#Событие #iOS #Apple
Воспитанные в парадигме научно-технического прогресса, мы склонны априори положительно оценивать любые изменения. Новые модели, прошивки, версии - что может быть лучше, чем пользовать самую последнюю версию любимой системы. Вы ещё верите в однозначное благо прогресса? Тогда мы идем к вам! Сегодня компания "ElcomSoft" опубликовала в своем блоге очень полезный материал о том, как в погоне за юзабилити, некогда самая безопасная мобильная ОС решительно продеградировала и оказалась решетом. Читаем, просветляемся и принимаем правильные решения в собственной жизни.
Источник: https://blog.elcomsoft.com/2017/11/ios-11-horror-story-the-rise-and-fall-of-ios-security/
Воспитанные в парадигме научно-технического прогресса, мы склонны априори положительно оценивать любые изменения. Новые модели, прошивки, версии - что может быть лучше, чем пользовать самую последнюю версию любимой системы. Вы ещё верите в однозначное благо прогресса? Тогда мы идем к вам! Сегодня компания "ElcomSoft" опубликовала в своем блоге очень полезный материал о том, как в погоне за юзабилити, некогда самая безопасная мобильная ОС решительно продеградировала и оказалась решетом. Читаем, просветляемся и принимаем правильные решения в собственной жизни.
Источник: https://blog.elcomsoft.com/2017/11/ios-11-horror-story-the-rise-and-fall-of-ios-security/
ElcomSoft blog
iOS 11 Horror Story: the Rise and Fall of iOS Security
We loved what Apple used to do about security. During the past years, the company managed to build a complete, multi-layer system to secure its hardware and software ecosystem and protect its customers against common threats. Granted, the system was not without…
#Событие #Отчет #Хакер #ZeroNights
А у нас подоспел горячий отчет о прошедшем ZeroNights от журнала "Хакер". Не пересказывая статью (надеемся вы умеете пользоваться ссылками), попробуем высказаться по теме. За последние 10 лет отрасль ИБ в нашей стране решительно шагнула вперед. Появились профильные конференции, организуются CTF-ы, компании типа Яндекса выкладывают сотни тематических материалов в бесплатный доступ, чуть не в каждом ларьке создан отдел ИБ... Но по-прежнему можно услышать, что специалистов не хватает, нанимать не кого и людей приходиться воспитывать. Когда-то авторы этих строк думали, что это верно и есть на свете какие-то мифические безопасники, которые знают и умеют все, но сейчас... Сейчас нам кажется, что сложившаяся ситуация естественна, неизбежна и со временем будет только усугубляться. Все больше процессов автоматизируется, технологии становятся многослойнее, растет количество требований и задач. При этом, затраты на обеспечение адекватной защиты возрастают, а возможности для атаки только увеличиваются. Древний принцип военного искусства недаром гласит, что лучшая защита - нападение. Ожидая атаки врага мы оказываемся в заведомо проигрышном положении. Поэтому киберпиздец в геометрической прогрессии представляется редакции чем-то неизбежным, во всяком случае без изобретения сильного ИИ, которому будет делегирован менеджмент ИБ, и который будет лишен недостатков ленивого и нерасторопного человека.
Источник: https://xakep.ru/2017/11/30/zn2017-results/
А у нас подоспел горячий отчет о прошедшем ZeroNights от журнала "Хакер". Не пересказывая статью (надеемся вы умеете пользоваться ссылками), попробуем высказаться по теме. За последние 10 лет отрасль ИБ в нашей стране решительно шагнула вперед. Появились профильные конференции, организуются CTF-ы, компании типа Яндекса выкладывают сотни тематических материалов в бесплатный доступ, чуть не в каждом ларьке создан отдел ИБ... Но по-прежнему можно услышать, что специалистов не хватает, нанимать не кого и людей приходиться воспитывать. Когда-то авторы этих строк думали, что это верно и есть на свете какие-то мифические безопасники, которые знают и умеют все, но сейчас... Сейчас нам кажется, что сложившаяся ситуация естественна, неизбежна и со временем будет только усугубляться. Все больше процессов автоматизируется, технологии становятся многослойнее, растет количество требований и задач. При этом, затраты на обеспечение адекватной защиты возрастают, а возможности для атаки только увеличиваются. Древний принцип военного искусства недаром гласит, что лучшая защита - нападение. Ожидая атаки врага мы оказываемся в заведомо проигрышном положении. Поэтому киберпиздец в геометрической прогрессии представляется редакции чем-то неизбежным, во всяком случае без изобретения сильного ИИ, которому будет делегирован менеджмент ИБ, и который будет лишен недостатков ленивого и нерасторопного человека.
