1 неделя, 3 дня назад @ grahamcluley.com
US college set to permanently close after 157 years, following ransomware attack
US college set to permanently close after 157 years, following ransomware attack

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

1 неделя, 4 дня назад @ bitdefender.com
Tractor giant AGCO hit by ransomware, halts production and sends home staff
Tractor giant AGCO hit by ransomware, halts production and sends home staff Tractor giant AGCO hit by ransomware, halts production and sends home staff

A ransomware attack which hit agricultural equipment manufacturer AGCO has caused it to shut down some of its manufacturing facilities and send staff home.

The firm acknowledged last week that its systems had been hit by ransomware, and that some of its production facilities had been impacted.

Employees at its plant in Marktoberforf, Germany, were sent home, as we assembly line workers at production lines in Beauvais, France.

Just last month the FBI issued a warning to agricultural cooperatives, about the danger ransomware gangs might target the food and agriculture sector during critical planting and harvest seasons.

Follow Graham Cluley on Twitter to read more of the exclusive content we …

1 неделя, 6 дней назад @ grahamcluley.com
Russian TV listings hacked with messages about war crimes in Ukraine
Russian TV listings hacked with messages about war crimes in Ukraine

This website is using a security service to protect itself from online attacks.

The action you just performed triggered the security solution.

There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

You can email the site owner to let them know you were blocked.

Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

1 неделя, 6 дней назад @ bitdefender.com
$43 billion stolen through Business Email Compromise since 2016, reports FBI
$43 billion stolen through Business Email Compromise since 2016, reports FBI $43 billion stolen through Business Email Compromise since 2016, reports FBI

Over US $43 billion has been lost through Business Email Compromise attacks since 2016, according to data released this week by the FBI.

The FBI’s Internet Crime Complaint Center (IC3) issued a public service announcement on May 4 2022, sharing updated statistics on Business Email Compromise (BEC) attacks which use a variety of social engineering and phishing techniques to break into accounts and trick companies into transferring large amounts of money into the hands of criminals.

The FBI offers a number of tips to companies wishing to better protect themselves from Business Email Compromise attacks:Use secondary channels or two-factor authentication to verify requests for changes in accoun…

2 недели, 3 дня назад @ tripwire.com
See me speak at Cyber Security Nordic – either in Helsinki or online
See me speak at Cyber Security Nordic – either in Helsinki or online See me speak at Cyber Security Nordic – either in Helsinki or online

Join me, and an array of experts, at the Cyber Security Nordic event being held at Messukeskus in Helsinki from 12-13 May 2022.

In my keynote on 13 May, I’ll be discussing whether cybercriminals really are evil geniuses (as the media and some security vendors would like us to believe), or not…Now, obviously, you might not be able to be in Helsinki next week.

Well, do not fear as you can also attend virtually – via the power of the internet.

And if you can’t make it, be sure to check out other events on my speaking schedule over the coming months.

Follow Graham Cluley on Twitter to read more of the exclusive content we post.

2 недели, 3 дня назад @ grahamcluley.com
Smashing Security podcast #273: Password blips, and who’s calling the airport?
Smashing Security podcast #273: Password blips, and who’s calling the airport? Smashing Security podcast #273: Password blips, and who’s calling the airport?

All this and more is discussed in the latest edition of the award-winning “Smashing Security” podcast, with computer security veterans Graham Cluley and Carole Theriault.

Try Kolide Free for 14 Days; no credit card required.

Learn more and try it for yourself at netfoundry.io/smashingsecurityFollow the show:Follow the show on Twitter at @SmashinSecurity, on the Smashing Security subreddit, or visit our website for more episodes.

Remember: Subscribe on Apple Podcasts, or your favourite podcast app, to catch all of the episodes as they go live.

Follow Graham Cluley on Twitter to read more of the exclusive content we post.

2 недели, 3 дня назад @ grahamcluley.com
Компании 🏢
Блог Касперского Блог Касперского
последний пост 1 день, 23 часа назад
Как обучить специалиста по incident response | Блог Касперского
Как обучить специалиста по incident response | Блог Касперского Как обучить специалиста по incident response | Блог Касперского

Когда компания подвергается кибератаке или происходит утечка корпоративных данных, бизнес лихорадочно пытается решить две задачи: минимизировать ущерб и как можно скорее вернуться к нормальному рабочему процессу.

При этом основная нагрузка ложится на команду по реагированию на инциденты.

Наши эксперты определили набор ключевых навыков, необходимых специалисту по реагированию на инциденты:выявление инцидента;сбор улик;анализ логов;анализ сетевой активности;создание индикаторов компрометации;исследование оперативной памяти.

Для обучения этим навыкам или повышения квалификации команд по реагированию на киберинциденты «Лаборатория Касперского» создала онлайн-курс Windows Incident Response.

Узна…

1 день, 23 часа назад @ kaspersky.ru
Критические уязвимости в продуктах VMWare | Блог Касперского
Критические уязвимости в продуктах VMWare | Блог Касперского Критические уязвимости в продуктах VMWare | Блог Касперского

18 мая компания VMware выпустила патчи для двух уязвимостей в своих продуктах: CVE-2022-22972, CVE-2022-22973.

Уязвимости затрагивают пять продуктов компании — VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation и vRealize Suite Lifecycle Manager.

Реальная степень опасности уязвимостей CVE-2022-22973 и CVE-2022-22972Ни специалистам VMware, ни экспертам из CISA пока неизвестно о применении данных уязвимостей в реальных атаках.

Поводом к изданию экстренной директивы CISA послужил тот факт, что в начале апреля этого года VMware уже закрывала несколько уязвимостей в тех же продуктах, после чего на системы, не обновленные в течение 48 часов н…

3 дня, 4 часа назад @ kaspersky.ru
Интервью с Иваном Квятковским | Блог Касперского
Интервью с Иваном Квятковским | Блог Касперского Интервью с Иваном Квятковским | Блог Касперского

Когда я получил диплом, то уже мог найти работу в этой сфере — с тех пор я в ней и остаюсь.

Я выбрал «Лабораторию Касперского» в 2018 году, как раз после того, как на компанию обрушилась волна негатива в западных СМИ.

— Я думаю, тут дело не в народе, а в государственных институтах.

В остальном же, как мне кажется, в отношении украинского конфликта Франция придерживается такой же позиции, как и остальная Европа.

В основном мы работаем удаленно, но в каждом регионе проводятся свои еженедельные встречи для координации работы.

4 дня, 10 часов назад @ kaspersky.ru
Мошенники воруют сид-фразы, чтобы добраться до криптокошельков | Блог Касперского
Мошенники воруют сид-фразы, чтобы добраться до криптокошельков | Блог Касперского Мошенники воруют сид-фразы, чтобы добраться до криптокошельков | Блог Касперского

Бесплатные деньгиКак это чаще всего бывает, для потенциальной жертвы все начинается с письма.

Вероятно, мошенники рассчитывают, что девятизначная сумма настолько поразит воображение жертвы, что на изучение деталей терпения уже не хватит.

Но не забыты и пользователи более экзотических кошельков — для провайдеров, которых в списке не окажется, есть кнопка «Другие кошельки».

