Cybershit
7.26K subscribers
95 photos
12 videos
35 files
605 links
Полезный канал про технологии и информационную безопасность. Нам не поИБ на ИБ. А вам?

О канале: https://telegra.ph/Cybershit-08-14
Связь: @cybrsht_bot
Download Telegram
#Событие #iOS #Apple
Воспитанные в парадигме научно-технического прогресса, мы склонны априори положительно оценивать любые изменения. Новые модели, прошивки, версии - что может быть лучше, чем пользовать самую последнюю версию любимой системы. Вы ещё верите в однозначное благо прогресса? Тогда мы идем к вам! Сегодня компания "ElcomSoft" опубликовала в своем блоге очень полезный материал о том, как в погоне за юзабилити, некогда самая безопасная мобильная ОС решительно продеградировала и оказалась решетом. Читаем, просветляемся и принимаем правильные решения в собственной жизни.

Источник: https://blog.elcomsoft.com/2017/11/ios-11-horror-story-the-rise-and-fall-of-ios-security/
#Событие #Отчет #Хакер #ZeroNights
А у нас подоспел горячий отчет о прошедшем ZeroNights от журнала "Хакер". Не пересказывая статью (надеемся вы умеете пользоваться ссылками), попробуем высказаться по теме. За последние 10 лет отрасль ИБ в нашей стране решительно шагнула вперед. Появились профильные конференции, организуются CTF-ы, компании типа Яндекса выкладывают сотни тематических материалов в бесплатный доступ, чуть не в каждом ларьке создан отдел ИБ... Но по-прежнему можно услышать, что специалистов не хватает, нанимать не кого и людей приходиться воспитывать. Когда-то авторы этих строк думали, что это верно и есть на свете какие-то мифические безопасники, которые знают и умеют все, но сейчас... Сейчас нам кажется, что сложившаяся ситуация естественна, неизбежна и со временем будет только усугубляться. Все больше процессов автоматизируется, технологии становятся многослойнее, растет количество требований и задач. При этом, затраты на обеспечение адекватной защиты возрастают, а возможности для атаки только увеличиваются. Древний принцип военного искусства недаром гласит, что лучшая защита - нападение. Ожидая атаки врага мы оказываемся в заведомо проигрышном положении. Поэтому киберпиздец в геометрической прогрессии представляется редакции чем-то неизбежным, во всяком случае без изобретения сильного ИИ, которому будет делегирован менеджмент ИБ, и который будет лишен недостатков ленивого и нерасторопного человека.

Источник: https://xakep.ru/2017/11/30/zn2017-results/
#Событие #Хацкеры #Преступление_и_Наказание #Философия

Близится Новый год, католики отмечают Рождество и, кажется, лучшего времени для возвращения канала в эфир не придумаешь. Для разминки мы поговорим о "Преступлении и наказании" в мире информационной безопасности.

Engadget.com сообщает о задержании представителей очередной хакерской группы Lizard Squad (https://www.engadget.com/2017/12/22/lizard-squad-hacker-founder-guilty/ ). Ничем выдающимся на фоне десятков подобных групп ребята не отличаются, и некоторые британские специалисты уже окрестили их в своих блогах скрипткидди. Но здесь важны не конкретные ребята, а вопрос: зачем люди выбирают скользкую дорожку киберпреступлений, а не устраиваются в легальные компании, реализуя свои таланты без нарушения закона? Простой ответ: ради денег. Сложный ответ: потому что так сложились обстоятельства. Здесь, в частности, уместно вспомнить историю с отечественным ЦБ и массовым отзывом лицензий у банков на территории РФ в последние годы. Если в тучные годы общее числов банков в стране стремилось к 2 000 единиц, то в настоящее время стремится к 500. Куда делись специалисты, занимающиеся вопросами информатизации и безопасности этих банков - вопрос риторический. Часть переквалифицировались, часть перешла в другие компании, а часть, разумеется, стала применять свои знания и навыки "по ту сторону силы". Как и в "Звездных войнах" переход на темную сторону - это часто не следствие некой имманентной природы изначально злых падаванов, но следствие обстоятельств, подталкивающих человека идти против закона.

И хотя мы не можем полностью исключить существование black-hat, их число можно свести к минимуму, занимаясь профилактикой киберпреступлений путем воспитания подрастающего поколения в духе уважения к закону и чужим деньгам, и предоставляя людям несопоставимо большие возможности для профессионального развития и самореализации в рамках легального сообщества, путь в которое "заказан" всем, кто перешел на темную сторону. Люди, выбирающие темную сторону, должны понимать, что одним из последствий их выбора станет остракизм профессионального сообщества и черная метка, которая не позволит им занимать должности, требующие психической устойчивости и верности моральным устоям, частной собственности и государственным законам. И знаете что? В этом плане одиозный большой брат и государство тотального контроля, которое сейчас пытаются строить китайцы, меньшее из зол по сравнению с обществом, где преступники, упивающиеся тайной частной жизни и, как следствие, безнаказанностью, могут творить любые преступления, не без оснований надеясь остаться неузнанными и незамеченными.
#Событие
Помнится Gizmodo пугали нас неуправляемыми IoT гаджетами.

Не поддавайтесь предновогодней лихорадке, не приобретайте IoT устройства в подарок своим близким! — говорили они.

