פרויקט חדש בבריטניה שמבצע מיפויי לכתובות ip של הממלכה ומדווח להם על פגיעויות, כאשר נחשפת פגיעות תוכנה, לעתים קרובות קל יותר למצוא קוד שמונע לנצל אותה, מאשר למצוא כלים שיעזרו להגן עליה.
https://www.ncsc.gov.uk/information/ncsc-scanning-information
https://www.ncsc.gov.uk/information/ncsc-scanning-information
👍1
'צבא ה-IT' של אוקראינה עצר 1,300 מתקפות סייבר ב-8 חודשי מלחמה
נשיא אוקראינה דיבר השבוע בפאנל "טרנספורמציה דיגיטלית" של פסגת ה-G20, והציע את היתרונות של חוויית הגנת הסייבר של ארצו למדינות בעלות הברית של ה-G20.
זלנסקי ציין כי "צבא ה-IT" של אוקראינה, המורכב מכישרונות שנאספו מחברות ברחבי המדינה.
הניסיון הזה, לדבריו, מעניק לקחים להגנה על אוכלוסיות אזרחיות מפני סוגי התקפות סייבר אכזריות שהופעלו נגד ארצו כחלק מהפלישה של רוסיה.
לדוגמה, לאחר שרוסיה הרסה מרכז נתונים מרכזי במדינה, אוקראינה עברה לענן, מה שאיפשר לה לבנות רישומים ציבוריים ולשלם תשלומים לאזרחים שנגרמו כתוצאה מהמלחמה. אתר המדינה פועל ומסוגל לספק 100 שירותים ציבוריים ללא מגע, כולל מתן דרכונים דיגיטליים, קבלת תשלומי מס ועוד, אמר זלנסקי במהלך נאומו בפני ה-G20.
https://odessa-journal.com/volodymyr-zelensky-take-the-ukrainian-defense-experience-to-guarantee-the-security-of-your-people/
נשיא אוקראינה דיבר השבוע בפאנל "טרנספורמציה דיגיטלית" של פסגת ה-G20, והציע את היתרונות של חוויית הגנת הסייבר של ארצו למדינות בעלות הברית של ה-G20.
זלנסקי ציין כי "צבא ה-IT" של אוקראינה, המורכב מכישרונות שנאספו מחברות ברחבי המדינה.
הניסיון הזה, לדבריו, מעניק לקחים להגנה על אוכלוסיות אזרחיות מפני סוגי התקפות סייבר אכזריות שהופעלו נגד ארצו כחלק מהפלישה של רוסיה.
לדוגמה, לאחר שרוסיה הרסה מרכז נתונים מרכזי במדינה, אוקראינה עברה לענן, מה שאיפשר לה לבנות רישומים ציבוריים ולשלם תשלומים לאזרחים שנגרמו כתוצאה מהמלחמה. אתר המדינה פועל ומסוגל לספק 100 שירותים ציבוריים ללא מגע, כולל מתן דרכונים דיגיטליים, קבלת תשלומי מס ועוד, אמר זלנסקי במהלך נאומו בפני ה-G20.
https://odessa-journal.com/volodymyr-zelensky-take-the-ukrainian-defense-experience-to-guarantee-the-security-of-your-people/
odessa-journal.com
Volodymyr Zelensky: the Ukrainian defense experience is a guarantee of the security of your people | odessa-journal.com
Speech by the President of Ukraine during the participation in the "Digital Transformation" panel within the G20 summit Yesterday at our summit, everyone
👍3
מוזילה הכריזה על Firefox 107.
הגרסה העדכנית ביותר של הדפדפן מתקנת מספר לא מבוטל של נקודות תורפה.
כמות של 19 מזהי CVE הוקצו לפרקי האבטחה שתוקנו על ידי Firefox 107, ו-9 מהם קיבלו דירוג 'השפעה גבוהה'.
הפגעויות בעלי ההשפעה הגבוהה כוללים בעיות שעלולות להוביל לחשיפת מידע, עקיפת הודעות במסך מלא שיכולים לשמש עבור התקפות זיוף, וקריסות או ביצוע קוד שרירותי כתוצאה מבאגים.
בעיות בעלות השפעה מתונה שתוקנו עם שחרורו של Firefox 107 עלולות להוביל לעקיפת אבטחה, מעקב בין אתרים, ביצוע קוד, פשרה באמצעות הורדות קבצים, דליפת הקשות והתקפות זיוף.
בעיות בעלות השפעה נמוכה שתוקנו בFirefox קשורות לחריגות אבטחה ולזיוף.
דפדפן Firefox אינו ממוקד על ידי תוקפים כמו כרום, אך הפופולריות שלו עדיין הופכת אותו למטרה מפתה.
https://www.mozilla.org/en-US/security/advisories/mfsa2022-47/
הגרסה העדכנית ביותר של הדפדפן מתקנת מספר לא מבוטל של נקודות תורפה.
כמות של 19 מזהי CVE הוקצו לפרקי האבטחה שתוקנו על ידי Firefox 107, ו-9 מהם קיבלו דירוג 'השפעה גבוהה'.
הפגעויות בעלי ההשפעה הגבוהה כוללים בעיות שעלולות להוביל לחשיפת מידע, עקיפת הודעות במסך מלא שיכולים לשמש עבור התקפות זיוף, וקריסות או ביצוע קוד שרירותי כתוצאה מבאגים.
בעיות בעלות השפעה מתונה שתוקנו עם שחרורו של Firefox 107 עלולות להוביל לעקיפת אבטחה, מעקב בין אתרים, ביצוע קוד, פשרה באמצעות הורדות קבצים, דליפת הקשות והתקפות זיוף.