Все для клиента!

Иными словами, возможностей добраться до ваших сбережений с помощью сид-фразы у злоумышленника не меньше, чем с помощью приватного ключа.

6 дней, 8 часов назад @ kaspersky.ru
Фишинговые письма от лица банка Wells Fargo | Блог Касперского
Фишинговые письма от лица банка Wells Fargo | Блог Касперского Фишинговые письма от лица банка Wells Fargo | Блог Касперского

Фишинговая атака на клиентов Wells FargoАтака начинается с фишингового письма с тревожным уведомлением.

В нем пользователю сообщают, что его банковский счет в Wells Fargo заблокирован — якобы из-за неподтвержденной электронной почты или ошибки в домашнем адресе.

Ссылка в письме ведет на посторонний сайт, а оттуда через переадресацию — на поддельную страницу входа в аккаунт Wells Fargo.

), и телефон с адресом, и дату рождения, и номер социального страхования (SSN).

Выманив у жертвы всю важную информацию, мошенники сообщают, что аккаунт успешно восстановлен, и перенаправляют ее на настоящий сайт Wells Fargo.

1 неделя, 2 дня назад @ kaspersky.ru
Как не стать жертвой шифровальщика второй раз | Блог Касперского
Как не стать жертвой шифровальщика второй раз | Блог Касперского Как не стать жертвой шифровальщика второй раз | Блог Касперского

За последние несколько лет злоумышленники выбирали своими целями и небольшие компании, и гигантские заводы, и города и даже целые страны.

Но важно не упускать из внимания и другой вопрос — как не допустить повторения инцидента.

Потому что, во-первых, это будет означать, что ваша инфраструктура уязвима, а во-вторых, что вы ведете переговоры со злоумышленниками.

Вопросом о том, как не допустить повторения инцидента следует задаться еще в процессе расследования и ликвидации последствий.

В остальном же наши советы для тех, кто не хочет допустить повторения атаки шифровальщика-вымогателя достаточно стандартны:

1 неделя, 2 дня назад @ kaspersky.ru
В Windows нашли уязвимость, которую уже эксплуатируют | Блог Касперского
В Windows нашли уязвимость, которую уже эксплуатируют | Блог Касперского В Windows нашли уязвимость, которую уже эксплуатируют | Блог Касперского

В очередном ежемесячном обновлении компания Microsoft выпустила патчи для 74 уязвимостей, причем как минимум одна из них уже активно эксплуатируется злоумышленниками.

Самая опасная из закрытых уязвимостей — CVE-2022-26925По всей видимости, самая опасная уязвимость из свежеисправленной пачки — CVE-2022-26925, содержащаяся в Windows Local Security Authority.

Microsoft не делилась подробностями о эксплуатации этой уязвимости, однако судя по описанию проблемы, неизвестные злоумышленники уже активно применяют эксплойты для CVE-2022-26925 в атаках.

Хорошая новость состоит в том, что по мнению экспертов эксплуатировать данную уязвимость в реальных атаках достаточно сложно.

Среди них RCE-уязвимость…

1 неделя, 4 дня назад @ kaspersky.ru
Как трояны навязывают платные подписки | Блог Касперского
Как трояны навязывают платные подписки | Блог Касперского Как трояны навязывают платные подписки | Блог Касперского

Деньги при этом обычно списываются со счета мобильного телефона, хотя в некоторых схемах их могут списывать и с банковской карты.

Злоумышленники модифицируют какие-нибудь действительно полезные приложения, добавляя в них вредоносный код, и загружают в магазин под другим названием.

Это могут быть, например, приложения для обмена SMS, мониторинга артериального давления или сканирования документов.

Также иногда зараженные MobOk-приложения можно встретить и в Google Play.

Помимо этого, они могут в тех же источниках представляться и как бесплатная версия популярных и дорогих приложений, таких как Minecraft.

2 недели, 2 дня назад @ kaspersky.ru
Как работает кнопка Mute? | Блог Касперского
Как работает кнопка Mute? | Блог Касперского Как работает кнопка Mute? | Блог Касперского

Результаты оказались разнообразные — и точно намекающие на то, что отношение к приватности во время звонков по работе стоит пересмотреть.

И отправляется ли звук с микрофона на сервер провайдера связи даже в режиме Mute?

Исследователи анализировали, как и когда приложение взаимодействует с микрофоном, сравнивая данные, полученные при захвате аудио от микрофона, с потоком информации, отправляемым на сервер.

В режиме «микрофон выключен» он не захватывает аудиопоток, то есть «не слышит», что происходит в вашем кабинете.

Единственный среди десятка аналогов, он постоянно обрабатывал звук от микрофона в процессе звонка, независимо от состояния кнопки Mute внутри приложения.

3 недели, 3 дня назад @ kaspersky.ru
Обновление Kaspersky Safe Kids | Блог Касперского
Обновление Kaspersky Safe Kids | Блог Касперского Обновление Kaspersky Safe Kids | Блог Касперского

Мы за то, что детям тоже обязательно нужно рассказывать и показывать, как безопасно вести себя и распознавать потенциальные угрозы в интернетах.

Сегодня приложение стремительно развивается и уже приносит много пользы своим большим и маленьким пользователям!

Например, совсем недавно в самой последней версии приложения мы расширили функциональность в iOS-версии (для родителей) и добавили еще разных фич для проверки онлайн-активности детей.

Наше приложение не остается незамеченным — вовсю тестируется и признается независимыми международными экспертами.

Так что мы обязательно продолжим и дальше развивать приложение для нашей самой юной аудитории.

3 недели, 4 дня назад @ kaspersky.ru
Что такое атака «Браузер в браузере» | Блог Касперского
Что такое атака «Браузер в браузере» | Блог Касперского Что такое атака «Браузер в браузере» | Блог Касперского

Почему в адресах фишинговых сайтов опечаткиДело в том, что доменный адрес — тот, что мы видим в адресной строке — уникален и всегда «приписан» одному владельцу.

Что такое атака «Браузер в браузере» (browser-in-the-browser)Схему такой атаки, получившей название «Браузер в браузере», описал исследователь безопасности и пентестер под ником mr.d0x.

Подвох в том, что на самом деле это не отдельное окно — все это великолепие нарисовано прямо внутри той страницы, которая пытается пользователя обмануть.

И если ввести здесь логин и пароль, то они отправятся не в Microsoft, Google или Apple, а прямиком на сервер злоумышленника.

Если окно с формой авторизации ведет себя странно — сворачивается вместе …

3 недели, 6 дней назад @ kaspersky.ru
Рассылка вредоносных писем с Emotet и Qbot | Блог Касперского
Рассылка вредоносных писем с Emotet и Qbot | Блог Касперского Рассылка вредоносных писем с Emotet и Qbot | Блог Касперского

Если еще в феврале 2022 года они регистрировали около 3000 таких сообщений в месяц, то в марте — уже почти 30 000.

Мы нашли вредоносные письма на английском, венгерском, испанском, итальянском, норвежском, польском, русском, словенском и французском языках.

Какое вредоносное ПО используют злоумышленники и насколько оно опасноВ большинстве случаев открытый вредоносный документ загружает троян Qbot, однако наши эксперты выявили случаи загрузки и другого зловреда, Emotet.

