אפליקציית ChatGPT מדהימה בפונקציונליות שלה ?
הפיתוח החדש בגיבוי של מיקרוסופט, מסעיר טכנולוגית בתחום הבינה המלאכותית, מערכת למידת מכונה שיכולות ליצור באופן אוטומטי טקסט, סרטונים, תמונות ומדיה אחרת.
צ'טבוט AI יכול לנהל שיחות עם אנשים המחקים סגנונות כתיבה שונים, הוא הוכשר על כמות עצומה של נתוני טקסט שהתקבלו מהאינטרנט, ספרים בארכיון וויקיפדיה.
פריצה סייבר בעזרת ChatGPT:
צוות המחקר ניסה להשתמש ב-ChatGPT כדי לעזור להם למצוא נקודות התורפה באתר אינטרנט.
חוקרים שאלו שאלות ועקבו אחר ההנחיות של AI, בניסיון לבדוק אם הצ'אטבוט יכול לספק מדריך שלב אחר שלב לניצול הפגיעות, החוקרים השתמשו בפלטפורמת ההדרכה בנושא אבטחת סייבר 'Hack the Box' עבור הניסוי.
הצוות פנה ל-ChatGPT על ידי הסבר שהם עושים אתגר בדיקות חדירה.
הפגיעויות שהתגלו יכולות לעזור לארגונים לחזק את אבטחת המערכות שלהם.
https://cybernews.com/security/hackers-exploit-chatgpt/
הפיתוח החדש בגיבוי של מיקרוסופט, מסעיר טכנולוגית בתחום הבינה המלאכותית, מערכת למידת מכונה שיכולות ליצור באופן אוטומטי טקסט, סרטונים, תמונות ומדיה אחרת.
צ'טבוט AI יכול לנהל שיחות עם אנשים המחקים סגנונות כתיבה שונים, הוא הוכשר על כמות עצומה של נתוני טקסט שהתקבלו מהאינטרנט, ספרים בארכיון וויקיפדיה.
פריצה סייבר בעזרת ChatGPT:
צוות המחקר ניסה להשתמש ב-ChatGPT כדי לעזור להם למצוא נקודות התורפה באתר אינטרנט.
חוקרים שאלו שאלות ועקבו אחר ההנחיות של AI, בניסיון לבדוק אם הצ'אטבוט יכול לספק מדריך שלב אחר שלב לניצול הפגיעות, החוקרים השתמשו בפלטפורמת ההדרכה בנושא אבטחת סייבר 'Hack the Box' עבור הניסוי.
הצוות פנה ל-ChatGPT על ידי הסבר שהם עושים אתגר בדיקות חדירה.
הפגיעויות שהתגלו יכולות לעזור לארגונים לחזק את אבטחת המערכות שלהם.
https://cybernews.com/security/hackers-exploit-chatgpt/
😱5
אפליקציית WhatsApp השיקה תמיכה בשרתי פרוקסי בגרסה העדכנית ביותר של אפליקציות האנדרואיד וה-iOS שלה, ומאפשרת למשתמשים לעקוף את הצנזורה וההשבתות האינטרנט שהוטלו על ידי הממשלות.
"בחירת פרוקסי מאפשרת לך להתחבר ל-WhatsApp דרך שרתים שהוגדרו על ידי מתנדבים וארגונים ברחבי העולם המוקדשים לעזור לאנשים לתקשר בחופשיות", אמרה חברת Meta.
https://blog.whatsapp.com/connecting-to-whatsapp-by-proxy
"בחירת פרוקסי מאפשרת לך להתחבר ל-WhatsApp דרך שרתים שהוגדרו על ידי מתנדבים וארגונים ברחבי העולם המוקדשים לעזור לאנשים לתקשר בחופשיות", אמרה חברת Meta.
https://blog.whatsapp.com/connecting-to-whatsapp-by-proxy
👍3
חוקרים מצאו שקל באופן מפתיע להעלות הרחבות זדוניות של Visual Studio Code ל- VSCode Marketplace, וגילו סימנים של תוקפים שכבר מנצלים את החולשה הזו.
