#Событие
Новости про плохих русских парней под псевдонимом "русские хакеры". Причем источником обеих новостей стал The Wall Street Journal. Машина пропаганды заведена, враг будет наказан.
Новость 1 - Русские хакеры взломали мобильные телефоны военных НАТО находящихся в Польше и странах Балтии, чтобы оценить их численность и в будущем давать ложные инструкции через смартфон.
Теперь тру стори, на основании которой слепили материал на WSJ - Полковник армии США Кристофер Леру возвращался со стрельбища, когда обнаружил, что его телефон взломан. По его словам хакер пытался попасть на его смартфон с российского IP адреса. Теперь внимание... «На телефоне была маленькая карта Apple, а в центре была Москва. Там еще была надпись "Кто-то пытается получить доступ к вашему айфону"».
Чтобы совсем скучно не было WSJ рассказали про солдат, которых заставляют перед операциями прыгать в воду, чтобы убедиться, что они не взяли с собой смартфон, но особо сообразительные прячут их в презервативах. В общем не новость, а кино!
Новость 2 - Русские хакеры, используя уязвимость нулевого дня на компьютере, где был установлен антивирус касперского украли важные данные NSA. Как? Один из сотрудников принес секретные данные, содержащие информацию о защите от кибератак, и скопировал их на свой домашний ПК, где был установлен продукт лаборатории Касперского. Вжух и данные исчезли! :) Как за грибами сходил.
Оба материала выглядят заказными и похоже дальше будет только хуже. Такие дела.
Новость 1: WSJ, Hackread, Газета.ру
Новость 2: WSJ, Techcrunch
Новости про плохих русских парней под псевдонимом "русские хакеры". Причем источником обеих новостей стал The Wall Street Journal. Машина пропаганды заведена, враг будет наказан.
Новость 1 - Русские хакеры взломали мобильные телефоны военных НАТО находящихся в Польше и странах Балтии, чтобы оценить их численность и в будущем давать ложные инструкции через смартфон.
Теперь тру стори, на основании которой слепили материал на WSJ - Полковник армии США Кристофер Леру возвращался со стрельбища, когда обнаружил, что его телефон взломан. По его словам хакер пытался попасть на его смартфон с российского IP адреса. Теперь внимание... «На телефоне была маленькая карта Apple, а в центре была Москва. Там еще была надпись "Кто-то пытается получить доступ к вашему айфону"».
Чтобы совсем скучно не было WSJ рассказали про солдат, которых заставляют перед операциями прыгать в воду, чтобы убедиться, что они не взяли с собой смартфон, но особо сообразительные прячут их в презервативах. В общем не новость, а кино!
Новость 2 - Русские хакеры, используя уязвимость нулевого дня на компьютере, где был установлен антивирус касперского украли важные данные NSA. Как? Один из сотрудников принес секретные данные, содержащие информацию о защите от кибератак, и скопировал их на свой домашний ПК, где был установлен продукт лаборатории Касперского. Вжух и данные исчезли! :) Как за грибами сходил.
Оба материала выглядят заказными и похоже дальше будет только хуже. Такие дела.
Новость 1: WSJ, Hackread, Газета.ру
Новость 2: WSJ, Techcrunch
#FYI
Чтобы вы понимали, мы аполитичный канал и никогда не придерживались той или иной стороны. Мы безопасники, большинство наших читателей технари, мы за объективность и точность, поэтому материалы притянутые за уши, основанные на каких-то сплетнях и политических играх вызывают у нас лишь смех.
Почему мы их публикуем? Как мы уже говорили, нам не поИБ на ИБ и хочется показать, насколько происходящее в мире напоминает тот самый... глобальный... Киберпиздец.
До завтра!
Чтобы вы понимали, мы аполитичный канал и никогда не придерживались той или иной стороны. Мы безопасники, большинство наших читателей технари, мы за объективность и точность, поэтому материалы притянутые за уши, основанные на каких-то сплетнях и политических играх вызывают у нас лишь смех.
Почему мы их публикуем? Как мы уже говорили, нам не поИБ на ИБ и хочется показать, насколько происходящее в мире напоминает тот самый... глобальный... Киберпиздец.
До завтра!
#FYI #Ликбез
Помните как мы недавно смаковали блокчейн и радовались новым горизонтам ИБ? А вот и обучающий вебинар от DSec подоспел. В пятницу 13-е, в 11 утра, Алексей Перцев расскажет о безопасности блокчей-проектов. Подробную информацию о содержании вебинара и регистрационную форму вы найдете по ссылке ниже: https://events.webinar.ru/732031/641427 Желаем вам продуктивной недели!
