#Событие
Помните историю с Антивирусом Касперского и хищением с помощью него секретных документов NSA?
У истории появилось продолжение. Вчера на сайте New York Times появился материал, где сказано, что информацию о русских хакерах, которые украли секретные данные АНБ, американцам передали израильские спецслужбы, более того, израильтяне вроде как внедрили некоторые бекдоры в продукты Касперского, которые и позволили собрать эту информацию.
А еще там хитросплетение журналиста из NYT о Путине, КГБ, ФСБ и научно-исследовательском институт при Министерстве обороны, где работал Евгений до 1991 года.
Как страшно жить. *сарказм*
Утром в своем твиттере Касперский в очередной раз заявил, что лаборатория ни к чему подобному не причастна. А также о том, что он инициировал внутреннее расследование для проверки фактов, указанных в материале New York Times.
Источники: New York Times, Twitter, Риа новости
Помните историю с Антивирусом Касперского и хищением с помощью него секретных документов NSA?
У истории появилось продолжение. Вчера на сайте New York Times появился материал, где сказано, что информацию о русских хакерах, которые украли секретные данные АНБ, американцам передали израильские спецслужбы, более того, израильтяне вроде как внедрили некоторые бекдоры в продукты Касперского, которые и позволили собрать эту информацию.
А еще там хитросплетение журналиста из NYT о Путине, КГБ, ФСБ и научно-исследовательском институт при Министерстве обороны, где работал Евгений до 1991 года.
Как страшно жить. *сарказм*
Утром в своем твиттере Касперский в очередной раз заявил, что лаборатория ни к чему подобному не причастна. А также о том, что он инициировал внутреннее расследование для проверки фактов, указанных в материале New York Times.
Источники: New York Times, Twitter, Риа новости
#Событие
Киберпиздец вездесущий!
Помните мы писали, что Google представила свой новый дешевый гаджет Home Mini, который отлично подойдет тем, кто хочет установить микрофон в свою спальню?
Естественно там была доля шутки т.к гаджет позиционируется, как устройство для умного дома и должен активироваться исключительно по специальной голосовой команде.
Но сегодня на Android Police появилась заметка одного из первых владельцев Google Home Mini, который пишет, что устройство нонстопом слушает все происходящее в квартире и шлет в Google.
Это фиаско, братан! :D
p.s в новой прошивке багу вроде уже исправили.
Источник: https://www.androidpolice.com/2017/10/10/google-nerfing-home-minis-mine-spied-everything-said-247/
Киберпиздец вездесущий!
Помните мы писали, что Google представила свой новый дешевый гаджет Home Mini, который отлично подойдет тем, кто хочет установить микрофон в свою спальню?
Естественно там была доля шутки т.к гаджет позиционируется, как устройство для умного дома и должен активироваться исключительно по специальной голосовой команде.
Но сегодня на Android Police появилась заметка одного из первых владельцев Google Home Mini, который пишет, что устройство нонстопом слушает все происходящее в квартире и шлет в Google.
Это фиаско, братан! :D
p.s в новой прошивке багу вроде уже исправили.
Источник: https://www.androidpolice.com/2017/10/10/google-nerfing-home-minis-mine-spied-everything-said-247/
Android Police
Google is permanently nerfing all Home Minis because mine spied on everything I said 24/7 [Update x2]
When the first home assistants were announced, I was excited. A device I could wake up with a simple hotword that would answer my questions, set reminders, turn on the TV, and dim the lights, all without me having to get off the couch, sounded fantastic.…
#FYI
Ну а чтобы вы совсем не превращались в овощей с нашим потоком "новостных" материалов, вот вам интересный вектор атаки с использованием CSV файлов.
Хотите запустить стороннее приложение или отправить GET запрос? - Запросто!
Полноценной атакой это назвать, конечно, сложно, но приложив немного усилий и социальной инженерии может оказаться крайне губительным инструментом для тех, кто открывает CSV с помощью excel.
https://georgemauer.net/2017/10/07/csv-injection.html
Ну а чтобы вы совсем не превращались в овощей с нашим потоком "новостных" материалов, вот вам интересный вектор атаки с использованием CSV файлов.
Хотите запустить стороннее приложение или отправить GET запрос? - Запросто!
Полноценной атакой это назвать, конечно, сложно, но приложив немного усилий и социальной инженерии может оказаться крайне губительным инструментом для тех, кто открывает CSV с помощью excel.
https://georgemauer.net/2017/10/07/csv-injection.html
#Событие #FYI
Вчера на закрытом мероприятии для партнёров, Positive Technologies отчиталась о завершении своего 16-17 финансового года (общий рост +30%).
Помимо этого:
- Показали новый продукт для работы с ГосСОПКой и КИИ.