בעיות בעלות השפעה נמוכה שתוקנו בFirefox קשורות לחריגות אבטחה ולזיוף.
דפדפן Firefox אינו ממוקד על ידי תוקפים כמו כרום, אך הפופולריות שלו עדיין הופכת אותו למטרה מפתה.
https://www.mozilla.org/en-US/security/advisories/mfsa2022-47/
👍5
פגם Backstage של Spotify הותיר שרתים פתוחים להתקפות RCE
צוות המחקר של Oxeye הצליח להשיג ביצוע קוד מרחוק בפרויקט הקוד הפתוח של Spotify, Backstage, על ידי ניצול של ארגז חול VM דרך ספריית הצד השלישי vm2. דיווחנו על פגיעות RCE זו דרך תוכנית הבאגים של Spotify, וצוות Backstage הגיב במהירות על ידי תיקון שלה בגרסה 1.5.1, ודירוג הפגיעות עם ציון CVSS של 9.8.
השפעה פוטנציאלית על פגיעות - תוקף לא מאומת יכול לבצע פקודות מערכת ביישום Backstage על ידי ניצול escape vm2 של ארגז חול בתוסף הליבה Scaffolder.
https://www.oxeye.io/blog/remote-code-execution-in-spotifys-backstage
צוות המחקר של Oxeye הצליח להשיג ביצוע קוד מרחוק בפרויקט הקוד הפתוח של Spotify, Backstage, על ידי ניצול של ארגז חול VM דרך ספריית הצד השלישי vm2. דיווחנו על פגיעות RCE זו דרך תוכנית הבאגים של Spotify, וצוות Backstage הגיב במהירות על ידי תיקון שלה בגרסה 1.5.1, ודירוג הפגיעות עם ציון CVSS של 9.8.
השפעה פוטנציאלית על פגיעות - תוקף לא מאומת יכול לבצע פקודות מערכת ביישום Backstage על ידי ניצול escape vm2 של ארגז חול בתוסף הליבה Scaffolder.
https://www.oxeye.io/blog/remote-code-execution-in-spotifys-backstage
about.gitlab.com
The most-comprehensive AI-powered DevSecOps platform
From planning to production, bring teams together in one application. Ship secure code more efficiently to deliver value faster.
הסוכנות לאבטחת סייבר ותשתיות (CISA), הסוכנות לביטחון לאומי (NSA) ומשרד מנהל המודיעין הלאומי (ODNI) של ארה"ב, פרסמו השבוע הדרכה משותפת לאבטחת שרשרת אספקת התוכנה.
ההדרכה מספקת המלצות על שיטות עבודה מומלצות לאבטחת שרשרת אספקת התוכנה למפתחים, ספקים וארגונים.
המסמך (מצורף בלינק) מפרט שיטות עבודה מומלצות שלקוחות צריכים ליישם בעת רכישה, פריסה ושימוש בתוכנה, ומספק דוגמאות לתרחישי תקיפה והפחתות.
לגבי רכש תוכנה, שלושת הסוכנויות ממליצות לשים לב לדרישות הארגון, לרבות פעילויות אבטחה וניהול סיכונים בשרשרת אספקה (SCRM - supply chain risk management), ביצוע הערכת מוצרים, לרבות הערכת רשימות חומרי תוכנה (SBOM-software bill of materials), והערכת ספקים לפני חתימת חוזים.
זה אמור להפחית סיכונים הקשורים לרכישת מוצרים שאינם עומדים בדרישות או שסובלים מפגיעות או שטופלו בהם, כמו גם התקשרות עם ספקים בשליטה זרה או שיש להם היגיינת אבטחה לקויה.
בכל הנוגע לפריסת תוכנה, מומלץ ללקוחות לבחון היטב מוצרים עם קבלתם, לבצע בדיקות פונקציונליות ולאמת את המוצר מנקודת מבט אבטחה, להקים לוח בקרת תצורה ( CCB - configuration control board ) האחראי על מחזור חיי המוצר, לוודא שהמוצר משתלב עם הסביבה הקיימת, ולקבל ניטור למערכת SIEM.
בקרות הפריסה הללו מבטלות סיכונים כגון מוצרים מוחלפים או לא שלמים, שינויים בלתי צפויים בפונקציונליות, שימוש ברכיבים לא מאומתים, נוכחות של תוכנות זדוניות רדומות או פונקציונליות זדונית, דליפות נתונים, פגיעה בתשתית, דוחות מוצרים לא שלמים, בעיות תמיכה, הערכות אינטגרציה לא שלמות או שגויות. ועדכונים שעלולים להיות זדוניים או שנפגעו.
כמו כן, מומלץ לארגונים לטפל כראוי במוצרים שהגיעו לסוף החיים (EoL) או אשר נמצאים בביטול, ולוודא כי מיושמת תוכנית הכשרה יעילה עבור מוצרים חדשים.
יתרה מזאת, ללקוחות תוכנה מומלץ לשים לב לאופן הפעלת המוצר, על מנת להבטיח זיהוי נקודות תורפה ושינויי פונקציונליות, כי העדכונים מיושמים בזמן, וכי תוכנות זדוניות מסולקות לפני פגיעה בארגון.
ההדרכה מספקת המלצות על שיטות עבודה מומלצות לאבטחת שרשרת אספקת התוכנה למפתחים, ספקים וארגונים.
המסמך (מצורף בלינק) מפרט שיטות עבודה מומלצות שלקוחות צריכים ליישם בעת רכישה, פריסה ושימוש בתוכנה, ומספק דוגמאות לתרחישי תקיפה והפחתות.