Помните как мы недавно смаковали блокчейн и радовались новым горизонтам ИБ? А вот и обучающий вебинар от DSec подоспел. В пятницу 13-е, в 11 утра, Алексей Перцев расскажет о безопасности блокчей-проектов. Подробную информацию о содержании вебинара и регистрационную форму вы найдете по ссылке ниже: https://events.webinar.ru/732031/641427 Желаем вам продуктивной недели!
Webinar.ru
Суеверия и реальные проблемы безопасности блокчейн-проектов
В рамках мероприятия Алексей Перцев, эксперт по информационной безопасности блокчейн-проектов Digital Security, даст развернутое определение блокчейна, расскажет, что такое криптовалюта и чем она отличается от традиционной модели денежных знаков. Особое внимание…
#Событие
Голосовой помощник Кортана приходит в Skype.
Все, что вам нужно знать:
"Кортана будет следить за вашей перепиской и предлагать полезную информацию прям во время переписки с другом или коллегой."
"Кортана также способна распознать в ваших разговорах запланированные события или вещи, которые вы должны сделать и предложить вам, например, создать напоминание."
Пока только в США для iOS и Android. Такие дела.
https://blogs.skype.com/news/2017/10/09/introducing-cortana-skype-microsofts-intelligent-assistant-comes-chat-window/?eu=true
Голосовой помощник Кортана приходит в Skype.
Все, что вам нужно знать:
"Кортана будет следить за вашей перепиской и предлагать полезную информацию прям во время переписки с другом или коллегой."
"Кортана также способна распознать в ваших разговорах запланированные события или вещи, которые вы должны сделать и предложить вам, например, создать напоминание."
Пока только в США для iOS и Android. Такие дела.
https://blogs.skype.com/news/2017/10/09/introducing-cortana-skype-microsofts-intelligent-assistant-comes-chat-window/?eu=true
#Событие
Помните историю с Антивирусом Касперского и хищением с помощью него секретных документов NSA?
У истории появилось продолжение. Вчера на сайте New York Times появился материал, где сказано, что информацию о русских хакерах, которые украли секретные данные АНБ, американцам передали израильские спецслужбы, более того, израильтяне вроде как внедрили некоторые бекдоры в продукты Касперского, которые и позволили собрать эту информацию.
А еще там хитросплетение журналиста из NYT о Путине, КГБ, ФСБ и научно-исследовательском институт при Министерстве обороны, где работал Евгений до 1991 года.
Как страшно жить. *сарказм*
Утром в своем твиттере Касперский в очередной раз заявил, что лаборатория ни к чему подобному не причастна. А также о том, что он инициировал внутреннее расследование для проверки фактов, указанных в материале New York Times.
Источники: New York Times, Twitter, Риа новости
Помните историю с Антивирусом Касперского и хищением с помощью него секретных документов NSA?
У истории появилось продолжение. Вчера на сайте New York Times появился материал, где сказано, что информацию о русских хакерах, которые украли секретные данные АНБ, американцам передали израильские спецслужбы, более того, израильтяне вроде как внедрили некоторые бекдоры в продукты Касперского, которые и позволили собрать эту информацию.
А еще там хитросплетение журналиста из NYT о Путине, КГБ, ФСБ и научно-исследовательском институт при Министерстве обороны, где работал Евгений до 1991 года.
Как страшно жить. *сарказм*
Утром в своем твиттере Касперский в очередной раз заявил, что лаборатория ни к чему подобному не причастна. А также о том, что он инициировал внутреннее расследование для проверки фактов, указанных в материале New York Times.
Источники: New York Times, Twitter, Риа новости
#Событие
Киберпиздец вездесущий!
Помните мы писали, что Google представила свой новый дешевый гаджет Home Mini, который отлично подойдет тем, кто хочет установить микрофон в свою спальню?
Естественно там была доля шутки т.к гаджет позиционируется, как устройство для умного дома и должен активироваться исключительно по специальной голосовой команде.
Но сегодня на Android Police появилась заметка одного из первых владельцев Google Home Mini, который пишет, что устройство нонстопом слушает все происходящее в квартире и шлет в Google.
Это фиаско, братан! :D
p.s в новой прошивке багу вроде уже исправили.
Источник: https://www.androidpolice.com/2017/10/10/google-nerfing-home-minis-mine-spied-everything-said-247/
Киберпиздец вездесущий!
Помните мы писали, что Google представила свой новый дешевый гаджет Home Mini, который отлично подойдет тем, кто хочет установить микрофон в свою спальню?