אפליקצית Visual Studio Code (VSC) הוא עורך קוד מקור של Microsoft ומשמש כ-70% ממפתחי תוכנה מקצועיים ברחבי העולם.
מיקרוסופט מפעילה גם שוק הרחבות עבור ה-IDE, הנקרא VSCode Marketplace, המציע תוספות המרחיבות את הפונקציונליות של האפליקציה ומספקות אפשרויות נוספות להתאמה אישית, לחלק מההרחבות הללו יש עשרות מיליוני הורדות, כך שאם הייתה דרך קלה לזייף אותן בפלטפורמה, תוקפים יכלו להשיג במהירות מספר מכובד של קורבנות.
https://blog.aquasec.com/can-you-trust-your-vscode-extensions
אפליקצית Visual Studio Code (VSC) הוא עורך קוד מקור של Microsoft ומשמש כ-70% ממפתחי תוכנה מקצועיים ברחבי העולם.
מיקרוסופט מפעילה גם שוק הרחבות עבור ה-IDE, הנקרא VSCode Marketplace, המציע תוספות המרחיבות את הפונקציונליות של האפליקציה ומספקות אפשרויות נוספות להתאמה אישית, לחלק מההרחבות הללו יש עשרות מיליוני הורדות, כך שאם הייתה דרך קלה לזייף אותן בפלטפורמה, תוקפים יכלו להשיג במהירות מספר מכובד של קורבנות.
https://blog.aquasec.com/can-you-trust-your-vscode-extensions
🤔1
לפושעי סייבר יש טריק חדש בשרוול מבית OpenAI בשם ChatGPT.
תוקפים עושים שימוש לרעה ב-ChatGPT לבניית כלי פריצה על פי דיווח של חברת צ'ק פוינט, האקרים משתמשים ב-ChatGPT כדי לפתח כלי פריצה רבי עוצמה וליצור צ'טבוטים חדשים שנועדו לחקות נערות צעירות לפתות מטרות, לקודד תוכנות זדוניות שיכולות לנטר את לחיצות המקלדת של המשתמשים וליצור תוכנות כופר ופרסונות משכנעות, כדי לזכות באמון ולנהל שיחות ארוכות יותר עם המטרות שלהן.
באחד המקרים, האקר שיתף קוד תוכנה זדונית אנדרואיד שנכתב על ידי ChatGPT, שיכול לגנוב קבצים רצויים, לדחוס אותם ולהדליף אותם באינטרנט.
https://research.checkpoint.com/2022/opwnai-ai-that-can-save-the-day-or-hack-it-away/
תוקפים עושים שימוש לרעה ב-ChatGPT לבניית כלי פריצה על פי דיווח של חברת צ'ק פוינט, האקרים משתמשים ב-ChatGPT כדי לפתח כלי פריצה רבי עוצמה וליצור צ'טבוטים חדשים שנועדו לחקות נערות צעירות לפתות מטרות, לקודד תוכנות זדוניות שיכולות לנטר את לחיצות המקלדת של המשתמשים וליצור תוכנות כופר ופרסונות משכנעות, כדי לזכות באמון ולנהל שיחות ארוכות יותר עם המטרות שלהן.
באחד המקרים, האקר שיתף קוד תוכנה זדונית אנדרואיד שנכתב על ידי ChatGPT, שיכול לגנוב קבצים רצויים, לדחוס אותם ולהדליף אותם באינטרנט.
https://research.checkpoint.com/2022/opwnai-ai-that-can-save-the-day-or-hack-it-away/
👍1
חברת הסייבר צ'ק פוינט מרחיבה שותפות עם אינטל כדי לספק הגנה ברמת החומרה מפני אחד מאיומי האבטחה הנפוצים ביותר כיום - תוכנות כופר.