לגבי רכש תוכנה, שלושת הסוכנויות ממליצות לשים לב לדרישות הארגון, לרבות פעילויות אבטחה וניהול סיכונים בשרשרת אספקה (SCRM - supply chain risk management), ביצוע הערכת מוצרים, לרבות הערכת רשימות חומרי תוכנה (SBOM-software bill of materials), והערכת ספקים לפני חתימת חוזים.
זה אמור להפחית סיכונים הקשורים לרכישת מוצרים שאינם עומדים בדרישות או שסובלים מפגיעות או שטופלו בהם, כמו גם התקשרות עם ספקים בשליטה זרה או שיש להם היגיינת אבטחה לקויה.
בכל הנוגע לפריסת תוכנה, מומלץ ללקוחות לבחון היטב מוצרים עם קבלתם, לבצע בדיקות פונקציונליות ולאמת את המוצר מנקודת מבט אבטחה, להקים לוח בקרת תצורה ( CCB - configuration control board ) האחראי על מחזור חיי המוצר, לוודא שהמוצר משתלב עם הסביבה הקיימת, ולקבל ניטור למערכת SIEM.
בקרות הפריסה הללו מבטלות סיכונים כגון מוצרים מוחלפים או לא שלמים, שינויים בלתי צפויים בפונקציונליות, שימוש ברכיבים לא מאומתים, נוכחות של תוכנות זדוניות רדומות או פונקציונליות זדונית, דליפות נתונים, פגיעה בתשתית, דוחות מוצרים לא שלמים, בעיות תמיכה, הערכות אינטגרציה לא שלמות או שגויות. ועדכונים שעלולים להיות זדוניים או שנפגעו.
כמו כן, מומלץ לארגונים לטפל כראוי במוצרים שהגיעו לסוף החיים (EoL) או אשר נמצאים בביטול, ולוודא כי מיושמת תוכנית הכשרה יעילה עבור מוצרים חדשים.
יתרה מזאת, ללקוחות תוכנה מומלץ לשים לב לאופן הפעלת המוצר, על מנת להבטיח זיהוי נקודות תורפה ושינויי פונקציונליות, כי העדכונים מיושמים בזמן, וכי תוכנות זדוניות מסולקות לפני פגיעה בארגון.
👍2👏1
כמה אתם מרוצים מהתכנים בערוץ ?
Anonymous Poll
67%
במידה רבה - גם המלצתי לחברים
28%
במידה בינונית - תכנים נחמדים
5%
במידה נמוכה - יש עוד ערוצים
👍1
חוקרי אבטחה מצאו נקודות תורפה במנגנון ההצפנה של תוכנת הכופר Zeppelin וניצלו אותן כדי ליצור מפענח עובד.
המוטיבציה לפצח לאחר שראו שהתוקפים פוגעים בארגוני צדקה, עמותות ואפילו מקלטים לחסרי בית.
החוקרים שמו לב ש-Zeppelin השתמש במפתח RSA-512 חולף כדי להצפין את מפתח AES שנעל גישה לנתונים מוצפנים.
מפתח AES נשמר בכותרת התחתונה של כל קובץ מוצפן, כך שאם מפתח ה-RSA-512 נפצח, ניתן היה לפענח את הקבצים מבלי לשלם לתוקף.
חברת Unit221b גילתה שהמפתח הציבורי הזה נשאר ברישום של המערכת הנגועה במשך כחמש דקות לאחר השלמת הצפנת הנתונים.
שליפת המפתח הייתה אפשרית על ידי ביצוע בדיקה על מערכת הקבצים, מהזיכרון registry.exe, וישר על ה-NTUSER.Dat בספריית
"/User/[user_account]/".
הנתונים המתקבלים עם RC4, ל-Unit221b נותרה שכבה אחת של הצפנת RSA-2048.
כדי להתגבר על מכשול אחרון, Unit221b השתמשה בסך הכל ב-800 CPUs ב-20 שרתים, כל אחד עם 40 מעבדים, שכללו חלקים קטנים יותר מהמפתח, לאחר שש שעות, המפתח פוצח, ה-AES מכותרת התחתונה של הקובץ.
https://blog.unit221b.com/dont-read-this-blog/0xdead-zeppelin
המוטיבציה לפצח לאחר שראו שהתוקפים פוגעים בארגוני צדקה, עמותות ואפילו מקלטים לחסרי בית.
החוקרים שמו לב ש-Zeppelin השתמש במפתח RSA-512 חולף כדי להצפין את מפתח AES שנעל גישה לנתונים מוצפנים.
מפתח AES נשמר בכותרת התחתונה של כל קובץ מוצפן, כך שאם מפתח ה-RSA-512 נפצח, ניתן היה לפענח את הקבצים מבלי לשלם לתוקף.
חברת Unit221b גילתה שהמפתח הציבורי הזה נשאר ברישום של המערכת הנגועה במשך כחמש דקות לאחר השלמת הצפנת הנתונים.
שליפת המפתח הייתה אפשרית על ידי ביצוע בדיקה על מערכת הקבצים, מהזיכרון registry.exe, וישר על ה-NTUSER.Dat בספריית
"/User/[user_account]/".
הנתונים המתקבלים עם RC4, ל-Unit221b נותרה שכבה אחת של הצפנת RSA-2048.
