חוקרים במכון הטכנולוגי של ג'ורג'ה זיהו תוספים זדוניים בעשרות אלפי אתרי וורדפרס
בניתוח גיבויים ליליים של יותר מ-400,000 שרתי אינטרנט חשף את קיומם של יותר מ47,000 תוספים זדוניים המותקנים באתרי וורדפס
https://www.securityweek.com/malicious-plugins-found-25000-wordpress-websites-study
בניתוח גיבויים ליליים של יותר מ-400,000 שרתי אינטרנט חשף את קיומם של יותר מ47,000 תוספים זדוניים המותקנים באתרי וורדפס
https://www.securityweek.com/malicious-plugins-found-25000-wordpress-websites-study
SecurityWeek
Malicious Plugins Found on 25,000 WordPress Websites: Study
Researchers at Georgia Institute of Technology have identified malicious plugins on tens of thousands of WordPress websites.
❤1
שיטת ההתקפה 'מקור טרויאני' יכולה להסתיר באגים בקוד קוד פתוח
חוקרים אקדמיים פרסמו פרטים על שיטת התקפה חדשה שהם מכנים "מקור טרויאני" המאפשרת להחדיר נקודות תורפה לקוד המקור של פרויקט תוכנה באופן שבודקים אנושיים לא יכולים לזהות.
השיטה עובדת עם כמה משפות התכנות הנפוצות ביותר כיום ותוקפים יכולים להשתמש בה עבור התקפות שרשרת האספקה.
https://www.bleepingcomputer.com/news/security/trojan-source-attack-method-can-hide-bugs-into-open-source-code/
חוקרים אקדמיים פרסמו פרטים על שיטת התקפה חדשה שהם מכנים "מקור טרויאני" המאפשרת להחדיר נקודות תורפה לקוד המקור של פרויקט תוכנה באופן שבודקים אנושיים לא יכולים לזהות.
השיטה עובדת עם כמה משפות התכנות הנפוצות ביותר כיום ותוקפים יכולים להשתמש בה עבור התקפות שרשרת האספקה.
https://www.bleepingcomputer.com/news/security/trojan-source-attack-method-can-hide-bugs-into-open-source-code/
BleepingComputer
'Trojan Source' attack method can hide bugs into open-source code
Academic researchers have released details about a new attack method they call "Trojan Source" that allows injecting vulnerabilities into the source code of a software project in a way that human reviewers can't detect.
רשימת בדיקות חדירה מסכמת מאוד לשרתי אינטרנט
בדיקת שרת אינטרנט המבצעת תחת שלוש קטגוריות העיקריות שהם: זהות, ניתוח, פגיעויות
דיווח כגון חולשת אימות, שגיאות תצורה, פגיעויות ביחסי הפרוטוקול.
https://gbhackers.com/web-server-penetration-testing-checklist/
בדיקת שרת אינטרנט המבצעת תחת שלוש קטגוריות העיקריות שהם: זהות, ניתוח, פגיעויות
דיווח כגון חולשת אימות, שגיאות תצורה, פגיעויות ביחסי הפרוטוקול.
https://gbhackers.com/web-server-penetration-testing-checklist/
GBHackers Security | #1 Globally Trusted Cyber Security News Platform
Web Server Penetration Testing Checklist - 2024
Web server pen testing performing under 3 major category which is identity, Analyse, Report Vulnerabilities such as authentication weakness.
מזה BaaS ?
מאחורי כל יישום תוכנה עומדת סדרה מקיפה של שירותי קצה שנועדו לתמוך בחזית הקצה שאתה רואה ומשתמש בכל יום. כמות העבודה הכרוכה ביצירת הטכנולוגיה האחורית הזו היא אף פעם לא משימה פשוטה. ארגונים רבים בוחרים לחסוך לעצמם את הזמן והכסף שידרשו כדי לפתח מחדש את הגלגל על ידי שימוש ב-backend כשירות (BaaS). שירות זה מספק לארגונים שירותים מבוססי ענן המתאימים לעיבוד עורפי.( Backend as a service )
https://www.businessnewsdaily.com/4992-what-is-baas.html
מאחורי כל יישום תוכנה עומדת סדרה מקיפה של שירותי קצה שנועדו לתמוך בחזית הקצה שאתה רואה ומשתמש בכל יום. כמות העבודה הכרוכה ביצירת הטכנולוגיה האחורית הזו היא אף פעם לא משימה פשוטה. ארגונים רבים בוחרים לחסוך לעצמם את הזמן והכסף שידרשו כדי לפתח מחדש את הגלגל על ידי שימוש ב-backend כשירות (BaaS). שירות זה מספק לארגונים שירותים מבוססי ענן המתאימים לעיבוד עורפי.( Backend as a service )
https://www.businessnewsdaily.com/4992-what-is-baas.html
Business News Daily
What Is Backend as a Service (BaaS)? - businessnewsdaily.com
BaaS frees app developers from purchasing onsite servers by putting various back-end services in the cloud.