השת"פ של החברות כרוך בשילוב Check Point Harmony Endpoint עם הבינה המלאכותית של Intel vPro וטכנולוגיית איומים מונעת למידת מכונה, האינטגרציה תאפשר ל-Harmony Endpoint לנתח טלמטריית CPU ולזהות פקודות הצפנת תוכנות כופר בשלב מוקדם של תחילת המתקפה
לפי ה-The State of Ransomware in the US: Report and Statistics 2022 של Emsisoft, יותר מ-200 ארגונים במגזר הציבורי בארה"ב (ממשלה, חינוך ובריאות) היו ממוקדים.
https://www.checkpoint.com/press-releases/check-point-software-technologies-enhances-endpoint-security-with-intel-vpro-platform/#
השת"פ של החברות כרוך בשילוב Check Point Harmony Endpoint עם הבינה המלאכותית של Intel vPro וטכנולוגיית איומים מונעת למידת מכונה, האינטגרציה תאפשר ל-Harmony Endpoint לנתח טלמטריית CPU ולזהות פקודות הצפנת תוכנות כופר בשלב מוקדם של תחילת המתקפה
לפי ה-The State of Ransomware in the US: Report and Statistics 2022 של Emsisoft, יותר מ-200 ארגונים במגזר הציבורי בארה"ב (ממשלה, חינוך ובריאות) היו ממוקדים.
https://www.checkpoint.com/press-releases/check-point-software-technologies-enhances-endpoint-security-with-intel-vpro-platform/#
👍1
מיקרוסופט מסיימת את עדכוני האבטחה המורחבים של Windows 7 ביום שלישי, 10 בינואר 2023.
מהדורות Windows 7 Professional ו-Enterprise לא יקבלו עוד עדכוני אבטחה מורחבים עבור פרצות קריטיות ודברים חשובים.
"רוב מכשירי Windows 7 לא יעמדו בדרישות החומרה לשדרוג ל-Windows 11, כחלופה, ניתן לשדרג מחשבי Windows 7 תואמים ל-Windows 10 על ידי רכישה והתקנה של גרסה מלאה של התוכנה", מסבירה מיקרוסופט.
לפני השקעה בשדרוג של Windows 10, אנא קחו בחשבון ש-Windows 10 יגיע לתאריך סיום התמיכה ב-14 באוקטובר 2025.
מיקרוסופט ממליצה ללקוחות עם מכשירים שאינם עומדים בדרישות הטכניות של מהדורת Windows עדכנית יותר להחליף אותם במכשירים התומכים ב-Windows 11 כדי לנצל את יכולות החומרה העדכניות ביותר.
https://learn.microsoft.com/en-gb/lifecycle/products/windows-7
מהדורות Windows 7 Professional ו-Enterprise לא יקבלו עוד עדכוני אבטחה מורחבים עבור פרצות קריטיות ודברים חשובים.
"רוב מכשירי Windows 7 לא יעמדו בדרישות החומרה לשדרוג ל-Windows 11, כחלופה, ניתן לשדרג מחשבי Windows 7 תואמים ל-Windows 10 על ידי רכישה והתקנה של גרסה מלאה של התוכנה", מסבירה מיקרוסופט.
לפני השקעה בשדרוג של Windows 10, אנא קחו בחשבון ש-Windows 10 יגיע לתאריך סיום התמיכה ב-14 באוקטובר 2025.
מיקרוסופט ממליצה ללקוחות עם מכשירים שאינם עומדים בדרישות הטכניות של מהדורת Windows עדכנית יותר להחליף אותם במכשירים התומכים ב-Windows 11 כדי לנצל את יכולות החומרה העדכניות ביותר.
https://learn.microsoft.com/en-gb/lifecycle/products/windows-7
👍3
סטודנט למדעי המחשב ועיתונאות, יצר כלי בשם GPTZero, שבודק אם טקסט נכתב על ידי בוט או אדם.
המוטיבציה העיקרית שלו ליצור את הכלי הייתה ההייפ סביב ChatGPT כמו גם זכות האדם לדעת אם טקסטים נכתבו על ידי אדם אחר או מחשב. "האם מורים בתיכון ירצו שתלמידים המשתמשים ב-ChatGPT יכתבו את מאמרי ההיסטוריה שלהם? כנראה שלא", ציין הסטודנט.