כדי להתגבר על מכשול אחרון, Unit221b השתמשה בסך הכל ב-800 CPUs ב-20 שרתים, כל אחד עם 40 מעבדים, שכללו חלקים קטנים יותר מהמפתח, לאחר שש שעות, המפתח פוצח, ה-AES מכותרת התחתונה של הקובץ.
https://blog.unit221b.com/dont-read-this-blog/0xdead-zeppelin
👍4🔥1
מחוז Tehama, קליפורניה, החל להודיע לעובדים, למקבלי שירותים ולשותפים הקשורים לכך שייתכן שהמידע האישי שלהם נפגע.
החקירה העלתה שלצד שלישי בלתי מורשה הייתה גישה למערכות המחוז בין ה-18 בנובמבר 2021 ל-9 באפריל 2022, וכי ניגשו לקבצים במערכות המחלקה לשירותים חברתיים במחוז.
"מחוז טהמה מציע שירותי ניטור אשראי וגניבת זהות חינם לאנשים שמספרי הביטוח הלאומי או מספרי רישיון הנהיגה שלהם היו מעורבים", אומרים במחוז.
המחוז לא שיתף פרטים על סוג התקפת הסייבר שנפל קורבן לה, אבל, עוד ביוני, מפעילי תוכנת הכופר Quantum פרסמו באתר ההדלפות שלהם בערך 32 גיגה-בייט של נתונים שנגנבו לכאורה ממערכות המחוז.
הנתונים הגנובים כוללים על פי הדיווחים פרטים פיננסיים, תעודות זהות, תעודות לידה, דוחות אירועים, מידע רפואי, מידע ביטוחי, מסמכי רישום פלילי ומסמכים סודיים אחרים.
https://oag.ca.gov/system/files/Tehama%20-%20California%20Notification.pdf
החקירה העלתה שלצד שלישי בלתי מורשה הייתה גישה למערכות המחוז בין ה-18 בנובמבר 2021 ל-9 באפריל 2022, וכי ניגשו לקבצים במערכות המחלקה לשירותים חברתיים במחוז.
"מחוז טהמה מציע שירותי ניטור אשראי וגניבת זהות חינם לאנשים שמספרי הביטוח הלאומי או מספרי רישיון הנהיגה שלהם היו מעורבים", אומרים במחוז.
המחוז לא שיתף פרטים על סוג התקפת הסייבר שנפל קורבן לה, אבל, עוד ביוני, מפעילי תוכנת הכופר Quantum פרסמו באתר ההדלפות שלהם בערך 32 גיגה-בייט של נתונים שנגנבו לכאורה ממערכות המחוז.
הנתונים הגנובים כוללים על פי הדיווחים פרטים פיננסיים, תעודות זהות, תעודות לידה, דוחות אירועים, מידע רפואי, מידע ביטוחי, מסמכי רישום פלילי ומסמכים סודיים אחרים.
https://oag.ca.gov/system/files/Tehama%20-%20California%20Notification.pdf
👍1
מיקרוסופט פרסמה עדכון מיוחד לאחר שנודע לו שתיקון אבטחה אחרון של Windows התחיל לגרום לבעיות אימות Kerberos.
עדכוני ה-Patch Tuesday שפורסמו ב-8 בנובמבר התייחסו ל-CVE-2022-37966, פגיעות הסלמה של הרשאות המשפיעה על Windows Server. פגיעות שיכולה לאפשר לתוקף לאסוף מידע על המערכת הממוקדת לקבל הרשאות מנהל.
"תוקף לא מאומת יכול לבצע מתקפה שיכולה למנף פגיעויות של פרוטוקול קריפטוגרפי ב-RFC 4757 (סוג הצפנה Kerberos RC4-HMAC-MD5) ו-MS-PAC (מפרט מבנה נתונים של תעודת תעודת הרשאות) כדי לעקוף תכונות אבטחה בסביבת Windows AD." לדברי מיקרוסופט
עם זאת, מספר ימים לאחר שחרורו של התיקון, משתמשים החלו להתלונן על בעיות הקשורות לאימות Kerberos.
מיקרוסופט פעלה במהירות וב-17 בנובמבר, היא הוציא עדכון מיוחד שאמור לטפל בבעיה.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37966
עדכוני ה-Patch Tuesday שפורסמו ב-8 בנובמבר התייחסו ל-CVE-2022-37966, פגיעות הסלמה של הרשאות המשפיעה על Windows Server. פגיעות שיכולה לאפשר לתוקף לאסוף מידע על המערכת הממוקדת לקבל הרשאות מנהל.
"תוקף לא מאומת יכול לבצע מתקפה שיכולה למנף פגיעויות של פרוטוקול קריפטוגרפי ב-RFC 4757 (סוג הצפנה Kerberos RC4-HMAC-MD5) ו-MS-PAC (מפרט מבנה נתונים של תעודת תעודת הרשאות) כדי לעקוף תכונות אבטחה בסביבת Windows AD." לדברי מיקרוסופט
עם זאת, מספר ימים לאחר שחרורו של התיקון, משתמשים החלו להתלונן על בעיות הקשורות לאימות Kerberos.
מיקרוסופט פעלה במהירות וב-17 בנובמבר, היא הוציא עדכון מיוחד שאמור לטפל בבעיה.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37966
👍1
מפתח השאיר את השם משתמש וסיסמא לשרת פנימי של AstraZeneca באתר GitHub
ענקית התרופות AstraZeneca האשימה את "טעות המשתמש" בהשארת רשימת אישורים מקוונת במשך יותר משנה שחשפה גישה לנתוני חולים רגישים.
האישורים שנשכחו אפשרו גישה לסביבת ענן של Salesforce, אבל סביבת הבדיקות הכילה כמה נתוני מטופלים.