Qbot может также получить доступ к электронной почте и воровать письма.

Как защититься от угрозыДля защиты от атак с использованием Qbot и Emotet (и любого другого вредоносного ПО, распространяемого по электронной почте) мы р…

1 месяц назад @ kaspersky.ru
Прозрачность процессов в «Лаборатории Касперского» | Блог Касперского
Прозрачность процессов в «Лаборатории Касперского» | Блог Касперского Прозрачность процессов в «Лаборатории Касперского» | Блог Касперского

Центры прозрачности «Лаборатории Касперского» работают в Европе, Латинской Америке и Азии.

С ноября 2018 года вредоносные и подозрительные файлы, которые продукты «Лаборатории Касперского» обнаружили на устройствах пользователей из Европы, хранятся и обрабатываются в наших дата-центрах в Швейцарии.

Новые шаги к информационной открытости«Лаборатория Касперского» проделала большую работу на пути к информационной открытости и не планирует останавливаться на достигнутом.

Ресертификация ISO 27001Системы по защите данных «Лаборатории Касперского» были ресертифицированы TÜV AUSTRIA в соответствии со стандартом ISO 27001.

Недавно мы подытожили результаты десятков тестов ведущих независимых лаборато…

1 месяц назад @ kaspersky.ru
DeFi-кошелек с бэкдором от группировки Lazarus | Блог Касперского
DeFi-кошелек с бэкдором от группировки Lazarus | Блог Касперского DeFi-кошелек с бэкдором от группировки Lazarus | Блог Касперского

Кража денег чаще всего если и интересует такие группировки, то далеко не в первую очередь.

Например, в 2016 году эти злоумышленники украли кругленькую сумму у Центрального банка Бангладеш, в 2018-м заразили зловредом криптовалютную биржу, а в 2020-м попробовали себя в роли вымогателей.

Чем опасен зловредВредоносная программа, которая попадает на компьютер с DeFi-кошельком, — это бэкдор, то есть лазейка для злоумышленников.

Как не стать жертвойЕсли вы работаете с финансами, и особенно — с криптовалютой, то стоит с настороженностью относиться к письмам и сообщениям, в которых вас склоняют к установке незнакомых программ.

Кроме того, стоит позаботиться о безопасности ваших устройств — в первую…

1 месяц назад @ kaspersky.ru
Расшифровать файлы Yanluowang | Блог Касперского
Расшифровать файлы Yanluowang | Блог Касперского Расшифровать файлы Yanluowang | Блог Касперского

Давая советы жертвам шифровальщиков-вымогателей, мы, как правило, рекомендуем не отчаиваться и не удалять файлы, даже если их с ходу не получается восстановить.

Как расшифровать файлы, зашифрованные вымогателем YanluowangУязвимость в зловреде Yanluowang позволяет расшифровать файлы при помощи атаки на основе открытых текстов (known-plaintext attack).

Правда, есть одна сложность — Yanluowang немного по-разному портит файлы различного размера: маленькие, размером меньше 3 Гбайт, он шифрует полностью, а большие — частично.

Если же вам необходимо вернуть файлы больше 3 Гбайт, то придется поискать и оригинальные файлы соответствующего размера.

Что за шифровальщик Yanluowang и чем он опасенYanluo…

1 месяц назад @ kaspersky.ru
Блог Group-IB Блог Group-IB
последний пост 1 месяц, 1 неделя назад
Ловушка для криптанов
Ловушка для криптанов Ловушка для криптанов

(Feed generated with FetchRSS)

1 месяц, 1 неделя назад @ blog.group-ib.ru
Не благодарите
Не благодарите Не благодарите

(Feed generated with FetchRSS)

1 месяц, 2 недели назад @ blog.group-ib.ru
Киберугрозы новой реальности
Киберугрозы новой реальности Киберугрозы новой реальности

(Feed generated with FetchRSS)

1 месяц, 2 недели назад @ blog.group-ib.ru
Три кита атаки на репутацию
Три кита атаки на репутацию Три кита атаки на репутацию

(Feed generated with FetchRSS)

2 месяца, 1 неделя назад @ blog.group-ib.ru
Здоровая атмосфера
Здоровая атмосфера Здоровая атмосфера

(Feed generated with FetchRSS)

2 месяца, 1 неделя назад @ blog.group-ib.ru
«Мы начали следить за шифровальщиками, когда еще мало кто считал их серьезной угрозой»
«Мы начали следить за шифровальщиками, когда еще мало кто считал их серьезной угрозой» «Мы начали следить за шифровальщиками, когда еще мало кто считал их серьезной угрозой»

а по совместительству одним из самых значимых людей в отечественной форензике — Игорем Михайловым.

С моим опытом написания постов в блог такой формат подходил мне лучше всего.

Весь процесс написания занял у нас около полугода.Как-то мне в LinkedIn написал менеджер Packt и сказал, что они планируют выпустить третье издание «Practical Mobile Forensics».

Книга эта была мне очень знакома, я читал оба издания, и во многом именно они дали отличную базу, которая позволила мне работать с мобильными устройствами.

Третья книга "Learning Android Forensics: Analyze Android devices with the latest forensic tools and techniques" должна помочь глубоко погрузиться в анализ подобных мобильных устройств.

2 месяца, 3 недели назад @ blog.group-ib.ru
Деньги на ветер
Деньги на ветер Деньги на ветер

(Feed generated with FetchRSS)

3 месяца, 1 неделя назад @ blog.group-ib.ru
Только для вас
Только для вас Только для вас

(Feed generated with FetchRSS)

4 месяца, 1 неделя назад @ blog.group-ib.ru
Вскрывая улей
Вскрывая улей Вскрывая улей

// Encrypt file data func (keytab *EncryptionKeyTab) EvaluateFilename(filename string, n1 uint32, n2 uint32) error { f, err := os.OpenFile(filename, os.O_RDWR, 0600) if err != nil { return err } defer f.Close() file_info, err := f.Stat() if err != nil { return err } file_size := file_info.Size() var num_blocks int = int(30 * (file_size / 4096) / 100) if file_size == 0 { return nil } if file_size <= 4096 { num_blocks = 1 } else if (num_blocks < 2) { num_blocks = 2 } else { if (num_blocks > 25) { num_blocks = 25 } } key_data1_pos := n1 % 0xE7000 key_data1 := keytab.Data[key_data1_pos : key_data1_pos + 0x19000] key_data2_pos := n2 % 0xFF400 key_data2 := keytab.Data[key_data2_pos : key_data2_po…

5 месяцев назад @ blog.group-ib.ru
Очень темные дела
Очень темные дела Очень темные дела

00 75 04 F7 D8 EB 0? }

[1-2] 32 2D 34 42 C7 4?

[1-2] 42 38 2D 39 C7 4?

[1-2] 36 44 41 32 C7 4?