דיוק הכלי עדיין מוטל בספק. משתמש אחד בטוויטר אמר שהם בדקו טקסט שנוצר על ידי בינה מלאכותית ב-GPTZero, אבל הכלי זיהה אותו כנוצר אנושי. הסטודנט הודה שההמצאה שלו היא עבודה בתהליך: "זה עדיין רק עכשיו, אבל [אני] אשקיע את השבועות הקרובים בשיפור המודל והניתוח."
https://www.yahoo.com/lifestyle/princeton-student-built-app-detect-104634519.html?guccounter=1&guce_referrer=aHR0cHM6Ly93d3cuYmluZy5jb20v&guce_referrer_sig=AQAAAIRUaPPsHezxeBu-TCPJSfp667UC0-YRgA5vjOIlSRzPYPMerSImseTBMIj_EvhYVYGBXqnfrNlOntJ9lMieI96FbwmHCzuH6hU9-q7r3Pnfh-VaoiNtqR1ShME26sUPW84VaOz6a2jnyY7ceSrpGPhTLXaUrdm5Q7grBKxDKPLB
המוטיבציה העיקרית שלו ליצור את הכלי הייתה ההייפ סביב ChatGPT כמו גם זכות האדם לדעת אם טקסטים נכתבו על ידי אדם אחר או מחשב. "האם מורים בתיכון ירצו שתלמידים המשתמשים ב-ChatGPT יכתבו את מאמרי ההיסטוריה שלהם? כנראה שלא", ציין הסטודנט.
דיוק הכלי עדיין מוטל בספק. משתמש אחד בטוויטר אמר שהם בדקו טקסט שנוצר על ידי בינה מלאכותית ב-GPTZero, אבל הכלי זיהה אותו כנוצר אנושי. הסטודנט הודה שההמצאה שלו היא עבודה בתהליך: "זה עדיין רק עכשיו, אבל [אני] אשקיע את השבועות הקרובים בשיפור המודל והניתוח."
https://www.yahoo.com/lifestyle/princeton-student-built-app-detect-104634519.html?guccounter=1&guce_referrer=aHR0cHM6Ly93d3cuYmluZy5jb20v&guce_referrer_sig=AQAAAIRUaPPsHezxeBu-TCPJSfp667UC0-YRgA5vjOIlSRzPYPMerSImseTBMIj_EvhYVYGBXqnfrNlOntJ9lMieI96FbwmHCzuH6hU9-q7r3Pnfh-VaoiNtqR1ShME26sUPW84VaOz6a2jnyY7ceSrpGPhTLXaUrdm5Q7grBKxDKPLB
😁2
אפליקציית GitHub מוסיפה עוד פיתוח שמקל על סריקת הקוד לאיתור נקודות תורפה
הפיתוח ש-GitHub הציגה אפשרות חדשה להגדרת סריקת קוד עבור מאגר המכונה "הגדרת ברירת מחדל", שנועדה לעזור למפתחים להגדיר אותו באופן אוטומטי.
בעוד שמנוע ניתוח הקוד של CodeQL, שמפעיל את סריקת הקוד של GitHub, מגיע עם תמיכה בשפות רבות, האפשרות החדשה מופיעה רק עבור מאגרי Python, JavaScript ו-Ruby.
כדי להשתמש באפשרות ההגדרה החדשה של סריקת קוד, עליך לעבור ל"אבטחת קוד וניתוח" בהגדרות ה-Repo, ללחוץ על התפריט הנפתח "הגדר" ולבחור באפשרות ברירת מחדל.
לאחר לחיצה על "הפעל CodeQL", סריקת קוד תתחיל לחפש נקודות תורפה ב-repo כדי לעזור לך לתקן את הפגמים שהוא מוצא וליצור תוכנה מאובטחת יותר.
מנוע ניתוח הקוד CodeQL נוסף ליכולות של פלטפורמת GitHub כדי למצוא בעיות אבטחה, כולל ביצוע קוד מרחוק (RCE), הזרקת SQL ופגמים ב-Criting Cross-sites (XSS).
https://codeql.github.com/docs/codeql-overview/supported-languages-and-frameworks/#languages-and-compilers
הפיתוח ש-GitHub הציגה אפשרות חדשה להגדרת סריקת קוד עבור מאגר המכונה "הגדרת ברירת מחדל", שנועדה לעזור למפתחים להגדיר אותו באופן אוטומטי.