חלק מהנתונים קשורים ליישומי AZ&ME, המציעים הנחות למטופלים הזקוקים לתרופות.
דובר AstraZeneca, אמר : "ההגנה על נתונים אישיים חשובה לנו ביותר ואנו שואפים לסטנדרטים הגבוהים ביותר ולעמידה בכל הכללים והחוקים החלים. עקב שגיאת משתמש [sic], חלק מרשומות הנתונים היו זמינות זמנית בפלטפורמת מפתחים. הפסקנו את הגישה לנתונים האלה מיד לאחר שהודיעו לנו. אנו חוקרים את הסיבה השורשית וכן מעריכים את החובות הרגולטוריות שלנו".
https://techcrunch.com/2022/11/03/astrazeneca-passwords-exposed-patient-data/?guccounter=1
ענקית התרופות AstraZeneca האשימה את "טעות המשתמש" בהשארת רשימת אישורים מקוונת במשך יותר משנה שחשפה גישה לנתוני חולים רגישים.
האישורים שנשכחו אפשרו גישה לסביבת ענן של Salesforce, אבל סביבת הבדיקות הכילה כמה נתוני מטופלים.
חלק מהנתונים קשורים ליישומי AZ&ME, המציעים הנחות למטופלים הזקוקים לתרופות.
דובר AstraZeneca, אמר : "ההגנה על נתונים אישיים חשובה לנו ביותר ואנו שואפים לסטנדרטים הגבוהים ביותר ולעמידה בכל הכללים והחוקים החלים. עקב שגיאת משתמש [sic], חלק מרשומות הנתונים היו זמינות זמנית בפלטפורמת מפתחים. הפסקנו את הגישה לנתונים האלה מיד לאחר שהודיעו לנו. אנו חוקרים את הסיבה השורשית וכן מעריכים את החובות הרגולטוריות שלנו".
https://techcrunch.com/2022/11/03/astrazeneca-passwords-exposed-patient-data/?guccounter=1
👍1
חודשים להוצאת תיקון הפגיעויות של גוגל, יצרני מכשירי אנדרואיד עדיין לא הגיבו.
"פער תיקון" (patch gap) מתאר את הזמן שלוקח לתקן פגיעות ידועה מספק התוכנה ליצרנים.
הנפגעים האחרונים הם מיליוני מותגי Pixel, Samsung, Xiaomi ושאר מותגי אנדרואיד
לפי Project Zero של גוגל, לאחר שהצוות גילה חמישה באגים נפרדים במנהל ההתקן של ARM Mali GPU, ARM הוציאה "מייד" תיקון ביולי ואוגוסט. עם זאת, Project Zero דיווח שכל מכשיר שהם בחנו השבוע נשאר פגיע.
https://googleprojectzero.blogspot.com/2022/11/mind-the-gap.html?m=1
"פער תיקון" (patch gap) מתאר את הזמן שלוקח לתקן פגיעות ידועה מספק התוכנה ליצרנים.
הנפגעים האחרונים הם מיליוני מותגי Pixel, Samsung, Xiaomi ושאר מותגי אנדרואיד
לפי Project Zero של גוגל, לאחר שהצוות גילה חמישה באגים נפרדים במנהל ההתקן של ARM Mali GPU, ARM הוציאה "מייד" תיקון ביולי ואוגוסט. עם זאת, Project Zero דיווח שכל מכשיר שהם בחנו השבוע נשאר פגיע.
https://googleprojectzero.blogspot.com/2022/11/mind-the-gap.html?m=1
👍3
כאיש צוות IR, שעזר לארגוני בריאות לחזור לשיגרה, אני מרגיש מחוייבות לפרסם את ההדרכה האחרונה שהFDA, בנושא אבטחת סייבר של מכשירים רפואיים עם מטופלים.
טיפים אלו מתמקדים בתקשורת עם מטופלים ומטרתם להגביר את הנוחות של הרופא בגישה לנושא זה.
https://www.youtube.com/watch?v=oxLbTPdtsLI
טיפים אלו מתמקדים בתקשורת עם מטופלים ומטרתם להגביר את הנוחות של הרופא בגישה לנושא זה.
https://www.youtube.com/watch?v=oxLbTPdtsLI
YouTube
Tips for Clinicians - Keeping Your Patients’ Connected Medical Devices Safe
The FDA provides tips to help clinicians discuss cybersecurity in connected medical devices with patients. These tips focus on communicating with patients and is aimed to increase clinician comfort in approaching this topic. For additional details on protecting…
🔥2
פייסבוק פרסמה את דו"ח האיומים לרבעון השלישי של 2022.עצרה פעולות הקשורות לתוקפים סיניים ורוסים, ושיבשה מבצע שהיה קשור לארצות הברית.
לפי Meta, המבצע שמקורו בארה"ב התמקד במדינות כמו אפגניסטן, אלג'יריה, איראן, עיראק, קזחסטן, קירגיזסטן, רוסיה, סומליה, סוריה, טג'יקיסטן, אוזבקיסטן ותימן.
הוסרו 39 חשבונות פייסבוק, 16 דפים ושתי קבוצות, וכן 26 חשבונות אינסטגרם הקשורים לפעולה זו בשל הפרת מדיניות בנושא התנהגות לא הולמת, החברה אמרה כי הקמפיין רץ למעשה על פני מספר שירותים מקוונים, כולל יוטיוב, טוויטר, טלגרם ואתרי המדיה החברתית הרוסית Odnoklassniki ו-VKontakte.