[1-2] 42 46 31 37 } condition: (uint32(0) == 0x464C457F) and ( (1 of ($h*)) or for any i in (0..elf.number_of_sections-2): ( (elf.sections[i].name == ".app.version") and (elf.sections[i+1].name == ".cfgETD") ) ) }

5 месяцев, 1 неделя назад @ blog.group-ib.ru
Кардеры-каннибалы
Кардеры-каннибалы Кардеры-каннибалы

(Feed generated with FetchRSS)

6 месяцев, 2 недели назад @ blog.group-ib.ru
Cisco Security Blog Cisco Security Blog
последний пост 2 дня, 8 часов назад
Introducing new cloud resources page for Cisco Secure Firewall
Introducing new cloud resources page for Cisco Secure Firewall Introducing new cloud resources page for Cisco Secure Firewall

To help our customers and partners, we have centralized all our cloud & automation resources for Secure Firewall into a single page: https://developer.cisco.com/secure-firewall/cloud-resources/What can you find on the page?

Our new page is organized by cloud provider and specific use case to easily deploy Secure Firewall.

Cisco Live 2022 Las Vegas & sessions focused on Secure Firewall and IaCLearn how to secure your OpenStack using Cisco Secure Firewall – BRK-SEC-1775This session will walk participants through the deployment model, its relation to the OpenStack resources, and arrive with a complete FTDv configuration that fully protects our workloads.

Cisco Secure Firewall Cloud Native on A…

2 дня, 8 часов назад @ blogs.cisco.com
Your employees are everywhere. Is your security?
Your employees are everywhere. Is your security? Your employees are everywhere. Is your security?

Embracing security resilience for the hybrid work eraHybrid work is here to stay.

One such challenge is cybersecurity, and hence, security resilience.

Cisco Secure Firewall enhances visibility and threat detection even in encrypted traffic, and helps strengthen your zero trust security posture.

Powering the future of work with CiscoIn addition to security, Cisco’s broad hybrid work portfolio spans collaboration, networking, and IoT.

Learn how you can boost your organization’s security resilience for the years ahead.

4 дня, 6 часов назад @ blogs.cisco.com
Securing Your Migration to the Cloud
Securing Your Migration to the Cloud Securing Your Migration to the Cloud

As a leader in cloud enablement, Cisco Secure is excited to announce the availability of our Security SaaS portfolio on AWS Marketplace.

This helps to ensure your organization is secure with the Cisco Secure portfolio.

Two Umbrella versions are available on the AWS Marketplace – Umbrella DNS Security Essentials and Umbrella DNS Security Advantage.

All three Duo editions are available on the AWS Marketplace – Duo MFA, Duo Access and Duo Beyond – enabling customers to select the right solution for their needs.

Ask a Question, Comment Below, and Stay Connected with Cisco Secure on social!

5 дней, 8 часов назад @ blogs.cisco.com
Tour the RSA Conference 2022 Security Operations Center
Tour the RSA Conference 2022 Security Operations Center Tour the RSA Conference 2022 Security Operations Center

EXPOSURE: The Information We Divulge On A Public Wireless Network – The 3rd Annual* RSAC SOC ReportRegister now for your free tour of the RSA Conference Security Operations Center (SOC), where engineers are monitoring all traffic on the Moscone Wireless Network for security threats.

Please fill out the RSAC SOC Tour Request Form to request your spot.

You can obtain The 2nd Annual RSAC SOC Report here.

Ask a Question, Comment Below, and Stay Connected with Cisco Secure on social!

Cisco Secure Social ChannelsInstagramFacebookTwitterLinkedInShareShare:

5 дней, 19 часов назад @ blogs.cisco.com
Global Snack Manufacturer Becomes Cyber Resilient While Cutting Production Costs
Global Snack Manufacturer Becomes Cyber Resilient While Cutting Production Costs Global Snack Manufacturer Becomes Cyber Resilient While Cutting Production Costs

If the threat comes from a traditional URL or compromised business link, the integration of Cisco SecureX with Cisco Umbrella, Cisco Secure Firewall and Cisco Secure Endpoint gives us real-time visibility into the problem.

The point here is that without Cisco technology, during the pandemic our work would have come to a complete stop.

Food technologists in Spain used Cisco Webex technology, Webex Expert on Demand for RealWear, assisted reality wearable device provider, and Meraki smart cameras to collaborate on production lines in the U.S. to maintain NPI.

Ask a Question, Comment Below, and Stay Connected with Cisco Secure on social!

Cisco Secure Social ChannelsInstagramFacebookTwitterLinke…

6 дней, 8 часов назад @ blogs.cisco.com
Duo Opens New Data Center in India
Duo Opens New Data Center in India Duo Opens New Data Center in India

Back in September last year, Ash Devata, VP and GM for Zero Trust and Duo at Cisco wrote about the expansion of our international footprint with the opening of data centers in Australia, Singapore, and Japan.

Local data centers help customers meet compliance and data localization requirements, which is becoming an increasingly important issue in India.

As the National Law Review puts it ‘2021 was a blink-and-you-will-miss conveyor belt of activities’ regarding privacy and data protection law related legal developments, including the issuance of new data privacy standards that explores how organizations establish, implement, maintain and continually improve their data privacy management syst…

1 неделя, 3 дня назад @ blogs.cisco.com
Network Footprints of Gamaredon Group
Network Footprints of Gamaredon Group Network Footprints of Gamaredon Group

]online 4c12713ef851e277a66d985f666ac68e73ae21a82d8dcfcedf781c935d640f52 Office Open XML Document Groooboor arvensis[.

]xyz 03220baa1eb0ad80808a682543ba1da0ec5d56bf48391a268ba55ff3ba848d2f Office Open XML Document Groooboor email-smtp[.

]xyz aa566eed1cbb86dab04e170f71213a885832a58737fcab76be63e55f9c60b492 Office Open XML Document Pterodo calendas[.

]online 55ad79508f6ccd5015f569ce8c8fcad6f10b1aed930be08ba6c36b2ef1a9fac6 Office Open XML Document Pterodo mullus[.

Detecting Gamaredon Activity with Global Threat AlertsIn Cisco Global Threat Alerts, we are tracking the Gamaredon group under the Gamaredon Activity threat object.

1 неделя, 3 дня назад @ blogs.cisco.com
It’s a party! Cisco SecureX at RSAC and Cisco Live US 2022
It’s a party! Cisco SecureX at RSAC and Cisco Live US 2022 It’s a party! Cisco SecureX at RSAC and Cisco Live US 2022

An important milestone in our security journey has been our acquisition of Kenna Security Inc., a recognized leader in risk-based vulnerability management.

Stop by the Cisco Threat Wall to see Cisco Secure in action.

For a live demo and exploration of the latest SecureX features, visit us at our booth at RSA Conference 2022 and World of solutions at Cisco Live 2022.

Ask a Question, Comment Below, and Stay Connected with Cisco Secure on social!

Cisco Secure Social ChannelsInstagramFacebookTwitterLinkedInShareShare:

1 неделя, 4 дня назад @ blogs.cisco.com
Fostering a culture that normalizes mental health discussions
Fostering a culture that normalizes mental health discussions Fostering a culture that normalizes mental health discussions

Let us normalize talking about mental health to ensure people catch problems early and get the help that they need.

Small changes in behavior or attitude can illuminate a bigger mental health issue.