בעוד שמנוע ניתוח הקוד של CodeQL, שמפעיל את סריקת הקוד של GitHub, מגיע עם תמיכה בשפות רבות, האפשרות החדשה מופיעה רק עבור מאגרי Python, JavaScript ו-Ruby.
כדי להשתמש באפשרות ההגדרה החדשה של סריקת קוד, עליך לעבור ל"אבטחת קוד וניתוח" בהגדרות ה-Repo, ללחוץ על התפריט הנפתח "הגדר" ולבחור באפשרות ברירת מחדל.
לאחר לחיצה על "הפעל CodeQL", סריקת קוד תתחיל לחפש נקודות תורפה ב-repo כדי לעזור לך לתקן את הפגמים שהוא מוצא וליצור תוכנה מאובטחת יותר.
מנוע ניתוח הקוד CodeQL נוסף ליכולות של פלטפורמת GitHub כדי למצוא בעיות אבטחה, כולל ביצוע קוד מרחוק (RCE), הזרקת SQL ופגמים ב-Criting Cross-sites (XSS).
https://codeql.github.com/docs/codeql-overview/supported-languages-and-frameworks/#languages-and-compilers
❤1
ליקוי אבטחה בחומרה גבוהה נחשף בספריית הקוד הפתוח jsonwebtoken (JWT) שאם מנוצל בהצלחה, עלול להוביל לביצוע קוד מרחוק בשרת יעד.
פרוטוקול jsonwebtoken, אשר פותח ומתוחזק על ידי Auth0 של Okta, הוא מודול JavaScript המאפשר למשתמשים לפענח, לאמת ולייצר אסימוני אינטרנט של JSON כאמצעי להעברת מידע מאובטח בין שני צדדים לצורך הרשאה ואימות.
הבעיה מלווה כ-CVE-2022-23529 (ציון CVSS: 7.6), משפיעה על כל הגרסאות של הספרייה, כולל ומטה 8.5.1, וטופלה בגרסה 9.0.0 מתאריך ה-21 בדצמבר 2022.
https://unit42.paloaltonetworks.com/jsonwebtoken-vulnerability-cve-2022-23529/
פרוטוקול jsonwebtoken, אשר פותח ומתוחזק על ידי Auth0 של Okta, הוא מודול JavaScript המאפשר למשתמשים לפענח, לאמת ולייצר אסימוני אינטרנט של JSON כאמצעי להעברת מידע מאובטח בין שני צדדים לצורך הרשאה ואימות.
הבעיה מלווה כ-CVE-2022-23529 (ציון CVSS: 7.6), משפיעה על כל הגרסאות של הספרייה, כולל ומטה 8.5.1, וטופלה בגרסה 9.0.0 מתאריך ה-21 בדצמבר 2022.
https://unit42.paloaltonetworks.com/jsonwebtoken-vulnerability-cve-2022-23529/
👍1🔥1
מסע פרסום עצום המשתמש ביותר מ-1,300 דומיינים כדי להתחזות לאתר הרשמי של AnyDesk יוצא לדרך, כולם מנותבים מחדש לתיקיית Dropbox שדוחפת לאחרונה את תוכנת זדונית גניבת מידע של Vidar.
כל האתרים מובילים ל-Vidar Stealer
בקמפיין החדש שהתגלה, האתרים הפיצו קובץ ZIP בשם AnyDeskDownload.zip
שהתיימר להיות מתקין של תוכנת AnyDesk.
כאשר היא מותקנת, התוכנה הזדונית תגנוב את היסטוריית הדפדפן של הקורבנות, אישורי חשבון, סיסמאות שמורות, נתוני ארנק קריפטו, מידע בנקאי ונתונים רגישים אחרים.
הנתונים האלה נשלחים בחזרה לתוקפים, שעלולים להשתמש בהם לפעילות זדונית נוספת או למכור אותם לגורמי איומים אחרים.
כל האתרים מובילים ל-Vidar Stealer
בקמפיין החדש שהתגלה, האתרים הפיצו קובץ ZIP בשם AnyDeskDownload.zip
שהתיימר להיות מתקין של תוכנת AnyDesk.