המבצע כלל פוסטים שנכתבו בעיקר בערבית, פרסית ורוסית, וסיקרו חדשות, ספורט, תרבות ואקטואליה. חלק מהפוסטים שיבחו את צבא ארה"ב בעוד שאחרים מתחו ביקורת על איראן, רוסיה וסין, כולל השפעתה של איראן במזרח התיכון, ומלחמתה של רוסיה.
נתונים שנאספו מראים שכ-22,000 חשבונות עקבו אחר דפי הפייסבוק פוגעים, ו-400 חשבונות הצטרפו לפחות לאחת מהקבוצות. כ-12,000 חשבונות אינסטגרם.
https://about.fb.com/wp-content/uploads/2022/11/Quarterly-Adversarial-Threat-Report-Q2-2022-1.pdf
לפי Meta, המבצע שמקורו בארה"ב התמקד במדינות כמו אפגניסטן, אלג'יריה, איראן, עיראק, קזחסטן, קירגיזסטן, רוסיה, סומליה, סוריה, טג'יקיסטן, אוזבקיסטן ותימן.
הוסרו 39 חשבונות פייסבוק, 16 דפים ושתי קבוצות, וכן 26 חשבונות אינסטגרם הקשורים לפעולה זו בשל הפרת מדיניות בנושא התנהגות לא הולמת, החברה אמרה כי הקמפיין רץ למעשה על פני מספר שירותים מקוונים, כולל יוטיוב, טוויטר, טלגרם ואתרי המדיה החברתית הרוסית Odnoklassniki ו-VKontakte.
המבצע כלל פוסטים שנכתבו בעיקר בערבית, פרסית ורוסית, וסיקרו חדשות, ספורט, תרבות ואקטואליה. חלק מהפוסטים שיבחו את צבא ארה"ב בעוד שאחרים מתחו ביקורת על איראן, רוסיה וסין, כולל השפעתה של איראן במזרח התיכון, ומלחמתה של רוסיה.
נתונים שנאספו מראים שכ-22,000 חשבונות עקבו אחר דפי הפייסבוק פוגעים, ו-400 חשבונות הצטרפו לפחות לאחת מהקבוצות. כ-12,000 חשבונות אינסטגרם.
https://about.fb.com/wp-content/uploads/2022/11/Quarterly-Adversarial-Threat-Report-Q2-2022-1.pdf
👍2
ארה"ב אוסרת ייבוא או מכירה של ציוד הנחשב "כסכנה בלתי מתקבלת על הדעת לביטחון הלאומי" - של הענקיות הסיניות Huawei Technologies ו-ZTE.
שתי החברות היו ברשימת חברות המהוות איום על ידי ועדת התקשורת הפדרלית (FCC), והכללים החדשים מונעים הרשאות עתידיות לציוד שלהן.
"ה-FCC מחויב להגן על הביטחון הלאומי שלנו על ידי הבטחה שציוד תקשורת לא אמין אינו מורשה לשימוש בגבולותינו", אמרה יו"ר FCC.
היא הוסיפה כי הכללים החדשים הם חלק מהעבודה השוטפת להגנה מפני איומי אבטחה.
הצו משפיע גם על חברות בנות וחברות ציוד מעקב וידאו Hangzhou Hikvision ו-Dahua Technology.
בעבר, וושינגטון אסרה על Huawei לספק מערכות ממשלתיות בארה"ב ומנעה בתוקף את השימוש בציוד שלה במגזר הפרטי, מתוך חשש שציוד Huawei עלול להיפגע על ידי המודיעין הסיני.
בשנת 2019, היא הכניסה את Huawei לרשימה שחורה של סחר ואסרה על ספקים לעשות איתה עסקים, וניתקה את החברה הסינית, ממערכת ההפעלה של גוגל לאנדרואיד.
https://www.fcc.gov/document/fcc-bans-authorizations-devices-pose-national-security-threat
שתי החברות היו ברשימת חברות המהוות איום על ידי ועדת התקשורת הפדרלית (FCC), והכללים החדשים מונעים הרשאות עתידיות לציוד שלהן.
"ה-FCC מחויב להגן על הביטחון הלאומי שלנו על ידי הבטחה שציוד תקשורת לא אמין אינו מורשה לשימוש בגבולותינו", אמרה יו"ר FCC.
היא הוסיפה כי הכללים החדשים הם חלק מהעבודה השוטפת להגנה מפני איומי אבטחה.
הצו משפיע גם על חברות בנות וחברות ציוד מעקב וידאו Hangzhou Hikvision ו-Dahua Technology.
בעבר, וושינגטון אסרה על Huawei לספק מערכות ממשלתיות בארה"ב ומנעה בתוקף את השימוש בציוד שלה במגזר הפרטי, מתוך חשש שציוד Huawei עלול להיפגע על ידי המודיעין הסיני.
בשנת 2019, היא הכניסה את Huawei לרשימה שחורה של סחר ואסרה על ספקים לעשות איתה עסקים, וניתקה את החברה הסינית, ממערכת ההפעלה של גוגל לאנדרואיד.
https://www.fcc.gov/document/fcc-bans-authorizations-devices-pose-national-security-threat
טוויטר 2.0, שצפוי להיות מה שמכונה "everything app".
מנכ"ל טוויטר אילון מאסק אישר תוכניות להצפנה מקצה לקצה (E2EE) עבור הודעות ישירות בפלטפורמה.
פלטפורמות הודעות כמו Signal, Threema, WhatsApp, iMessage, Wire, Tox ו-Keybase, כבר תומכות בהצפנה להודעות.