Источник: https://xakep.ru/2017/11/30/zn2017-results/
«Хакер»
][-отчет: Zero Nights 2017. Седьмой крутейший ИБ-эвент глазами участника
Сочетание ретроромантики командной строки и ASCII-арта с докладами зарубежных и отечественных спикеров, занимательными конкурсами и заразительной атмосферой фана и энтузиазма, которая возможна только в обществе увлеченных общим интересом людей, — такое приятное…
#Событие #Хацкеры #Преступление_и_Наказание #Философия
Близится Новый год, католики отмечают Рождество и, кажется, лучшего времени для возвращения канала в эфир не придумаешь. Для разминки мы поговорим о "Преступлении и наказании" в мире информационной безопасности.
Engadget.com сообщает о задержании представителей очередной хакерской группы Lizard Squad (https://www.engadget.com/2017/12/22/lizard-squad-hacker-founder-guilty/ ). Ничем выдающимся на фоне десятков подобных групп ребята не отличаются, и некоторые британские специалисты уже окрестили их в своих блогах скрипткидди. Но здесь важны не конкретные ребята, а вопрос: зачем люди выбирают скользкую дорожку киберпреступлений, а не устраиваются в легальные компании, реализуя свои таланты без нарушения закона? Простой ответ: ради денег. Сложный ответ: потому что так сложились обстоятельства. Здесь, в частности, уместно вспомнить историю с отечественным ЦБ и массовым отзывом лицензий у банков на территории РФ в последние годы. Если в тучные годы общее числов банков в стране стремилось к 2 000 единиц, то в настоящее время стремится к 500. Куда делись специалисты, занимающиеся вопросами информатизации и безопасности этих банков - вопрос риторический. Часть переквалифицировались, часть перешла в другие компании, а часть, разумеется, стала применять свои знания и навыки "по ту сторону силы". Как и в "Звездных войнах" переход на темную сторону - это часто не следствие некой имманентной природы изначально злых падаванов, но следствие обстоятельств, подталкивающих человека идти против закона.
И хотя мы не можем полностью исключить существование black-hat, их число можно свести к минимуму, занимаясь профилактикой киберпреступлений путем воспитания подрастающего поколения в духе уважения к закону и чужим деньгам, и предоставляя людям несопоставимо большие возможности для профессионального развития и самореализации в рамках легального сообщества, путь в которое "заказан" всем, кто перешел на темную сторону. Люди, выбирающие темную сторону, должны понимать, что одним из последствий их выбора станет остракизм профессионального сообщества и черная метка, которая не позволит им занимать должности, требующие психической устойчивости и верности моральным устоям, частной собственности и государственным законам. И знаете что? В этом плане одиозный большой брат и государство тотального контроля, которое сейчас пытаются строить китайцы, меньшее из зол по сравнению с обществом, где преступники, упивающиеся тайной частной жизни и, как следствие, безнаказанностью, могут творить любые преступления, не без оснований надеясь остаться неузнанными и незамеченными.
Близится Новый год, католики отмечают Рождество и, кажется, лучшего времени для возвращения канала в эфир не придумаешь. Для разминки мы поговорим о "Преступлении и наказании" в мире информационной безопасности.
Engadget.com сообщает о задержании представителей очередной хакерской группы Lizard Squad (https://www.engadget.com/2017/12/22/lizard-squad-hacker-founder-guilty/ ). Ничем выдающимся на фоне десятков подобных групп ребята не отличаются, и некоторые британские специалисты уже окрестили их в своих блогах скрипткидди. Но здесь важны не конкретные ребята, а вопрос: зачем люди выбирают скользкую дорожку киберпреступлений, а не устраиваются в легальные компании, реализуя свои таланты без нарушения закона? Простой ответ: ради денег. Сложный ответ: потому что так сложились обстоятельства. Здесь, в частности, уместно вспомнить историю с отечественным ЦБ и массовым отзывом лицензий у банков на территории РФ в последние годы. Если в тучные годы общее числов банков в стране стремилось к 2 000 единиц, то в настоящее время стремится к 500. Куда делись специалисты, занимающиеся вопросами информатизации и безопасности этих банков - вопрос риторический. Часть переквалифицировались, часть перешла в другие компании, а часть, разумеется, стала применять свои знания и навыки "по ту сторону силы". Как и в "Звездных войнах" переход на темную сторону - это часто не следствие некой имманентной природы изначально злых падаванов, но следствие обстоятельств, подталкивающих человека идти против закона.