כלי לאיתור פגיעויות Node.js בשם 'OGDEN'
Node.js
היא סביבת קוד פתוח, חוצה פלטפורמות, להפעלת גאווה סקריפט
מחוץ לדפדפן, היא תוכננה לפיתוח יישומי רשת, ושימושית מאוד, אך רבות מהחבילות שלה מכילות פגיעויות שיכולות לגרום לפגיעה באפליקציה.
כעת, אקדמאים מאוניברסיטת ג'ונס הופקינס ומאוניברסיטת רנמין בסין מציעים גישה חדשה למציאת פרצות אבטחה בחבילות Node.js.
https://www.securityweek.com/academics-devise-open-source-tool-hunting-nodejs-security-flaws
Node.js
היא סביבת קוד פתוח, חוצה פלטפורמות, להפעלת גאווה סקריפט
מחוץ לדפדפן, היא תוכננה לפיתוח יישומי רשת, ושימושית מאוד, אך רבות מהחבילות שלה מכילות פגיעויות שיכולות לגרום לפגיעה באפליקציה.
כעת, אקדמאים מאוניברסיטת ג'ונס הופקינס ומאוניברסיטת רנמין בסין מציעים גישה חדשה למציאת פרצות אבטחה בחבילות Node.js.
https://www.securityweek.com/academics-devise-open-source-tool-hunting-nodejs-security-flaws
Securityweek
Academics Devise Open Source Tool For Hunting Node.js Security Flaws | SecurityWeek.Com
A group of academic researchers have designed an open source Node.js vulnerability hunting tool that has already identified 180 security flaws.
Chrome 105 - הגירסה האחרונה של כרום
הגירסה כוללת 24 תיקוני פגיעויות, 21 מתוכם דווחו ע"י חוקרים חיצוניים (פגיעות אחת קריטית, שמונה ברמה גבוה, תשע בינונית ושלושה בדרגת חומרה נמוכה).
https://www.securityweek.com/chrome-105-patches-critical-high-severity-vulnerabilities
הגירסה כוללת 24 תיקוני פגיעויות, 21 מתוכם דווחו ע"י חוקרים חיצוניים (פגיעות אחת קריטית, שמונה ברמה גבוה, תשע בינונית ושלושה בדרגת חומרה נמוכה).
https://www.securityweek.com/chrome-105-patches-critical-high-severity-vulnerabilities
Securityweek
Chrome 105 Patches Critical, High-Severity Vulnerabilities | SecurityWeek.Com
Chrome 105 was released with patches for 24 vulnerabilities, including 13 use-after-free and heap buffer overflow issues.
סרטון הסבר כיצד ניתן לממש חולשות בחבילות open source :
https://www.linkedin.com/posts/tzachi-zornstain_supplychain-threatintelligence-opensourcesecurity-activity-6971041430546853888-1t7b?utm_source=share&utm_medium=member_android
https://www.linkedin.com/posts/tzachi-zornstain_supplychain-threatintelligence-opensourcesecurity-activity-6971041430546853888-1t7b?utm_source=share&utm_medium=member_android
Linkedin
Tzachi Zornstain on LinkedIn: #supplychain #threatintelligence #opensourcesecurity
𝐀𝐜𝐜𝐨𝐮𝐧𝐭 𝐭𝐚𝐤𝐞𝐨𝐯𝐞𝐫 – 𝐭𝐡𝐞 𝐧𝐞𝐰 𝐎𝐒𝐒 𝐚𝐭𝐭𝐚𝐜𝐤𝐞𝐫 𝐩𝐥𝐚𝐲𝐠𝐫𝐨𝐮𝐧𝐝
This is part 3 of our series on tactics, Techniques, and...
This is part 3 of our series on tactics, Techniques, and...
בדיקת פריצה אתית אולטימטיבית (UEH)
הטכניקות של פריצה ובדיקת חדירה, למידה ותרגול
https://www.udemy.com/course/ultimate-ethical-hacking/?couponCode=HOUSEOFFREECOUPONS
הטכניקות של פריצה ובדיקת חדירה, למידה ותרגול
https://www.udemy.com/course/ultimate-ethical-hacking/?couponCode=HOUSEOFFREECOUPONS
Udemy
Ultimate Ethical Hacking and Penetration Testing (UEH)
Learn and Practice the Techniques of Hacking and Penetration Testing
שיטות עבודה מומלצות לאבטחת Active Directory
מסמך זה מספק נקודת מבט של מתרגל ומכיל סט של טכניקות מעשיות כדי לעזור למנהלי IT להגן על סביבת Active Directory ארגונית.