מאסק הוסיף כי הרשמות משתמשים חדשים לפלטפורמת המדיה החברתית נמצאות ב"שיא של כל הזמנים", בממוצע של למעלה משני מיליון ביום בשבעת הימים האחרונים נכון ל-16 בנובמבר, עלייה של 66% בהשוואה לאותו שבוע ב-2021. טוויטר יש יותר מ-253.8 מיליון משתמשים פעילים יומיים (monetizable daily active users-mDAU) הניתנים לרווחים.
הצגת המנויים החדשה אמורה להיות מושקת כבר ב-2 בדצמבר 2022, עם מערכת אימות רב צבעונית שמטרתה להעניק תגי זהב לחברות, אפור לממשלות וכחול לחשבונות בודדים.
https://www.themobileindian.com/news/twitter-2-0-heres-whats-coming
מנכ"ל טוויטר אילון מאסק אישר תוכניות להצפנה מקצה לקצה (E2EE) עבור הודעות ישירות בפלטפורמה.
פלטפורמות הודעות כמו Signal, Threema, WhatsApp, iMessage, Wire, Tox ו-Keybase, כבר תומכות בהצפנה להודעות.
מאסק הוסיף כי הרשמות משתמשים חדשים לפלטפורמת המדיה החברתית נמצאות ב"שיא של כל הזמנים", בממוצע של למעלה משני מיליון ביום בשבעת הימים האחרונים נכון ל-16 בנובמבר, עלייה של 66% בהשוואה לאותו שבוע ב-2021. טוויטר יש יותר מ-253.8 מיליון משתמשים פעילים יומיים (monetizable daily active users-mDAU) הניתנים לרווחים.
הצגת המנויים החדשה אמורה להיות מושקת כבר ב-2 בדצמבר 2022, עם מערכת אימות רב צבעונית שמטרתה להעניק תגי זהב לחברות, אפור לממשלות וכחול לחשבונות בודדים.
https://www.themobileindian.com/news/twitter-2-0-heres-whats-coming
👍1
כמעט 500 מיליון רשומות משתמשי WhatsApp נמכרו באינטרנט
מסד הנתונים מכיל נתוני משתמשי WhatsApp מ-84 מדינות כאשר למצרים יש את הנתח הגדול ביותר של מספרי טלפון גנובים (45 מיליון), איטליה עם 35 מיליון וארה"ב עם 32 מיליון.
התוקפים מוכנים למכור את מערך הנתונים בארה"ב ב-7000 דולר, את הבריטי ב-2500 דולר ואת הגרמני ב-2000 דולר.
https://www.ndtv.com/world-news/whatsapp-data-leaked-data-phone-numbers-of-500-million-whatsapp-users-leaked-up-for-sale-online-report-3558403
מסד הנתונים מכיל נתוני משתמשי WhatsApp מ-84 מדינות כאשר למצרים יש את הנתח הגדול ביותר של מספרי טלפון גנובים (45 מיליון), איטליה עם 35 מיליון וארה"ב עם 32 מיליון.
התוקפים מוכנים למכור את מערך הנתונים בארה"ב ב-7000 דולר, את הבריטי ב-2500 דולר ואת הגרמני ב-2000 דולר.
https://www.ndtv.com/world-news/whatsapp-data-leaked-data-phone-numbers-of-500-million-whatsapp-users-leaked-up-for-sale-online-report-3558403
👍1
פגיעות במחשבים ניידים של Acer מאפשרת לתוקפים להשבית את האתחול המאובטח ולעקוף הגנות אבטחה כדי להתקין תוכנות זדוניות.
הפגיעות, במעקב כ-CVE-2022-4020 (ציון CVSS של 8.1), זוהתה במנהל ההתקן HQSwSmiDxe DXE, שבודק את קיומו של המשתנה 'BootOrderSecureBootDisable' NVRAM כדי להשבית את האתחול המאובטח.
חברת Acer מסבירה שהפגיעות עשויה לאפשר לתוקף להתעסק בהגדרות אתחול מאובטח פשוט על ידי יצירת משתני NVRAM. מכיוון שמנהל הקושחה המושפע רק בודק את קיומם של המשתנים, הערך האמיתי שלהם אינו חשוב.
דגמי המכשירים המושפעים, אומרת יצרנית המחשבים, כוללים את Aspire A315-22, A115-21 ו-A315-22G, ו-Extensa EX215-21 ו-EX215-21G.
מציינים בחברה "Acer עובדת על עדכון BIOS כדי לפתור בעיה זו שתפורסם באתר התמיכה של Acer. Acer ממליצה לעדכן את ה-BIOS שלך לגרסה העדכנית ביותר כדי לפתור בעיה זו. עדכון זה ייכלל כעדכון קריטי של Windows".
https://community.acer.com/en/kb/articles/15520-security-vulnerability-regarding-vulnerability-that-may-allow-changes-to-secure-boot-settings
הפגיעות, במעקב כ-CVE-2022-4020 (ציון CVSS של 8.1), זוהתה במנהל ההתקן HQSwSmiDxe DXE, שבודק את קיומו של המשתנה 'BootOrderSecureBootDisable' NVRAM כדי להשבית את האתחול המאובטח.
חברת Acer מסבירה שהפגיעות עשויה לאפשר לתוקף להתעסק בהגדרות אתחול מאובטח פשוט על ידי יצירת משתני NVRAM. מכיוון שמנהל הקושחה המושפע רק בודק את קיומם של המשתנים, הערך האמיתי שלהם אינו חשוב.
דגמי המכשירים המושפעים, אומרת יצרנית המחשבים, כוללים את Aspire A315-22, A115-21 ו-A315-22G, ו-Extensa EX215-21 ו-EX215-21G.