И хотя мы не можем полностью исключить существование black-hat, их число можно свести к минимуму, занимаясь профилактикой киберпреступлений путем воспитания подрастающего поколения в духе уважения к закону и чужим деньгам, и предоставляя людям несопоставимо большие возможности для профессионального развития и самореализации в рамках легального сообщества, путь в которое "заказан" всем, кто перешел на темную сторону. Люди, выбирающие темную сторону, должны понимать, что одним из последствий их выбора станет остракизм профессионального сообщества и черная метка, которая не позволит им занимать должности, требующие психической устойчивости и верности моральным устоям, частной собственности и государственным законам. И знаете что? В этом плане одиозный большой брат и государство тотального контроля, которое сейчас пытаются строить китайцы, меньшее из зол по сравнению с обществом, где преступники, упивающиеся тайной частной жизни и, как следствие, безнаказанностью, могут творить любые преступления, не без оснований надеясь остаться неузнанными и незамеченными.
Engadget
Lizard Squad's founding member pleads guilty to cyber-crimes
The 20-year-old ran the hacker-for-hire group known for extortion and harassment.
#Событие
Помнится Gizmodo пугали нас неуправляемыми IoT гаджетами.
Не поддавайтесь предновогодней лихорадке, не приобретайте IoT устройства в подарок своим близким! — говорили они.
И вот очередное доказательство. На этот раз на шпионаже попалась умная лампочка от Xiaomi.
"Товарищ, умный полицейский, бес попутал, больше не повторится"
Источник
Помнится Gizmodo пугали нас неуправляемыми IoT гаджетами.
Не поддавайтесь предновогодней лихорадке, не приобретайте IoT устройства в подарок своим близким! — говорили они.
И вот очередное доказательство. На этот раз на шпионаже попалась умная лампочка от Xiaomi.
"Товарищ, умный полицейский, бес попутал, больше не повторится"
Источник
#Событие #Сноуден #Haven #БольшойБрат
Продолжаем тему Большого Брата. The Verge сообщает (https://www.theverge.com/2017/12/23/16812834/edward-snowden-haven-guardian-project-laptop-phone ) о проекте Э. Сноудена, которому наш Дон Кихот посвятил последний год своей жизни. Политики часто говорят, что если ты не можешь остановить какое-то явление - возглавь его. Так же поступил и господин Эдвард. Поняв, что в мире торжествующей цифровой революции и IoT не спрятаться, не скрыться от вездесущих гаджетов, он работает над мобильным приложением, позволяющим использовать шпионские возможности своего телефона себе на благо. Все желающие почувствовать себя Джеймсом Бондом и использовать возможности своего гаджета for the great justice - welcome по ссылкам ниже.
Исходники на Github: https://github.com/guardianproject/haven ;
Приложение в Google Play: https://play.google.com/store/apps/details?id=org.havenapp.main .
Продолжаем тему Большого Брата. The Verge сообщает (https://www.theverge.com/2017/12/23/16812834/edward-snowden-haven-guardian-project-laptop-phone ) о проекте Э. Сноудена, которому наш Дон Кихот посвятил последний год своей жизни. Политики часто говорят, что если ты не можешь остановить какое-то явление - возглавь его. Так же поступил и господин Эдвард. Поняв, что в мире торжествующей цифровой революции и IoT не спрятаться, не скрыться от вездесущих гаджетов, он работает над мобильным приложением, позволяющим использовать шпионские возможности своего телефона себе на благо. Все желающие почувствовать себя Джеймсом Бондом и использовать возможности своего гаджета for the great justice - welcome по ссылкам ниже.
Исходники на Github: https://github.com/guardianproject/haven ;
Приложение в Google Play: https://play.google.com/store/apps/details?id=org.havenapp.main .