המסמך תקף ל :
Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
https://docs.microsoft.com/en-gb/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory
מסמך זה מספק נקודת מבט של מתרגל ומכיל סט של טכניקות מעשיות כדי לעזור למנהלי IT להגן על סביבת Active Directory ארגונית.
המסמך תקף ל :
Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
https://docs.microsoft.com/en-gb/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory
Docs
Best practices for securing Active Directory
Learn more about best practices for securing Active Directory.
חדשות רעות לישראל: לויד'ס הודיעה שלא תפצה חברות שייפגעו בתקיפות סייבר של מדינות
על פי עדכון פוליסות הסייבר של ענקית הביטוח לשנה הבאה, היא לא תשלם פיצויים לארגונים וחברות שייפגעו ממתקפות סייבר בגיבוי מדינות. הסיבה: השכיחות הגדולה של מתקפות כאלה, הנזק העצום שהן יכולות לגרום, והיעדר היכולת הממשית למנוע נזק משמעותי
https://www.calcalist.co.il/calcalistech/article/hjy11juyr1ki
על פי עדכון פוליסות הסייבר של ענקית הביטוח לשנה הבאה, היא לא תשלם פיצויים לארגונים וחברות שייפגעו ממתקפות סייבר בגיבוי מדינות. הסיבה: השכיחות הגדולה של מתקפות כאלה, הנזק העצום שהן יכולות לגרום, והיעדר היכולת הממשית למנוע נזק משמעותי
https://www.calcalist.co.il/calcalistech/article/hjy11juyr1ki
אפל החלה ביום רביעי לשלוח תיקונים למכשירי אייפון ואייפד ישנים יותר כדי לטפל בפגיעות שנוצלה לאחרונה.
הפגיעות משפיעה על WebKit וניתן לנצל אותה כדי להשיג ביצוע קוד שרירותי כאשר המשתמש מבקר באתר אינטרנט זדוני.
ליקוי האבטחה נפתר עם שחרורו של iOS 12.5.6, שמתגלגל כעת לאייפון 5s, אייפון 6, אייפון 6 פלוס, אייפד אייר, אייפד מיני 2, אייפד מיני 3 ו-iPod touch (דור 6).
https://www.securityweek.com/ios-12-update-older-iphones-patches-exploited-vulnerability
הפגיעות משפיעה על WebKit וניתן לנצל אותה כדי להשיג ביצוע קוד שרירותי כאשר המשתמש מבקר באתר אינטרנט זדוני.
ליקוי האבטחה נפתר עם שחרורו של iOS 12.5.6, שמתגלגל כעת לאייפון 5s, אייפון 6, אייפון 6 פלוס, אייפד אייר, אייפד מיני 2, אייפד מיני 3 ו-iPod touch (דור 6).
https://www.securityweek.com/ios-12-update-older-iphones-patches-exploited-vulnerability
SecurityWeek
iOS 12 Update for Older iPhones Patches Exploited Vulnerability
Apple on Wednesday started shipping patches for older iPhone and iPad devices to address a recent, actively exploited vulnerability.Tracked as CVE-2022-32893, the vulnerability impacts WebKit and it can be exploited to achieve arbitrary code execution when…
תוכנת זדונית SharkBot מתגנבת בחזרה ל-Google Play כדי לגנוב את פרטי ההתחברות שלך
גרסה חדשה ומשודרגת של התוכנה הזדונית SharkBot חזרה לחנות Google-Play , ומכוונת לכניסות בנקאיות של משתמשי אנדרואיד באמצעות אפליקציות שיש להן עשרות אלפי התקנות.
התוכנה הזדונית הייתה קיימת בשתי אפליקציות אנדרואיד שלא כללו שום קוד זדוני כאשר נשלחה לבדיקה האוטומטית של גוגל.
עם זאת, SharkBot מתווסף בעדכון המתרחש לאחר שהמשתמש מתקין ומפעיל את dropper apps.
על פי פוסט בבלוג של Fox IT, שתי האפליקציות הזדוניות הן "Mister Phone Cleaner" ו-"Kylhavy Mobile Security", הסופרות ביחד 60,000 התקנות.
https://www.bleepingcomputer.com/news/security/sharkbot-malware-sneaks-back-on-google-play-to-steal-your-logins/
גרסה חדשה ומשודרגת של התוכנה הזדונית SharkBot חזרה לחנות Google-Play , ומכוונת לכניסות בנקאיות של משתמשי אנדרואיד באמצעות אפליקציות שיש להן עשרות אלפי התקנות.