- Представили новую услугу аудита систем, построенных на базе блокчеин.
- Назвали тренды грядущего 2018 года.
- Обозначили даты нового PHD - 15-16 мая.
Вчера на закрытом мероприятии для партнёров, Positive Technologies отчиталась о завершении своего 16-17 финансового года (общий рост +30%).
Помимо этого:
- Показали новый продукт для работы с ГосСОПКой и КИИ.
- Представили новую услугу аудита систем, построенных на базе блокчеин.
- Назвали тренды грядущего 2018 года.
- Обозначили даты нового PHD - 15-16 мая.
#FYI
Не знаем, как такой шедевр обошел нас стороной, но тем, кто хочет научиться взламывать frontend на Java, просмотр обязателен. Остальным - в качестве ознакомления с прекрасным :) Have fun!
https://www.youtube.com/watch?v=J0zb_CoPQws
Не знаем, как такой шедевр обошел нас стороной, но тем, кто хочет научиться взламывать frontend на Java, просмотр обязателен. Остальным - в качестве ознакомления с прекрасным :) Have fun!
https://www.youtube.com/watch?v=J0zb_CoPQws
YouTube
«МИРУ-МИР» (Короткометражный фильм) 2017
Группа международных террористов-хакеров прибывает в Москву, чтобы взломать новую российскую систему «МИР».
#Полезное #FYI
Под конец года только ленивые не выпустили свой отчет по итогам 2017.
Мы уже выкладывали отчеты от:
Positive Technologies
Cisco
PricewaterhouseCoopers (PwC)
И вот в нашу коллекцию добавляется отчет компании Group-IB.
Под конец года только ленивые не выпустили свой отчет по итогам 2017.
Мы уже выкладывали отчеты от:
Positive Technologies
Cisco
PricewaterhouseCoopers (PwC)
И вот в нашу коллекцию добавляется отчет компании Group-IB.
#Событие
WPA2 под атакой KRACK.
В WPA2 нашли новую критическую уязвимость в 4-ех этапном хэндшейке, позволяющую злоумышленникам прослушивать трафик с помощью атаки MITM (человек по середине) со всем вытекающими, вроде дешифрирования трафика, TCP hijacking, HTTP content injection и пр.
Уязвимость была обнаружена группой исследователей и хранилась в секрете, пока все крупные вендоры сетевого оборудования не были предупреждены, чтобы выпустить патчи.
Информацию об эксплоите KRACK обещают опубликовать сегодня в 15 часов на сайте https://www.krackattacks.com/
Очевидно, что на обновление wi-fi точек по всему миру уйдет очень много времени. Если вообще это возможно сделать...
Такие дела.
Будем держать вас в курсе.
Источники: Arstechnica, Reddit
WPA2 под атакой KRACK.
В WPA2 нашли новую критическую уязвимость в 4-ех этапном хэндшейке, позволяющую злоумышленникам прослушивать трафик с помощью атаки MITM (человек по середине) со всем вытекающими, вроде дешифрирования трафика, TCP hijacking, HTTP content injection и пр.
Уязвимость была обнаружена группой исследователей и хранилась в секрете, пока все крупные вендоры сетевого оборудования не были предупреждены, чтобы выпустить патчи.
Информацию об эксплоите KRACK обещают опубликовать сегодня в 15 часов на сайте https://www.krackattacks.com/
Очевидно, что на обновление wi-fi точек по всему миру уйдет очень много времени. Если вообще это возможно сделать...
Такие дела.
Будем держать вас в курсе.
Источники: Arstechnica, Reddit
#FYI
Сколько зарабатывают безопасники? Немного аналитики от Андрея Прозорова.
Спойлеры:
- В открытом доступе публикуется лишь часть всех вакансий
- Уровень ЗП растет медленно
- В Москве и Санкт-Петербурге платят больше, увы и ах
- Неожиданно следующий по востребованности город - Сургут
- Сертификаты помогают зарабатывать больше
Сколько зарабатывают безопасники? Немного аналитики от Андрея Прозорова.
Спойлеры:
- В открытом доступе публикуется лишь часть всех вакансий
- Уровень ЗП растет медленно
- В Москве и Санкт-Петербурге платят больше, увы и ах
- Неожиданно следующий по востребованности город - Сургут
- Сертификаты помогают зарабатывать больше
#Полезное #Ликбез
В блоге Digital Security на Хабре появилась интересная и актуальная статья про принцип работы и современные техники обхода WAF.
Главное помните о том, что WAF - не панацея, но отличное средство профилактики!
https://habrahabr.ru/company/dsec/blog/340144/
В блоге Digital Security на Хабре появилась интересная и актуальная статья про принцип работы и современные техники обхода WAF.