The Verge
Edward Snowden made an app to protect your laptop
Wait, Snowden built an app?
#Событие
Праздники позади, и самое время вернуться в прежний ИБ ритм, тем более поводов накопилось уже более чем.
Сразу оговоримся, что мы не будем разбирать события, произошедшие за праздники, в частности те же Meltdown и Spectre, которыми пестрит ИБ отрасль. Если вы еще не слышали, то не берите грех на душу, почитайте, пропатчитесь. То ли еще будет.
А начнем мы со вчерашней новости об очередной максимально неловкой дырке в macOS High Sierra, позволяющей получить доступ к разделу App Store вашего Mac с вводом любого пароля. Угрозы данная "фича" вряд ли представляет, но репутационные издержки уже в который раз яблочная компания понесет.
Источник: https://www.macrumors.com/2018/01/10/macos-high-sierra-app-store-password-bug/
Праздники позади, и самое время вернуться в прежний ИБ ритм, тем более поводов накопилось уже более чем.
Сразу оговоримся, что мы не будем разбирать события, произошедшие за праздники, в частности те же Meltdown и Spectre, которыми пестрит ИБ отрасль. Если вы еще не слышали, то не берите грех на душу, почитайте, пропатчитесь. То ли еще будет.
А начнем мы со вчерашней новости об очередной максимально неловкой дырке в macOS High Sierra, позволяющей получить доступ к разделу App Store вашего Mac с вводом любого пароля. Угрозы данная "фича" вряд ли представляет, но репутационные издержки уже в который раз яблочная компания понесет.
Источник: https://www.macrumors.com/2018/01/10/macos-high-sierra-app-store-password-bug/
MacRumors
macOS High Sierra's App Store System Preferences Can Be Unlocked With Any Password [Updated]
A bug report submitted on Open Radar this week has revealed a security flaw in the current version of macOS High Sierra that allows the App Store...
#Событие #FYI #Facebook
Бытует мнение, что чем компания крупнее, тем лучше она защищена. Да, в корпорациях существуют крутые СКУД, продуманные групповые политики, строгий антивирус, современный WAF и полноценная песочница. Но никому, слышите, никому еще не удавалось избежать парадоксального человеческого фактора при построении систем или написании кода.
Как и в этом случае с Facebook. Их дочерняя компания Oculus, занимающаяся виртуальной реальностью, позволяет пользователям социальной сети привязывать аккаунты для лучшего социального опыта. Тут то рисечер Йосип Франкович из Хорватии и нашел уязвимость, позволяющую с помощью CSRF привязать Facebook к Oculus счету атакующего, а как следствие похитить и аккаунт жертвы, подменив мобильный телефон.
Причем после фикса со стороны Facebook, Йосип нашел новую дырку.
Источник: https://www.josipfranjkovic.com/blog/hacking-facebook-oculus-integration-csrf
Бытует мнение, что чем компания крупнее, тем лучше она защищена. Да, в корпорациях существуют крутые СКУД, продуманные групповые политики, строгий антивирус, современный WAF и полноценная песочница. Но никому, слышите, никому еще не удавалось избежать парадоксального человеческого фактора при построении систем или написании кода.
Как и в этом случае с Facebook. Их дочерняя компания Oculus, занимающаяся виртуальной реальностью, позволяет пользователям социальной сети привязывать аккаунты для лучшего социального опыта. Тут то рисечер Йосип Франкович из Хорватии и нашел уязвимость, позволяющую с помощью CSRF привязать Facebook к Oculus счету атакующего, а как следствие похитить и аккаунт жертвы, подменив мобильный телефон.
Причем после фикса со стороны Facebook, Йосип нашел новую дырку.
Источник: https://www.josipfranjkovic.com/blog/hacking-facebook-oculus-integration-csrf
JosipFranjkovic
Hacking Facebook accounts using CSRF in Oculus-Facebook integration
I enjoy breaking websites.
#Событие #Итоги #Tadviser
Портал Tadviser опубликовал интегральный обзор рынка ИБ в РФ. Обзор соединяет в себе общие финансовые показатели, анализ трендов, сравнение успехов игроков рынка по отдельным направлениям, а также ссылки на многочисленные тематические статьи, интервью с экспертами и данные по мировым рынкам. Если вы любите планировать карьеру/бизнес наперед, самое время достать органайзер и сверить планы с учетом изменений в контексте.