התוכנה הזדונית הייתה קיימת בשתי אפליקציות אנדרואיד שלא כללו שום קוד זדוני כאשר נשלחה לבדיקה האוטומטית של גוגל.
עם זאת, SharkBot מתווסף בעדכון המתרחש לאחר שהמשתמש מתקין ומפעיל את dropper apps.
על פי פוסט בבלוג של Fox IT, שתי האפליקציות הזדוניות הן "Mister Phone Cleaner" ו-"Kylhavy Mobile Security", הסופרות ביחד 60,000 התקנות.
https://www.bleepingcomputer.com/news/security/sharkbot-malware-sneaks-back-on-google-play-to-steal-your-logins/
BleepingComputer
SharkBot malware sneaks back on Google Play to steal your logins
A new and upgraded version of the SharkBot malware has returned to Google's Play Store, targeting banking logins of Android users through apps that have tens of thousands of installations.
👍1
מסמך בנושא פרטיות ואבטחת מידע בשימוש בטכנולוגיות Deepfake (זיוף עמוק)
הרשות להגנת הפרטיות מפרסמת מסמך ראשון מסוגו בנושא פרטיות ואבטחת מידע בשימוש בטכנולוגיות Deepfake (זיוף עמוק)
עמדת הרשות היא כי הפצה ללא הסכמה של תמונה או סרטון דיפ פייק המציגים תוכן משפיל או הנוגע לצנעת חייו האישיים של אדם, העלול להיתפס בציבור כאותנטי, מהווה פגיעה בפרטיות. בנוסף, קובעת הרשות שחברות המייצרות תכנים מזויפים בטכנולוגית Deepfake ומחזיקות מאגר מידע מחויבות לעמוד בתקנות אבטחת מידע, וכי גם מידע מזויף, הנתפס כמידע אישי אותנטי, הוא מידע שיש לאבטח אותו.
https://www.gov.il/he/departments/news/deepfake1doc
הרשות להגנת הפרטיות מפרסמת מסמך ראשון מסוגו בנושא פרטיות ואבטחת מידע בשימוש בטכנולוגיות Deepfake (זיוף עמוק)
עמדת הרשות היא כי הפצה ללא הסכמה של תמונה או סרטון דיפ פייק המציגים תוכן משפיל או הנוגע לצנעת חייו האישיים של אדם, העלול להיתפס בציבור כאותנטי, מהווה פגיעה בפרטיות. בנוסף, קובעת הרשות שחברות המייצרות תכנים מזויפים בטכנולוגית Deepfake ומחזיקות מאגר מידע מחויבות לעמוד בתקנות אבטחת מידע, וכי גם מידע מזויף, הנתפס כמידע אישי אותנטי, הוא מידע שיש לאבטח אותו.
https://www.gov.il/he/departments/news/deepfake1doc
מה תפקידו של צוות אבטחת מידע ?
שאלה מעניינת ומגוונת בכל ארגון הצוות הזה מקבל תפקידים שונים אשר היסודות שלו אמורים להיות מניעה, איתור או ניהול סיכונים
לא כל צוותי האבטחה נולדו שווים. לכל ארגון מטרה אחרת.
בתחום אבטחת הסייבר, אימוץ גישה פרואקטיבית היא לא מילה זרה. זה בעצם מה שעושה את ההבדל בין להישאר מאחורי התוקפים לבין להקדים אותם. והפתרונות לעשות זאת אכן קיימים!
רוב ההתקפות מצליחות על ידי ניצול כשלים נפוצים במערכות היעד שלהם (לדוגמא הלל יפה או שירביט), בין אם חדשות או לא, ידועות, לא ידועות או אפילו לא ידועות, התקפות ממנפות פערי אבטחה כגון נקודות תורפה שלא תועדו או לא תוארו, הגדרות שגויות, מערכות לא מעודכנות, אישורים שפג תוקפם, טעויות אנוש וכו'.
מכיוון שתוקפים מסתמכים על מגוון כלי בדיקה התקפי אוטומטיים כדי לסרוק את משטחי התקיפה של המטרות שלהם ולהתפשט בתוך הרשת שלהם, עמדת הגנה תגובתית גרידא המבוססת על זיהוי ותגובה צפויה יותר ויותר להיות מוצפת על ידי התקפה.