Главное помните о том, что WAF - не панацея, но отличное средство профилактики!
https://habrahabr.ru/company/dsec/blog/340144/
Хабр
WAF глазами хакеров
Привет, Хабр! Сегодня мы поговорим об одном из современных механизмов защиты веб-приложений, а именно о WAF, Web Application Firewall. Мы расскажем, на чем осно...
Кстати о веб-безопасности. Есть канал "Кавычка" (@webpwn), который ведет один из наших подписчиков, а по совместительству известный в кругах веб-безопасников @i_bo0om. Даже ребята из DiSec использовали его наработки для написания своего материала.
Всех любителей экранировать символы и анализировать ответы веб-серверов милости просим к Антону на канал.
Всех любителей экранировать символы и анализировать ответы веб-серверов милости просим к Антону на канал.
#Событие
Google анонсировала новую опцию защиты для Gmail акаунтов под названием Advanced Protection. Опция призвана решить проблему безопасности и прикрыть жопы тех, кому это действительно нужно, вроде политиков, журналистов, активистов и пр. публичных личностей.
Для активации опции необходимо приобрести 2 токена - bluetooth (для смартфона) и usb (для пк) и включить расширенную защиту в своем профиле.
Токены производства Feitian (Bluetooth) и Yubico (USB) по $17,99 и $24,99 за каждый.
В качестве бонуса, опция блокирует доступ non-Google приложениям и усложняет процедуру сброса пароля.
https://landing.google.com/advancedprotection/
Google анонсировала новую опцию защиты для Gmail акаунтов под названием Advanced Protection. Опция призвана решить проблему безопасности и прикрыть жопы тех, кому это действительно нужно, вроде политиков, журналистов, активистов и пр. публичных личностей.
Для активации опции необходимо приобрести 2 токена - bluetooth (для смартфона) и usb (для пк) и включить расширенную защиту в своем профиле.
Токены производства Feitian (Bluetooth) и Yubico (USB) по $17,99 и $24,99 за каждый.
В качестве бонуса, опция блокирует доступ non-Google приложениям и усложняет процедуру сброса пароля.
https://landing.google.com/advancedprotection/
Google Advanced Protection Program
The strongest account security made to protect the personal data and information of people most at risk of phishing, hacking and targeted digital attacks.
#Полезное
Годная подборка материалов по реверсингу софта и всякой малвари сегодня появилась на Хакере. Чуваки собрали материалы за последние 3 года и аккуратно упаковали все по pdf'кам.
https://xakep.ru/2017/10/18/reverse-malware-must-read/
Годная подборка материалов по реверсингу софта и всякой малвари сегодня появилась на Хакере. Чуваки собрали материалы за последние 3 года и аккуратно упаковали все по pdf'кам.
https://xakep.ru/2017/10/18/reverse-malware-must-read/
XAKEP
Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года
Иногда мы, редакторы и авторы «Хакера», сами читаем «Хакер». Нет, ну то есть мы постоянно его читаем :), но иногда получается так, что, разрабатывая новые темы, гуглим что-нибудь интересненькое, натыкаемся на крутую статью, читаем ее с огромным удовольствием…
#крикдуши
Чуваки с securitylab.ru, вы рассказываете об информационной безопасности, но до сих пор сидите без HTTPS. Вы там живы вообще? 2к17 на дворе. Как-то не позитивненько.
Чуваки с securitylab.ru, вы рассказываете об информационной безопасности, но до сих пор сидите без HTTPS. Вы там живы вообще? 2к17 на дворе. Как-то не позитивненько.
Нас тут читатели поправляют, что HTTPS у ребят все таки есть, но вот принудительной переадресации (HSTS) нет. Косяк. Пора забыть о HTTP раз и навсегда.
#Событие
Google, например, запустила на Hackerone программу bug bounty для Google Play.
Сейчас можно получить вознаграждение за уязвимости, найденные в приложениях Google, а также в ряде других приложений, вроде Tinder, DropBox, Мейл.ру и пр. (Полный список на Hackerone)
Надеемся, что в будущем этот список будет увеличен.
Источник: https://hackerone.com/googleplay
Google, например, запустила на Hackerone программу bug bounty для Google Play.
Сейчас можно получить вознаграждение за уязвимости, найденные в приложениях Google, а также в ряде других приложений, вроде Tinder, DropBox, Мейл.ру и пр. (Полный список на Hackerone)
Надеемся, что в будущем этот список будет увеличен.
Источник: https://hackerone.com/googleplay
HackerOne
This security page documents any known process for reporting a security vulnerability to Google Play Security Reward Program, often referred to as vulnerability disclosure (ISO 29147), a responsible disclosure policy, or bug bounty program.