И вот очередное доказательство. На этот раз на шпионаже попалась умная лампочка от Xiaomi.

"Товарищ, умный полицейский, бес попутал, больше не повторится"

Источник
#Событие #Сноуден #Haven #БольшойБрат

Продолжаем тему Большого Брата. The Verge сообщает (https://www.theverge.com/2017/12/23/16812834/edward-snowden-haven-guardian-project-laptop-phone ) о проекте Э. Сноудена, которому наш Дон Кихот посвятил последний год своей жизни. Политики часто говорят, что если ты не можешь остановить какое-то явление - возглавь его. Так же поступил и господин Эдвард. Поняв, что в мире торжествующей цифровой революции и IoT не спрятаться, не скрыться от вездесущих гаджетов, он работает над мобильным приложением, позволяющим использовать шпионские возможности своего телефона себе на благо. Все желающие почувствовать себя Джеймсом Бондом и использовать возможности своего гаджета for the great justice - welcome по ссылкам ниже.

Исходники на Github: https://github.com/guardianproject/haven ;
Приложение в Google Play: https://play.google.com/store/apps/details?id=org.havenapp.main .
#Событие
Праздники позади, и самое время вернуться в прежний ИБ ритм, тем более поводов накопилось уже более чем.

Сразу оговоримся, что мы не будем разбирать события, произошедшие за праздники, в частности те же Meltdown и Spectre, которыми пестрит ИБ отрасль. Если вы еще не слышали, то не берите грех на душу, почитайте, пропатчитесь. То ли еще будет.

А начнем мы со вчерашней новости об очередной максимально неловкой дырке в macOS High Sierra, позволяющей получить доступ к разделу App Store вашего Mac с вводом любого пароля. Угрозы данная "фича" вряд ли представляет, но репутационные издержки уже в который раз яблочная компания понесет.

Источник: https://www.macrumors.com/2018/01/10/macos-high-sierra-app-store-password-bug/
#Событие #FYI #Facebook

Бытует мнение, что чем компания крупнее, тем лучше она защищена. Да, в корпорациях существуют крутые СКУД, продуманные групповые политики, строгий антивирус, современный WAF и полноценная песочница. Но никому, слышите, никому еще не удавалось избежать парадоксального человеческого фактора при построении систем или написании кода.

Как и в этом случае с Facebook. Их дочерняя компания Oculus, занимающаяся виртуальной реальностью, позволяет пользователям социальной сети привязывать аккаунты для лучшего социального опыта. Тут то рисечер Йосип Франкович из Хорватии и нашел уязвимость, позволяющую с помощью CSRF привязать Facebook к Oculus счету атакующего, а как следствие похитить и аккаунт жертвы, подменив мобильный телефон.

Причем после фикса со стороны Facebook, Йосип нашел новую дырку.

Источник: https://www.josipfranjkovic.com/blog/hacking-facebook-oculus-integration-csrf
#Событие #Итоги #Tadviser

Портал Tadviser опубликовал интегральный обзор рынка ИБ в РФ. Обзор соединяет в себе общие финансовые показатели, анализ трендов, сравнение успехов игроков рынка по отдельным направлениям, а также ссылки на многочисленные тематические статьи, интервью с экспертами и данные по мировым рынкам. Если вы любите планировать карьеру/бизнес наперед, самое время достать органайзер и сверить планы с учетом изменений в контексте.

Источник: https://www.tadviser.ru/index.php/%D1%F2%E0%F2%FC%FF%3A%CE%E1%E7%EE%F0%3A_%C1%E5%E7%EE%EF%E0%F1%ED%EE%F1%F2%FC_%E8%ED%F4%EE%F0%EC%E0%F6%E8%EE%ED%ED%FB%F5_%F1%E8%F1%F2%E5%EC
#Событие #Форум #Госы #ФСТЭК #ТехнологииБезопасности

В популярном мультсериале "Аватар" люди живут в мире жестко разделенных способностей. Кто-то владеет магией огня, кто-то - воды, а кому-то больше повезло с землей или воздухом. И только главный герой, сам Аватар, умеет контролировать все четыре стихии. Его миссия направлять людей, и быть арбитром и наставником в истории человечества...

Так же и в нашей области: есть талантливые рисечеры, есть грамотные юристы, есть крутые админы и пентестеры, но очень мало тех, кто хотя бы в общих чертах представляет всю картину происходящего в отрасли. Если вы хотите быть нишевым профессионалом/исполнителем такие знания излишни, но если вы хотите сделать карьеру управленца или любите видеть горизонт, немного "широты" не повредит. И лучшим источником такой широты являются профильные конференции.

В феврале стартует очередной форум "Технологии безопасности", где можно будет услышать, чем живут госы, их придворные интеграторы, и что любимый ФСТЭК готовит нам.

Подробности по ссылке: https://www.tbforum.ru/
#Событие
Пока вы завтракаете, представители компании OnePlus во всю борются с последствиями, которые причинил вредоносный скрипт, перехватывающий с середины ноября по 11 января платежные данные пользователей, совершавших платежи на сайте OnePlus. А таких насчитывается около 40 тысяч. Такие дела.

Источник: https://forums.oneplus.net/threads/jan-19-update-an-update-on-credit-card-security.752415/