Осторожно - поддельные крипто-кошельки в Google Play:

https://lukasstefanko.com/2018/11/fake-cryptocurrency-wallets-found-on-play-store.html

Новые функции AWS позволят защитить пользовательские данные S3 бакетов:

https://www.securityweek.com/aws-adds-new-feature-preventing-data-leaks

У кого форум на phpBB - обнаружена серьезная уязвимость! Если есть возможность - обновляйтесь...

Собственно PoC:

https://blog.ripstech.com/2018/phpbb3-phar-deserialization-to-remote-code-execution/

Много, кто использует Nginx, но мало, кто использует WAF (по разным причинам), одна из причин - не везде есть возможность ставить к примеру ModSecurity из "коробки", а вот теперь при определенных условиях, это возможно :)

https://sys-adm.in/os/nix/799-linux-ustanovit-modsecurity-kak-modul-nginx-iz-rep.html

Вот жеж, для пользователей DE, где юзается Gnome Keyring:

https://github.com/sungjungk/keyring_crack/blob/master/README.md

Ну ни на кого нет надежды:)

https://xakep.ru/2018/11/22/amazon-leak/

Браузер всё больше и больше становиттся основной рабочей средой. И не удивительно, что в него встраивается различный функционал для отслеживания его работы. Вот и в 64й Firefox планируют завезти Task-Manager.

Подробнее об этом на OpenNet:
https://www.opennet.ru/opennews/art.shtml?num=49663

Целый набор бесплатных курсов от Microsoft на тему безопасности и интеграции облачных сервисов Azure, всего 7 курсов:

1) Создание и управление современным сервисом почты в малом и среднем бизнесе.
2) Управление безопасностью в малом и среднем бизнесе.
3) Настройка инструментов совместной работы для малого и среднего бизнеса.
4) Управление развертыванием приложений.
5) Создание облачной инфраструктуры.
6) Резервное копирование и архивация.
7) Создание и управление веб-приложениями.

Можно записаться на любой курс, по факту обучения получить сертификат подтверждающий прохождение курсов, что сказать - неплохой плюс в карму резюме и общего развития ;)
⁠ ⁠
Узнать подробности и зарегистрироваться можно по ссылке:

https://goo.gl/FbyQFu

Многие знают о проекте по мониторингу блокируемых IP небезызвестным Роскомнадзором...

Так вот - сейчас проходит премия Рунета, автор участвует в номинации на премию, ресурс действительно полезный, так что если тебе не в лом, проглосуй ну или прочитай что это за проект, если в первые слышишь о нем. Я лично проголосовал ;)

Собственно вся нужная инфа с большой красной кнопкой "Голосовать" на сайте автора:
https://usher2.club

Meltdown и Spectre для GPU? Похожие принципы проведения атак на видео-девайсы оказывается возможен:

https://www.networkworld.com/article/3321036/data-center/gpus-are-vulnerable-to-side-channel-attacks.html

Nmap — Утилита для исследования сети и сканер портов, который, быстрым движением руки, можно превратить в сканер уязвимостей:

https://sys-adm.in/security/798-ustanovka-vilners-plaginov-dlya-nmap.html

Перехват трафика (ну или как пишут многие интернет издания - перенастройка сети), вызвали небывалую нагрузку и в результате сбой. Не осилили :)

https://www.securitylab.ru/news/496707.php

Попал я тут невзначай на YouTube red, сервис который предоставляет видео без рекламы...

Ребят, это чудо маркетинга.. они сначала раскрутили ютюб, начали впаривать нам рекламу в видосах, а теперь ВНИМАНИЕ продают видос без рекламы, Карл!!!

Кому интересен red:

https://m.youtube.com/red

Dell вчера заявил об утечке данных, которая произошла 9 ноября, говорят что зафиксировали неавторизованное вторжение лица / группы лиц, которые пытались выкрасть информацию пользователей сайта Dell т.е. это имена пользователей, адреса электронной почты и хеши паролей

https://www.dell.com/learn/us/en/uscorp1/press-releases/2018-11-28-customer-update

Google анонсировал службу Secure LDAP, туда можно подключать различные приложения (например Jira), управлять пользователями, группами и тп. По сути любое приложение, которое поддерживает LDAP поверх SSL, может быть использовано в рамках этой службы.

Информация об анонсе на офф сайте:

https://cloud.google.com/blog/products/identity-security/cloud-identity-now-provides-access-to-traditional-apps-with-secure-ldap

AWS локально? Вполне возможно. AWS анонсировал AWS Outpost, который позволяет использовать фичи AWS "локально", единственное, эта фича работает в связке с VMware:

https://www.zdnet.com/article/aws-outpost-brings-its-cloud-hardware-on-premises/

Об Outpost на сайте AWS:

https://aws.amazon.com/outposts/

Найден новый PowerShell бэкдор, информация от первоисточника:

https://blog.trendmicro.com/trendlabs-security-intelligence/new-powershell-based-backdoor-found-in-turkey-strikingly-similar-to-muddywater-tools/

Самсунг выпустила в продажу первые SSD по новой технологии QLC NAND. Теперь в одной ячейке хранится 4 бита (у TLC было 3 бита). Это позволяет выпускать более емкие диски:

https://www.anandtech.com/show/13633/the-samsung-860-qvo-ssd-review

За новость спасибо @uart_mode

История о том, как ElasticSearch сервера выдали миллионы записей содержащих персональные данные людей. Очередное подтверждение того, что при настройке сервисов нужно не забывать про настройки безопасности...

https://blog.hackenproof.com/industry-news/new-data-breach-exposes-57-million-records

Частенько попадаю на Quora, возможно много кто знает этот ресурс. В официальном блоге вывесили пост о том, что их хекнули, утекли данные 100 миллионов пользователей...

- Имя, email, хеш пароля, ссылки на сети через которые происходит авторизация
- Вопросы, комменты, публичный контент
- Результаты голосований, приватные сообщения

Как-то так... Получается слили вообще все...

Детали в офф блоге:

https://blog.quora.com/Quora-Security-Update