The then unknowns of the pandemic coupled with working at a distance, exacerbated mental health struggles.

We must build trust up and down an organization and ensure mental health discussions are part of the culture.

To learn more about mental health insights, experiences, please review the following informative resources:We’d love to hear what you think.

1 неделя, 5 дней назад @ blogs.cisco.com
Cisco Partner Story: Security Resilience is a Journey, Not a Destination
Cisco Partner Story: Security Resilience is a Journey, Not a Destination Cisco Partner Story: Security Resilience is a Journey, Not a Destination

When we think of security resilience, is it just another buzzword to describe a reactive approach to security?

How does your organization build security resilience?

Security Resilience in the Supply ChainML: One way is through the careful stewardship of our supply chain.

Their intent was to make investments in infrastructure solutions to address the IoT security problem, which is a big problem on educational campuses.

You need to go out and share with your leadership that proper security and resilience is a journey, not a destination.

1 неделя, 5 дней назад @ blogs.cisco.com
Announcing the public availability of the Cisco Cloud Controls Framework (CCF)
Announcing the public availability of the Cisco Cloud Controls Framework (CCF) Announcing the public availability of the Cisco Cloud Controls Framework (CCF)

While attaining global security certifications has become table-stakes for many to do business, it’s no easy feat.

Announcing the Cisco Cloud Controls Framework (CCF)We are proud to announce the general availability of the Cisco Cloud Controls Framework (CCF) V1.0 for public use.

The Cisco CCF is a rationalized framework with comprehensive control requirements taken from numerous, globally accepted, security compliance frameworks and certifications.

Today, the Cisco CCF V1.0 covers these security compliance framework and certification standards:We will regularly update the framework as regulations evolve and new industrial frameworks are integrated into our compliance processes.

Why make th…

2 недели, 3 дня назад @ blogs.cisco.com
Cisco StarOS Forensic Guide Published
Cisco StarOS Forensic Guide Published Cisco StarOS Forensic Guide Published

Cisco is pleased to announce a new addition to the Forensic Investigation Procedures for First Responders series of documents that will help customers and partners triage Cisco products that are suspected of being tampered with or compromised.

These guides provide step-by-step instructions for first responders that can be used to assess platform integrity and collect information that can be used for forensic analysis.

This new document is available on the Cisco.com Security Portal under Tactical Resources, Responding to a Security Incident.

Cisco StarOS Software Forensic Investigation Procedures for First RespondersThis document provides steps for assessing the integrity of and collecting f…

2 недели, 4 дня назад @ blogs.cisco.com
Detecting Targeted Attacks on Public Cloud Services with Cisco Secure Cloud Analytics
Detecting Targeted Attacks on Public Cloud Services with Cisco Secure Cloud Analytics Detecting Targeted Attacks on Public Cloud Services with Cisco Secure Cloud Analytics

The Public Cloud and Security ResponsibilityAcross many businesses, leveraging services offered and hosted by public cloud providers such as AWS proves to be extremely advantageous for both improving operational efficiencies, cost savings, scaling, and for security.

Working with our research team at Cisco Talos, we have identified several methods for detecting Denonia and attacks like it in the public cloud using Secure Cloud Analytics.

In addition to public cloud specific detection, Secure Cloud Analytics offers a wide range of threat detection across an organization’s private network, all within a single pane of glass.

Protect Your Public Cloud TodayTo learn more, go to https://www.cisco.…

2 недели, 5 дней назад @ blogs.cisco.com
ISE business value and ROI uncovered in Forrester study
ISE business value and ROI uncovered in Forrester study ISE business value and ROI uncovered in Forrester study

Forrester Consulting recently conducted an independent analysis of five organizations using Cisco Identity Services Engine (ISE), the industry-leading network access control solution, to uncover the business value of ISE.

Forrester noted in the study that aligning to these business-driven outcomes created $236,000 in value, or 23% of total ROI.

ISE social media kit for Forrester TEI studyUse this go-to-market kit, and study to help move your Cisco Identity Services Engine (ISE) Network Access Control discussions toward the quantitative benefits and ROI of deploying ISE for secure network access control.

Forrester Consulting conducted an analysis of five organizations to uncover the business…

2 недели, 5 дней назад @ blogs.cisco.com
The More You Know: Job Searching & Interviewing
The More You Know: Job Searching & Interviewing The More You Know: Job Searching & Interviewing

In the midst of global change and virtual hiring, the landscape of job searching has changed.

To develop an impactful resume, Edwards suggests: “Highlight your skills and experience as they relate to the role you’re interviewing for.

Don’t be afraid to ask for the accommodations that you need, including during the interviewing process.

Know what to expect in the interview process.

We try to stay in constant communication with the candidates throughout the interview process, whether through email, calls or texts.

3 недели, 3 дня назад @ blogs.cisco.com
Microsoft Security
последний пост 3 дня, 4 часа назад
Rise in XorDdos: A deeper look at the stealthy DDoS malware targeting Linux devices
Rise in XorDdos: A deeper look at the stealthy DDoS malware targeting Linux devices Rise in XorDdos: A deeper look at the stealthy DDoS malware targeting Linux devices

XorDdos depicts the trend of malware increasingly targeting Linux-based operating systems, which are commonly deployed on cloud infrastructures and Internet of Things (IoT) devices.

By compromising IoT and other internet-connected devices, XorDdos amasses botnets that can be used to carry out distributed denial-of-service (DDoS) attacks.

The first method involves copying a malicious ELF file to temporary file storage /dev/shm and then running it.

Uses the curl command to download the ELF file payload from the remote location hxxp://Ipv4PII_777789ffaa5b68638cdaea8ecfa10b24b326ed7d/1[.

Runs the ELF file payload.

3 дня, 4 часа назад @ microsoft.com
So you want to be a CISO: What you should know about data protection
So you want to be a CISO: What you should know about data protection So you want to be a CISO: What you should know about data protection

That’s why you’ll want a data management solution like PII that automatically identifies sensitive data using built-in sensitive information types and regulatory policy templates, such as General Data Protection Regulation (GDPR) and Health Insurance Portability and Accountability Act of 1996 (HIPAA).

In addition, look for unified data management solutions that identify and classify sensitive data found on-premises, multicloud, and SaaS to create a holistic map of your entire data estate.

Data governance: You want your organization’s data to be discoverable, trusted, and stored in a location where it can be readily protected.

But with the growth of big data and changing regulatory standards…

4 дня, 4 часа назад @ microsoft.com
Easy authentication and authorization in Azure Active Directory with No-Code Datawiza
Easy authentication and authorization in Azure Active Directory with No-Code Datawiza Easy authentication and authorization in Azure Active Directory with No-Code Datawiza

Leveraging Datawiza with Azure AD supports comprehensive SSO and multifactor authentication across applications, with fine-grained access controls.

Options for integrating homegrown and legacy applications with Azure ADIntegrating homegrown or legacy applications with Azure AD is imperative.

How Datawiza and Azure AD work togetherWhen a user attempts to log into any application, Datawiza intercepts the access request and authenticates it using a built-in connection to Azure AD through OIDC or SAML protocols.