המהלך הטקטי ההגיוני הוא לחקות את ה-TTPs והתנהגויות של התוקפים מראש על ידי שילוב כלי הדמיית תקיפה כדי לאמת באופן רציף את אטימות משטח ההתקפה בכללותו, את היעילות של בקרות האבטחה, כמו גם מדיניות ניהול גישה ופילוח וכו'.
חיזוק יכולות המניעה:
שימוש בפתרון Breach and Attack Simulation (BAS) מאמת באופן רציף את יעילות בקרות האבטחה שלך, מספק הנחיות תיקון בר-פעולה עבור פערי אבטחה שנחשפו, ומייעל את מאמצי תעדוף התיקון בהתאם לסבירות ההצלחה של התקיפה שנחשפו באמצעות סימולציות תקיפה.
חיזוק זיהוי ותגובה:
הפעלת התקפות סיור אוטומטיות מחזקת את הליך ניהול משטח ההתקפה שלך על ידי חשיפת כל הנכסים החשופים, כולל Shadow IT שנשכחו מזמן או שנוספו בחשאי, תוך שילוב יכולות סימולציית התקפות מתמשכות מבחוץ פנימה עם ערימת הכלים SIEM/SOAR שלך מאירה אור על גבולותיה ופגמים.
התאמה אישית של ניהול סיכונים:
שילוב של אימות אבטחה בניהול סיכונים ארגוניים ובנהלי GRC ומתן אבטחה מתמשכת בהתאם עשויה לדרוש רמה מסוימת של התאמה אישית של תרחישי התקיפה הזמינים.
https://thehackernews.com/2022/09/what-is-your-security-team-profile.html
שאלה מעניינת ומגוונת בכל ארגון הצוות הזה מקבל תפקידים שונים אשר היסודות שלו אמורים להיות מניעה, איתור או ניהול סיכונים
לא כל צוותי האבטחה נולדו שווים. לכל ארגון מטרה אחרת.
בתחום אבטחת הסייבר, אימוץ גישה פרואקטיבית היא לא מילה זרה. זה בעצם מה שעושה את ההבדל בין להישאר מאחורי התוקפים לבין להקדים אותם. והפתרונות לעשות זאת אכן קיימים!
רוב ההתקפות מצליחות על ידי ניצול כשלים נפוצים במערכות היעד שלהם (לדוגמא הלל יפה או שירביט), בין אם חדשות או לא, ידועות, לא ידועות או אפילו לא ידועות, התקפות ממנפות פערי אבטחה כגון נקודות תורפה שלא תועדו או לא תוארו, הגדרות שגויות, מערכות לא מעודכנות, אישורים שפג תוקפם, טעויות אנוש וכו'.
מכיוון שתוקפים מסתמכים על מגוון כלי בדיקה התקפי אוטומטיים כדי לסרוק את משטחי התקיפה של המטרות שלהם ולהתפשט בתוך הרשת שלהם, עמדת הגנה תגובתית גרידא המבוססת על זיהוי ותגובה צפויה יותר ויותר להיות מוצפת על ידי התקפה.
המהלך הטקטי ההגיוני הוא לחקות את ה-TTPs והתנהגויות של התוקפים מראש על ידי שילוב כלי הדמיית תקיפה כדי לאמת באופן רציף את אטימות משטח ההתקפה בכללותו, את היעילות של בקרות האבטחה, כמו גם מדיניות ניהול גישה ופילוח וכו'.
חיזוק יכולות המניעה:
שימוש בפתרון Breach and Attack Simulation (BAS) מאמת באופן רציף את יעילות בקרות האבטחה שלך, מספק הנחיות תיקון בר-פעולה עבור פערי אבטחה שנחשפו, ומייעל את מאמצי תעדוף התיקון בהתאם לסבירות ההצלחה של התקיפה שנחשפו באמצעות סימולציות תקיפה.
חיזוק זיהוי ותגובה:
הפעלת התקפות סיור אוטומטיות מחזקת את הליך ניהול משטח ההתקפה שלך על ידי חשיפת כל הנכסים החשופים, כולל Shadow IT שנשכחו מזמן או שנוספו בחשאי, תוך שילוב יכולות סימולציית התקפות מתמשכות מבחוץ פנימה עם ערימת הכלים SIEM/SOAR שלך מאירה אור על גבולותיה ופגמים.
התאמה אישית של ניהול סיכונים:
שילוב של אימות אבטחה בניהול סיכונים ארגוניים ובנהלי GRC ומתן אבטחה מתמשכת בהתאם עשויה לדרוש רמה מסוימת של התאמה אישית של תרחישי התקיפה הזמינים.
https://thehackernews.com/2022/09/what-is-your-security-team-profile.html