מציינים בחברה "Acer עובדת על עדכון BIOS כדי לפתור בעיה זו שתפורסם באתר התמיכה של Acer. Acer ממליצה לעדכן את ה-BIOS שלך לגרסה העדכנית ביותר כדי לפתור בעיה זו. עדכון זה ייכלל כעדכון קריטי של Windows".
https://community.acer.com/en/kb/articles/15520-security-vulnerability-regarding-vulnerability-that-may-allow-changes-to-secure-boot-settings
👍2
קבוצת Meta נקנסה ב-265 מיליון אירו (275.5 מיליון דולר) על ידי DPC על הפרות GDPR בגין דליפת מידע של פייסבוק בשנת 2021 שחשפה מידע על 533 מיליון משתמשים.
הנתונים שנחשפו כללו מידע אישי, כגון מספרי סלולר, מזהי פייסבוק, שמות, מגדרים, מיקומים, סטטוסים של מערכת יחסים, עיסוקים, תאריכי לידה וכתובות דוא"ל.
פייסבוק, אמרה שהתוקפים ניצולו פגם בכלי "Contact Importer" כדי לשייך מספרי טלפון למזהה פייסבוק ואז לבנות פרופיל עבור המשתמש.
הפלטפורמה אמרה שהם תיקנו את הבאג ב-2019, והנתונים נאספו לפני כן.
החקירה של DPC הגיעה למסקנה כי Meta (אז פייסבוק) הפרה את סעיפים 25(1) ו-25(2) של ה-GDPR
ה-DPC נחשב לחוד החנית בתאימות ל-GDPR באיחוד האירופי בשל חברות טכנולוגיה רבות הפועלות מאירלנד.
https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-in-facebook-data-scraping-inquiry
הנתונים שנחשפו כללו מידע אישי, כגון מספרי סלולר, מזהי פייסבוק, שמות, מגדרים, מיקומים, סטטוסים של מערכת יחסים, עיסוקים, תאריכי לידה וכתובות דוא"ל.
פייסבוק, אמרה שהתוקפים ניצולו פגם בכלי "Contact Importer" כדי לשייך מספרי טלפון למזהה פייסבוק ואז לבנות פרופיל עבור המשתמש.
הפלטפורמה אמרה שהם תיקנו את הבאג ב-2019, והנתונים נאספו לפני כן.
החקירה של DPC הגיעה למסקנה כי Meta (אז פייסבוק) הפרה את סעיפים 25(1) ו-25(2) של ה-GDPR
ה-DPC נחשב לחוד החנית בתאימות ל-GDPR באיחוד האירופי בשל חברות טכנולוגיה רבות הפועלות מאירלנד.
https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-in-facebook-data-scraping-inquiry
👍1
גוגל הודיעה על Chrome 108 עם תיקונים ל-28 פגיעויות, כמתוכם 22 שדווחו על ידי חוקרים חיצוניים.
החמור ביותר מבין הבאגים הללו, היא CVE-2022-4174, בעיה במנוע V8 JavaScript של דפדפן האינטרנט, וזיכתה את חוקר בפרס של 15,000 דולר.
העדכון Chrome יוצאת כעת כגרסה 108.0.5359.71 עבור Mac ו-Linux וכגרסה 108.0.5359.71/72 עבור Windows.
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_29.html?m=1
החמור ביותר מבין הבאגים הללו, היא CVE-2022-4174, בעיה במנוע V8 JavaScript של דפדפן האינטרנט, וזיכתה את חוקר בפרס של 15,000 דולר.
העדכון Chrome יוצאת כעת כגרסה 108.0.5359.71 עבור Mac ו-Linux וכגרסה 108.0.5359.71/72 עבור Windows.
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_29.html?m=1
👍3
האקרים זורקים מידע שאספו מ- Medibank, ומכריזים 'התיק סגור'
התוקפים שפרצו למדיבנק ביקשו כופר של 9.7 מיליון דולר כדי לא לפרסם את המידע, בחשבון סנדלרים דולר לכל לקוח בחברה, בניהם ראש ממשלת אוסטרליה.
אחרי מדיבנק סירבה לשלם על פי דרישת הממשלה, פרסמו את כל הנתונים באינטרנט, במקביל ליום אבטחת המחשב הבינלאומי.
"יום אבטחת סייבר שמח", הם כתבו.
החשד שמבצעי התקיפה כנראה קשורים לקבוצה הרוסית REvil
שרי ממשלת אוסטרליה כינו את ההאקרים באופן שונה "זבל", "פושעים מלוכלכים" ו"חמולי זהב גנוב".
https://www.rfi.fr/en/business-and-tech/20221201-hackers-dump-australian-health-data-online-declare-case-closed
התוקפים שפרצו למדיבנק ביקשו כופר של 9.7 מיליון דולר כדי לא לפרסם את המידע, בחשבון סנדלרים דולר לכל לקוח בחברה, בניהם ראש ממשלת אוסטרליה.
אחרי מדיבנק סירבה לשלם על פי דרישת הממשלה, פרסמו את כל הנתונים באינטרנט, במקביל ליום אבטחת המחשב הבינלאומי.
"יום אבטחת סייבר שמח", הם כתבו.
החשד שמבצעי התקיפה כנראה קשורים לקבוצה הרוסית REvil
שרי ממשלת אוסטרליה כינו את ההאקרים באופן שונה "זבל", "פושעים מלוכלכים" ו"חמולי זהב גנוב".
https://www.rfi.fr/en/business-and-tech/20221201-hackers-dump-australian-health-data-online-declare-case-closed
🔥1