The user signs in through the Azure AD login page, and the OIDC or SAML message exchanges with Azure AD and Datawiza are automatically completed on behalf of the application.

And Datawi…

5 дней, 3 часа назад @ microsoft.com
In hot pursuit of ‘cryware’: Defending hot wallets from attacks
In hot pursuit of ‘cryware’: Defending hot wallets from attacks In hot pursuit of ‘cryware’: Defending hot wallets from attacks

Cryware are information stealers that collect and exfiltrate data directly from non-custodial cryptocurrency wallets, also known as hot wallets.

With cryware, attackers who gain access to hot wallet data can use it to quickly transfer the target’s cryptocurrencies to their own wallets.

Hot wallet attack surfacesTo better protect their hot wallets, users must first understand the different attack surfaces that cryware and related threats commonly take advantage of.

Hot wallet dataDuring the creation of a new hot wallet, the user is given the following wallet data:Private key.

Users and organizations can also take the following steps to defend against cryware and other hot wallet attacks:Lock…

5 дней, 4 часа назад @ microsoft.com
Microsoft showcases the future of comprehensive security at RSA 2022
Microsoft showcases the future of comprehensive security at RSA 2022 Microsoft showcases the future of comprehensive security at RSA 2022

Microsoft Security will be onsite at booth 6059 at Moscone Center with 1,500 square feet of Microsoft and partner-led demonstrations from Nuance, Rubrik, Wipro, and Veritas.

Microsoft Security Hub—You’re invitedWe’re so excited to be onsite this year that we’re kicking things off early.

Join us on June 5, 2022, from 2 PM to 9 PM Pacific Time (PT) at Microsoft Security Hub at Bespoke Westfield Event Center for a special Microsoft Security pre-day event.

The Microsoft Security Hub will also host the Microsoft Security Experts Launch Party, as well as an Innovation Zone, listening sessions, executive lunches, CISO Roundtable, MISA meeting room, Whisper room, screening rooms, and dazzling visua…

6 дней, 4 часа назад @ microsoft.com
Center for Threat-Informed Defense, Microsoft, and industry partners streamline MITRE ATT&CK® matrix evaluation for defenders
Center for Threat-Informed Defense, Microsoft, and industry partners streamline MITRE ATT&CK® matrix evaluation for defenders Center for Threat-Informed Defense, Microsoft, and industry partners streamline MITRE ATT&CK® matrix evaluation for defenders

The MITRE Center for Threat-Informed Defense, Microsoft, and other industry partners collaborated on a project that created a repeatable methodology for developing a top MITRE ATT&CK® techniques list.

For example, using research on 22 ransomware attacks, the repeatable methodology led to the identification of the top 10 ransomware techniques list.

Establishing the top ATT&CK techniquesThe methodology for identifying the top ATT&CK techniques factored in three attributes to determine the significance of a technique: prevalence, choke point, and actionability.

MITRE ATT&CK Technique Process Injection (T1055) is an example of a possible choke pointActionability is the opportunity for a defende…

1 неделя, 4 дня назад @ microsoft.com
Microsoft security experts outline next steps after compromise recovery
Microsoft security experts outline next steps after compromise recovery Microsoft security experts outline next steps after compromise recovery

The Microsoft Compromise Recovery Security Practice (CRSP) is a worldwide team of cybersecurity experts operating in most countries, across both public and private organizations, with deep expertise to secure an environment post-security breach and to help you prevent a breach in the first place.

As a specialist team within the wider Microsoft cybersecurity functions, we predominantly focus on reactive security projects for our customers.

The main types of projects we undertake are:Compromise recovery: Giving customers back control of their environment after a compromise.

Following Microsoft Security processes that have been tested over and over, we achieve a successful recovery together wi…

1 неделя, 5 дней назад @ microsoft.com
Building a safer world together with our partners—introducing Microsoft Security Experts
Building a safer world together with our partners—introducing Microsoft Security Experts Building a safer world together with our partners—introducing Microsoft Security Experts

That’s why I’m thrilled to announce that Microsoft is expanding our existing service capabilities under a new service category called Microsoft Security Experts.

Video description: Microsoft Security Experts is a line of managed security solutions that combines human-led services with expert-trained technology to help organizations achieve better security outcomes.

Large enterprises looking for more comprehensive, high-touch managed services from Microsoft experts will benefit from Microsoft Security Services for Enterprise.

Security for all, together with Microsoft partnersOne of our core principles at Microsoft Security is security for all.

To learn more, join me and Satya at Microsoft Se…

1 неделя, 6 дней назад @ microsoft.com
Ransomware-as-a-service: Understanding the cybercrime gig economy and how to protect yourself
Ransomware-as-a-service: Understanding the cybercrime gig economy and how to protect yourself Ransomware-as-a-service: Understanding the cybercrime gig economy and how to protect yourself

Ransomware attacks have become even more impactful in recent years as more ransomware-as-a-service ecosystems have adopted the double extortion monetization strategy.

Ransomware payloads distributed by DEV-0237 between 2020 and April 2022Beyond RaaS payloads, DEV-0237 uses the cybercriminal gig economy to also gain initial access to networks.

Ransomware payloads distributed by DEV-0401 between 2021 and April 2022Because DEV-0401 maintains and frequently rebrands their own ransomware payloads, they can appear as different groups in payload-driven reporting and evade detections and actions against them.

In a notable shift—possibly related to victim payment issues—DEV-0401 started deploying Lo…

1 неделя, 6 дней назад @ microsoft.com
This World Password Day consider ditching passwords altogether
This World Password Day consider ditching passwords altogether This World Password Day consider ditching passwords altogether

Last fall, we announced that anyone can completely remove the password from their Microsoft account.

Free yourself with passwordless sign-inYes, you can now enjoy secure access to your Microsoft account without a password.

Just follow these five steps:Download and install Microsoft Authenticator (linked to your personal Microsoft account).

Once you approve the notification, you’ll no longer need a password to access your Microsoft accounts.

You can also read the complete guide to setting up your passwordless account with Microsoft, including FAQs and download links.

2 недели, 3 дня назад @ microsoft.com
How a senior product manager is leading the passwordless movement at Microsoft
How a senior product manager is leading the passwordless movement at Microsoft How a senior product manager is leading the passwordless movement at Microsoft

I can’t think of a better person at Microsoft to represent this journey than Libby Brown, a senior product manager leading our efforts to keep Microsoft Azure Active Directory (Azure AD) customers more secure with passwordless solutions.

Early on, she switched from engineering to public policy and then worked in publishing, product marketing, training, release management, and now product management.

Congressional Quarterly was a pretty small business.

Eric: Well, you had quite a journey to get there, but now you’ve been a product manager for a while at Microsoft.

To learn more about Microsoft Security solutions, visit our website.

2 недели, 4 дня назад @ microsoft.com
Automating your Microsoft security suite with D3 XGEN SOAR
Automating your Microsoft security suite with D3 XGEN SOAR Automating your Microsoft security suite with D3 XGEN SOAR

How Microsoft Sentinel customers use D3’s Event Pipeline to stay focused on real threatsWhat does integrating D3 XGEN SOAR with Microsoft tools mean for customers?