Источник: https://www.tadviser.ru/index.php/%D1%F2%E0%F2%FC%FF%3A%CE%E1%E7%EE%F0%3A_%C1%E5%E7%EE%EF%E0%F1%ED%EE%F1%F2%FC_%E8%ED%F4%EE%F0%EC%E0%F6%E8%EE%ED%ED%FB%F5_%F1%E8%F1%F2%E5%EC
Портал Tadviser опубликовал интегральный обзор рынка ИБ в РФ. Обзор соединяет в себе общие финансовые показатели, анализ трендов, сравнение успехов игроков рынка по отдельным направлениям, а также ссылки на многочисленные тематические статьи, интервью с экспертами и данные по мировым рынкам. Если вы любите планировать карьеру/бизнес наперед, самое время достать органайзер и сверить планы с учетом изменений в контексте.
Источник: https://www.tadviser.ru/index.php/%D1%F2%E0%F2%FC%FF%3A%CE%E1%E7%EE%F0%3A_%C1%E5%E7%EE%EF%E0%F1%ED%EE%F1%F2%FC_%E8%ED%F4%EE%F0%EC%E0%F6%E8%EE%ED%ED%FB%F5_%F1%E8%F1%F2%E5%EC
#Событие #Форум #Госы #ФСТЭК #ТехнологииБезопасности
В популярном мультсериале "Аватар" люди живут в мире жестко разделенных способностей. Кто-то владеет магией огня, кто-то - воды, а кому-то больше повезло с землей или воздухом. И только главный герой, сам Аватар, умеет контролировать все четыре стихии. Его миссия направлять людей, и быть арбитром и наставником в истории человечества...
Так же и в нашей области: есть талантливые рисечеры, есть грамотные юристы, есть крутые админы и пентестеры, но очень мало тех, кто хотя бы в общих чертах представляет всю картину происходящего в отрасли. Если вы хотите быть нишевым профессионалом/исполнителем такие знания излишни, но если вы хотите сделать карьеру управленца или любите видеть горизонт, немного "широты" не повредит. И лучшим источником такой широты являются профильные конференции.
В феврале стартует очередной форум "Технологии безопасности", где можно будет услышать, чем живут госы, их придворные интеграторы, и что любимый ФСТЭК готовит нам.
Подробности по ссылке: https://www.tbforum.ru/
В популярном мультсериале "Аватар" люди живут в мире жестко разделенных способностей. Кто-то владеет магией огня, кто-то - воды, а кому-то больше повезло с землей или воздухом. И только главный герой, сам Аватар, умеет контролировать все четыре стихии. Его миссия направлять людей, и быть арбитром и наставником в истории человечества...
Так же и в нашей области: есть талантливые рисечеры, есть грамотные юристы, есть крутые админы и пентестеры, но очень мало тех, кто хотя бы в общих чертах представляет всю картину происходящего в отрасли. Если вы хотите быть нишевым профессионалом/исполнителем такие знания излишни, но если вы хотите сделать карьеру управленца или любите видеть горизонт, немного "широты" не повредит. И лучшим источником такой широты являются профильные конференции.
В феврале стартует очередной форум "Технологии безопасности", где можно будет услышать, чем живут госы, их придворные интеграторы, и что любимый ФСТЭК готовит нам.
Подробности по ссылке: https://www.tbforum.ru/
#Событие
Пока вы завтракаете, представители компании OnePlus во всю борются с последствиями, которые причинил вредоносный скрипт, перехватывающий с середины ноября по 11 января платежные данные пользователей, совершавших платежи на сайте OnePlus. А таких насчитывается около 40 тысяч. Такие дела.
Источник: https://forums.oneplus.net/threads/jan-19-update-an-update-on-credit-card-security.752415/
Пока вы завтракаете, представители компании OnePlus во всю борются с последствиями, которые причинил вредоносный скрипт, перехватывающий с середины ноября по 11 января платежные данные пользователей, совершавших платежи на сайте OnePlus. А таких насчитывается около 40 тысяч. Такие дела.
Источник: https://forums.oneplus.net/threads/jan-19-update-an-update-on-credit-card-security.752415/