Естественно там была доля шутки т.к гаджет позиционируется, как устройство для умного дома и должен активироваться исключительно по специальной голосовой команде.
Но сегодня на Android Police появилась заметка одного из первых владельцев Google Home Mini, который пишет, что устройство нонстопом слушает все происходящее в квартире и шлет в Google.
Это фиаско, братан! :D
p.s в новой прошивке багу вроде уже исправили.
Источник: https://www.androidpolice.com/2017/10/10/google-nerfing-home-minis-mine-spied-everything-said-247/
Android Police
Google is permanently nerfing all Home Minis because mine spied on everything I said 24/7 [Update x2]
When the first home assistants were announced, I was excited. A device I could wake up with a simple hotword that would answer my questions, set reminders, turn on the TV, and dim the lights, all without me having to get off the couch, sounded fantastic.…
#FYI
Ну а чтобы вы совсем не превращались в овощей с нашим потоком "новостных" материалов, вот вам интересный вектор атаки с использованием CSV файлов.
Хотите запустить стороннее приложение или отправить GET запрос? - Запросто!
Полноценной атакой это назвать, конечно, сложно, но приложив немного усилий и социальной инженерии может оказаться крайне губительным инструментом для тех, кто открывает CSV с помощью excel.
https://georgemauer.net/2017/10/07/csv-injection.html
Ну а чтобы вы совсем не превращались в овощей с нашим потоком "новостных" материалов, вот вам интересный вектор атаки с использованием CSV файлов.
Хотите запустить стороннее приложение или отправить GET запрос? - Запросто!
Полноценной атакой это назвать, конечно, сложно, но приложив немного усилий и социальной инженерии может оказаться крайне губительным инструментом для тех, кто открывает CSV с помощью excel.
https://georgemauer.net/2017/10/07/csv-injection.html
#Событие #FYI
Вчера на закрытом мероприятии для партнёров, Positive Technologies отчиталась о завершении своего 16-17 финансового года (общий рост +30%).
Помимо этого:
- Показали новый продукт для работы с ГосСОПКой и КИИ.
- Представили новую услугу аудита систем, построенных на базе блокчеин.
- Назвали тренды грядущего 2018 года.
- Обозначили даты нового PHD - 15-16 мая.
Вчера на закрытом мероприятии для партнёров, Positive Technologies отчиталась о завершении своего 16-17 финансового года (общий рост +30%).
Помимо этого:
- Показали новый продукт для работы с ГосСОПКой и КИИ.
- Представили новую услугу аудита систем, построенных на базе блокчеин.
- Назвали тренды грядущего 2018 года.
- Обозначили даты нового PHD - 15-16 мая.
#FYI
Не знаем, как такой шедевр обошел нас стороной, но тем, кто хочет научиться взламывать frontend на Java, просмотр обязателен. Остальным - в качестве ознакомления с прекрасным :) Have fun!
https://www.youtube.com/watch?v=J0zb_CoPQws
Не знаем, как такой шедевр обошел нас стороной, но тем, кто хочет научиться взламывать frontend на Java, просмотр обязателен. Остальным - в качестве ознакомления с прекрасным :) Have fun!
https://www.youtube.com/watch?v=J0zb_CoPQws
YouTube
«МИРУ-МИР» (Короткометражный фильм) 2017
Группа международных террористов-хакеров прибывает в Москву, чтобы взломать новую российскую систему «МИР».
#Полезное #FYI
Под конец года только ленивые не выпустили свой отчет по итогам 2017.
Мы уже выкладывали отчеты от:
Positive Technologies
Cisco
PricewaterhouseCoopers (PwC)
И вот в нашу коллекцию добавляется отчет компании Group-IB.
Под конец года только ленивые не выпустили свой отчет по итогам 2017.
Мы уже выкладывали отчеты от:
Positive Technologies
Cisco
PricewaterhouseCoopers (PwC)
И вот в нашу коллекцию добавляется отчет компании Group-IB.
#Событие
WPA2 под атакой KRACK.
В WPA2 нашли новую критическую уязвимость в 4-ех этапном хэндшейке, позволяющую злоумышленникам прослушивать трафик с помощью атаки MITM (человек по середине) со всем вытекающими, вроде дешифрирования трафика, TCP hijacking, HTTP content injection и пр.
Уязвимость была обнаружена группой исследователей и хранилась в секрете, пока все крупные вендоры сетевого оборудования не были предупреждены, чтобы выпустить патчи.