Key Microsoft integrationsD3’s integration with Microsoft Sentinel is just one of 33 integrations between D3 XGEN SOAR and Microsoft tools.

With more than 30 Microsoft integrations, D3 Security has been a Microsoft Intelligent Security Association (MISA) member since 2020.

3 XGEN SOAR Event Pipeline, D3 Security.

6 D3 XGEN SOAR for Phishing Attacks, D3 Security.

2 недели, 5 дней назад @ microsoft.com
Microsoft launches Defender for Business to help protect small and medium businesses
Microsoft launches Defender for Business to help protect small and medium businesses Microsoft launches Defender for Business to help protect small and medium businesses

Microsoft Defender for Business is already included as part of Microsoft 365 Business Premium, our comprehensive security and productivity solution for businesses with up to 300 employees.

Partner Kite Technology Group recommended Defender for Business: “With Microsoft Defender for Business, we’re able to bring enterprise-grade security protection to our small and midsize business customers.

ConnectWise RMM integration with Microsoft Intune and Microsoft 365 Business Premium is coming soon.

For more details on the partner opportunity and benefits of Defender for Business and Microsoft 365 Business Premium, see our partner blog post.

1National Small Business Week, U.S Small Business Administ…

2 недели, 6 дней назад @ microsoft.com
How one senior developer brings the startup spirit to Microsoft
How one senior developer brings the startup spirit to Microsoft How one senior developer brings the startup spirit to Microsoft

We’ve included some video snippets so you can learn more about his entrepreneurial history and his future aspirations for the Microsoft ADC.

George: I work for the Microsoft Graph onboarding team, which was the third team to be formed at ADC.

It’s an aggregator for different Microsoft services, such as LinkedIn or directory service, so that from an external point of view, it all looks like one service.

Before Microsoft Graph, different teams would publish their own APIs that weren’t consistent.

George: We do get help from people in Redmond, but the charter for onboarding developers to Microsoft Graph is fully ours.

3 недели, 4 дня назад @ microsoft.com
Microsoft finds new elevation of privilege Linux vulnerability, Nimbuspwn
Microsoft finds new elevation of privilege Linux vulnerability, Nimbuspwn Microsoft finds new elevation of privilege Linux vulnerability, Nimbuspwn

Microsoft has discovered several vulnerabilities, collectively referred to as Nimbuspwn, that could allow an attacker to elevate privileges to root on many Linux desktop endpoints.

We shared these vulnerabilities with the relevant maintainers through Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR).

Indeed, there have been interesting vulnerabilities in the past related to buggy D-Bus services, including USBCreator Elevation of Privilege, Blueman Elevation of Privilege by command injection, and other similar scenarios.

This abuses the directory traversal vulnerability and escapes the script directory.

To address the specific vulnerabilities at …

3 недели, 5 дней назад @ microsoft.com
Google Online Security Blog Google Online Security Blog
последний пост 4 дня, 7 часов назад
Privileged pod escalations in Kubernetes and GKE
Privileged pod escalations in Kubernetes and GKE Privileged pod escalations in Kubernetes and GKE

Privileged pods within the context of GKE securityWhile privileged pods can pose a security issue, it’s important to look at them within the overall context of GKE security.

To use a privileged pod as a “trampoline” in GKE, there is a major prerequisite – the attacker has to first execute a successful application compromise and container breakout attack.

While privileged pods can pose a security issue, it’s important to look at them within the overall context of GKE security.

Where privileged pods are required for the operation of a feature, we’ve added additional documentation to illustrate that fact.

In addition to the measures above, we recommend users take advantage of tools that can sc…

4 дня, 7 часов назад @ security.googleblog.com
I/O 2022: Android 13 security and privacy (and more!)
I/O 2022: Android 13 security and privacy (and more!) I/O 2022: Android 13 security and privacy (and more!)

With Android 13 we have migrated to a new model for the provisioning of attestation keys to Android devices which is known as Remote Key Provisioning (RKP).

We now have more than 30 components in Android that can be automatically updated through Google Play, including new modules in Android 13 for Bluetooth and ultra-wideband (UWB).

In Android 13 we implemented numerous enhancements to help mitigate potential vulnerabilities that app developers may inadvertently introduce.

In Android 13, app makers can go above and beyond in removing permissions even more proactively on behalf of their users.

Later this year, we’ll begin rolling out a new destination in settings on Android 13 devices that p…

1 неделя, 4 дня назад @ security.googleblog.com
Taking on the Next Generation of Phishing Scams
Taking on the Next Generation of Phishing Scams Taking on the Next Generation of Phishing Scams

In these attacks, a user thinks they're logging into the intended site, just as in a standard phishing attack.

But instead of deploying a simple static phishing page that saves the victim's email and password when the victim tries to login, the phisher has deployed a web service that logs into the actual website at the same time the user is falling for the phishing page.

In these attacks, a user thinks they're logging into the intended site, just as in a standard phishing attack.

Phishing-resistant authentication using FIDO with security keys or a Bluetooth connection to your phone.

Through these efforts we introduced physical FIDO security keys, such as the Titan Security Key , which preve…

1 неделя, 4 дня назад @ security.googleblog.com
The Package Analysis Project: Scalable detection of malicious open source packages
The Package Analysis Project: Scalable detection of malicious open source packages The Package Analysis Project: Scalable detection of malicious open source packages

Google,a member of theTo better understand how the Package Analysis program is contributing to supply chain security, we analyzed the nearly 200 malicious packages it captured over a one-month period.

Here’s what we discovered: Despite open source software’s essential role in all software built today, it’s far too easy for bad actors to circulate malicious packages that attack the systems and users running that software.

The Package Analysis program performs dynamic analysis of all packages uploaded to popular open source repositories and catalogs the results in a BigQuery table.

The short time frame and low sophistication needed for finding the results above underscore the challenge facing…

3 недели, 3 дня назад @ security.googleblog.com
How we fought bad apps and developers in 2021
How we fought bad apps and developers in 2021 How we fought bad apps and developers in 2021

Last year we introduced multiple privacy focused features, enhanced our protections against bad apps and developers, and improved SDK data safety.

The Data safety section launched this week, and developers are required to complete this section for their apps by July 20th.

Last year, we engaged with SDK developers to build a safer Android and Google Play ecosystem.

Our new Security hub helps protect your phone, apps, Google Account, and passwords by giving you a central view of your device’s current configuration.

In addition, Pixels now use new machine learning models that improve the detection of malware in Google Play Protect.

3 недели, 4 дня назад @ security.googleblog.com
How to SLSA Part 3 - Putting it all together
How to SLSA Part 3 - Putting it all together How to SLSA Part 3 - Putting it all together

The Squirrel package ‘foo’ The Oppy package ‘baz’ A custom executable, ‘bar’, written by Acme employees.

bar is compiled from source code stored in the same source repo as the Dockerfile.

acorn install downloads ‘foo’ from the Squirrel repo, verifying the VSA, and recording the use of acorn://[email protected] and its VSA in the build.

The build process assembles the SLSA provenance for the container by:Recording the Acme git repo the bar source and Dockerfile came from, into materials.

Creating a signed DSSE with the SLSA provenance and adding it to the output in-toto bundle.

1 месяц, 1 неделя назад @ security.googleblog.com
How to SLSA Part 2 - The Details
How to SLSA Part 2 - The Details How to SLSA Part 2 - The Details

Squirrel will also allow packages to create SLSA 0 policies if they’re not using SLSA compliant infrastructure.

A minimal delegated verification policy might be “allow if trusted-party verified this artifact (identified by digest) as ”.

For example, “allow if trusted-party verified this artifact as at SLSA 3 and it doesn’t have any dependencies less than SLSA 2”.

They could then configure this ID/key pair for use throughout Acme and be confident that any software used has been verified according to Acme policy.

“Squirrel package ‘foo’ must have been built & signed by ‘spiffe://foobar.com/foo-builder, from github.com/foo/acorn-foo, and be SLSA 4”.

1 месяц, 1 неделя назад @ security.googleblog.com
How to SLSA Part 1 - The Basics
How to SLSA Part 1 - The Basics How to SLSA Part 1 - The Basics

The SituationThe Squirrel package ‘foo’ The Oppy package ‘baz’ A custom executable, ‘bar’, written by Acme employeesBasics In order to SLSA, Squirrel, Oppy, and Acme will all need SLSA capable build services.

To support this, Squirrel will qualify some build services at specific SLSA levels (meaning they can produce artifacts up to that level).

In order to SLSA, Squirrel, Oppy, and Acme will all need SLSA capable build services.

should we prioritize asking for foo.tgz to be distributed with native SLSA provenance?).

should we prioritize asking for foo.tgz to be distributed with native SLSA provenance?

1 месяц, 1 неделя назад @ security.googleblog.com
Improving software supply chain security with tamper-proof builds
Improving software supply chain security with tamper-proof builds Improving software supply chain security with tamper-proof builds

This blog post focuses on build provenance, which gives users important information about the build: who performed the release process?

Source provenance describes how the source code was protected, which we’ll cover in future blog posts, so stay tuned.

Source provenance describes how the source code was protected, which we’ll cover in future blog posts, so stay tuned.

The following steps create the trusted builder that is necessary to generate provenance in isolation from the build and maintainer’s interference.

The OIDC protocol requires no hardcoded, long-term secrets be stored in GitHub's secrets, which sidesteps the potential problem of key mismanagement invalidating the SLSA provenanc…

1 месяц, 2 недели назад @ security.googleblog.com
Find and $eek! Increased rewards for Google Nest & Fitbit devices
Find and $eek! Increased rewards for Google Nest & Fitbit devices Find and $eek! Increased rewards for Google Nest & Fitbit devices

We are paying higher rewards retroactively for eligible Google Nest and Fitbit devices reports submitted in 2021.

And, starting today, for the next six months, will double the reward amount for all new eligible reports applicable to Google Nest & Fitbit devices in scope.

An enhanced rewards programBuilding on our previous programs to improve devices' embedded security posture, we’re bringing all our first-party devices under a single program, starting with Google Nest, Fitbit, and Pixel.

Refer to the Android and Google Devices Security Reward Program for more details.

Starting today, we will introduce a new vulnerability rewards structure for submissions impacting smart home (Google Nest) a…

1 месяц, 2 недели назад @ security.googleblog.com
What's up with in-the-wild exploits? Plus, what we're doing about it.
What's up with in-the-wild exploits? Plus, what we're doing about it. What's up with in-the-wild exploits? Plus, what we're doing about it.

These efforts have been spearheaded by both browser security teams and dedicated research groups, such as Project Zero.

Flash deprecation : In 2015 and 2016, Flash was a primary exploitation target.

Since some security bugs are inevitable, how a software vendor architects their software (so that the impact of any single bug is limited) and responds to critical security bugs is often much more important than the specifics of any single bug.

Since “memory safety” bugs account for 70% of the exploitable security bugs, we aim to write new parts of Chrome in memory-safe languages.

We strongly advise not focusing on zero-days when making decisions about updates, but instead to assume any Chrome s…

2 месяца, 1 неделя назад @ security.googleblog.com
Mitigating kernel risks on 32-bit ARM
Mitigating kernel risks on 32-bit ARM Mitigating kernel risks on 32-bit ARM

Side channels or other flaws caused by silicon errata may exist that haven't been mitigated in 32-bit kernels.

The 32-bit ARM kernel does not implement the elaborate alternatives patching framework that is used by other architectures to implement handling of silicon errata, which are particular to certain revisions of certain CPUs.

The 32-bit kernel does not implement kernel address space randomization, and even if it did, its comparatively tiny address space simply leaves very little space for randomization.

(Note that a stack overflow is not the same as a stack buffer overflow, where the overflow happens in the opposite direction.)

As 32-bit applications don't need a 64-bit kernel (which …

2 месяца, 4 недели назад @ security.googleblog.com
🌹 Roses are red, Violets are blue 💙 Giving leets 🧑‍💻 more sweets 🍭 All of 2022!
🌹 Roses are red, Violets are blue 💙 Giving leets 🧑‍💻 more sweets 🍭 All of 2022! 🌹 Roses are red, Violets are blue 💙 Giving leets 🧑‍💻 more sweets 🍭 All of 2022!

We will automatically publish the patches of all submissions if the flag is valid.

You will be able to submit the exploit in the same form you submit the flag.

31,337 USD to the first valid exploit submission for a given vulnerability.

This will only be paid once per vulnerability to the first valid exploit submission.

This will only be paid once per vulnerability to the first valid exploit submission.

3 месяца, 1 неделя назад @ security.googleblog.com
Vulnerability Reward Program: 2021 Year in Review
Vulnerability Reward Program: 2021 Year in Review Vulnerability Reward Program: 2021 Year in Review

The program also launched the Android Chipset Security Reward Program (ACSRP), a vulnerability reward program offered by Google in collaboration with manufacturers of certain popular Android chipsets.

We’d like to highlight a few researcher achievements made in 2021:Rory McNamara, a Chrome OS VRP researcher who has been participating in the Chrome VRP for five years, became the highest awarded Chrome VRP researcher of all time.

The Google Play Security Reward Program also released their Android App Hacking Workshop content and published a blog on their work to empower the next generation of Android Application Security Researchers.

Research GrantsSix years ago, the Google VRP launched an ex…

3 месяца, 1 неделя назад @ security.googleblog.com
Reducing Security Risks in Open Source Software at Scale: Scorecards Launches V4
Reducing Security Risks in Open Source Software at Scale: Scorecards Launches V4 Reducing Security Risks in Open Source Software at Scale: Scorecards Launches V4

Since our July announcement of Scorecards V2, the Scorecards project—an automated security tool to flag risky supply chain practices in open source projects—has grown steadily to over 40 unique contributors and 18 implemented security checks.

Today we are proud to announce the V4 release of Scorecards, with larger scaling, a new security check, and a new Scorecards GitHub Action for easier security automation.The Scorecards Action is released in partnership with GitHub and is available from GitHub's Marketplace .

The Action makes using Scorecards easier than ever: it runs automatically on repository changes to alert developers about risky supply-chain practices.

Maintainers can view the ale…

4 месяца назад @ security.googleblog.com