Информацию об эксплоите KRACK обещают опубликовать сегодня в 15 часов на сайте https://www.krackattacks.com/
Очевидно, что на обновление wi-fi точек по всему миру уйдет очень много времени. Если вообще это возможно сделать...
Такие дела.
Будем держать вас в курсе.
Источники: Arstechnica, Reddit
WPA2 под атакой KRACK.
В WPA2 нашли новую критическую уязвимость в 4-ех этапном хэндшейке, позволяющую злоумышленникам прослушивать трафик с помощью атаки MITM (человек по середине) со всем вытекающими, вроде дешифрирования трафика, TCP hijacking, HTTP content injection и пр.
Уязвимость была обнаружена группой исследователей и хранилась в секрете, пока все крупные вендоры сетевого оборудования не были предупреждены, чтобы выпустить патчи.
Информацию об эксплоите KRACK обещают опубликовать сегодня в 15 часов на сайте https://www.krackattacks.com/
Очевидно, что на обновление wi-fi точек по всему миру уйдет очень много времени. Если вообще это возможно сделать...
Такие дела.
Будем держать вас в курсе.
Источники: Arstechnica, Reddit
#FYI
Сколько зарабатывают безопасники? Немного аналитики от Андрея Прозорова.
Спойлеры:
- В открытом доступе публикуется лишь часть всех вакансий
- Уровень ЗП растет медленно
- В Москве и Санкт-Петербурге платят больше, увы и ах
- Неожиданно следующий по востребованности город - Сургут
- Сертификаты помогают зарабатывать больше
Сколько зарабатывают безопасники? Немного аналитики от Андрея Прозорова.
Спойлеры:
- В открытом доступе публикуется лишь часть всех вакансий
- Уровень ЗП растет медленно
- В Москве и Санкт-Петербурге платят больше, увы и ах
- Неожиданно следующий по востребованности город - Сургут
- Сертификаты помогают зарабатывать больше
#Полезное #Ликбез
В блоге Digital Security на Хабре появилась интересная и актуальная статья про принцип работы и современные техники обхода WAF.
Главное помните о том, что WAF - не панацея, но отличное средство профилактики!
https://habrahabr.ru/company/dsec/blog/340144/
В блоге Digital Security на Хабре появилась интересная и актуальная статья про принцип работы и современные техники обхода WAF.
Главное помните о том, что WAF - не панацея, но отличное средство профилактики!
https://habrahabr.ru/company/dsec/blog/340144/
Хабр
WAF глазами хакеров
Привет, Хабр! Сегодня мы поговорим об одном из современных механизмов защиты веб-приложений, а именно о WAF, Web Application Firewall. Мы расскажем, на чем осно...
Кстати о веб-безопасности. Есть канал "Кавычка" (@webpwn), который ведет один из наших подписчиков, а по совместительству известный в кругах веб-безопасников @i_bo0om. Даже ребята из DiSec использовали его наработки для написания своего материала.
Всех любителей экранировать символы и анализировать ответы веб-серверов милости просим к Антону на канал.
Всех любителей экранировать символы и анализировать ответы веб-серверов милости просим к Антону на канал.
#Событие
Google анонсировала новую опцию защиты для Gmail акаунтов под названием Advanced Protection. Опция призвана решить проблему безопасности и прикрыть жопы тех, кому это действительно нужно, вроде политиков, журналистов, активистов и пр. публичных личностей.
Для активации опции необходимо приобрести 2 токена - bluetooth (для смартфона) и usb (для пк) и включить расширенную защиту в своем профиле.
Токены производства Feitian (Bluetooth) и Yubico (USB) по $17,99 и $24,99 за каждый.
В качестве бонуса, опция блокирует доступ non-Google приложениям и усложняет процедуру сброса пароля.
https://landing.google.com/advancedprotection/
Google анонсировала новую опцию защиты для Gmail акаунтов под названием Advanced Protection. Опция призвана решить проблему безопасности и прикрыть жопы тех, кому это действительно нужно, вроде политиков, журналистов, активистов и пр. публичных личностей.
Для активации опции необходимо приобрести 2 токена - bluetooth (для смартфона) и usb (для пк) и включить расширенную защиту в своем профиле.
Токены производства Feitian (Bluetooth) и Yubico (USB) по $17,99 и $24,99 за каждый.
В качестве бонуса, опция блокирует доступ non-Google приложениям и усложняет процедуру сброса пароля.
https://landing.google.com/advancedprotection/
Advanced Protection
Advanced Protection Program
The strongest account security made to protect the personal data and information of people most at risk of phishing, hacking and targeted digital attacks.