כאשר היא מותקנת, התוכנה הזדונית תגנוב את היסטוריית הדפדפן של הקורבנות, אישורי חשבון, סיסמאות שמורות, נתוני ארנק קריפטו, מידע בנקאי ונתונים רגישים אחרים.
הנתונים האלה נשלחים בחזרה לתוקפים, שעלולים להשתמש בהם לפעילות זדונית נוספת או למכור אותם לגורמי איומים אחרים.
👍4
חברת בריאות הנפש KoKo סיפקה ייעוץ בכתב AI ל-4,000 אנשים מבלי ליידע אותם.
ניסוי שכלל 30,000 הודעות, ברגע שאדם במצוקה מקליד את ההודעה שלו, הוא מועבר ל OpenAI כדי לספק מענה. התוכנית המופעלת על ידי בינה מלאכותית מסוגלת לכתוב כל דבר משירים ועד קוד ולספק תגובות ברורות במגוון נושאים.
שלמרות שהודעות שנכתבו על ידי AI דורגו גבוה יותר מאלה שנכתבו על ידי בני אדם, המשתמשים לא היו נוחים עם חוסר החמלה והאמפתיה האמיתית שהביע רובוט.
"ייתכן גם שאמפתיה אמיתית היא דבר אחד שאנו בני האדם יכולים להעריך כדבר ייחודי משלנו. אולי זה הדבר היחיד שאנחנו עושים ש-AI לא יכול להחליף לעולם", אמרה החברה.
משתמשי טוויטר השיבו לשרשור בביקורת על האופי הלא אתי של הניסוי. הם טענו שזה מטבעו מפר את האמנה החברתית בין מטפל למשתמש, מפר את האמון וגורם למבקשי עזרה להרגיש "דה-הומניזציה".
https://www.ndtv.com/feature/mental-health-app-koko-tested-ai-chatbot-on-users-faces-backlash-3680790
ניסוי שכלל 30,000 הודעות, ברגע שאדם במצוקה מקליד את ההודעה שלו, הוא מועבר ל OpenAI כדי לספק מענה. התוכנית המופעלת על ידי בינה מלאכותית מסוגלת לכתוב כל דבר משירים ועד קוד ולספק תגובות ברורות במגוון נושאים.
שלמרות שהודעות שנכתבו על ידי AI דורגו גבוה יותר מאלה שנכתבו על ידי בני אדם, המשתמשים לא היו נוחים עם חוסר החמלה והאמפתיה האמיתית שהביע רובוט.
"ייתכן גם שאמפתיה אמיתית היא דבר אחד שאנו בני האדם יכולים להעריך כדבר ייחודי משלנו. אולי זה הדבר היחיד שאנחנו עושים ש-AI לא יכול להחליף לעולם", אמרה החברה.
משתמשי טוויטר השיבו לשרשור בביקורת על האופי הלא אתי של הניסוי. הם טענו שזה מטבעו מפר את האמנה החברתית בין מטפל למשתמש, מפר את האמון וגורם למבקשי עזרה להרגיש "דה-הומניזציה".
https://www.ndtv.com/feature/mental-health-app-koko-tested-ai-chatbot-on-users-faces-backlash-3680790
אמנת פשעי סייבר של האו"ם ?
האו"ם הגיע לחצי הדרך בתהליך המשא ומתן על אמנת פשעי הסייבר שלו, כדי להגביר את שיתוף הפעולה הבינלאומי.
יסודות האמנה הבינלאומית הם מניעת שימוש בטכנולוגיות מידע ותקשורת למטרות פליליות עם שיתוף פעולה בינלאומי על ידי רשויות אכיפת החוק יחד עם זכויות אדם והגנות פרוצדורליות.
והיא תתבסס על אמנת בודפשט הקיימת, שאומצה על ידי 67 מדינות, שמטרתה להתמודד עם פשעי סייבר כגון גישה בלתי חוקית למערכת מחשב, הונאה וזיוף נתונים בלתי חוקי על ידי שיתוף פעולה בינלאומי.
https://www.unodc.org/unodc/en/cybercrime/index.html
האו"ם הגיע לחצי הדרך בתהליך המשא ומתן על אמנת פשעי הסייבר שלו, כדי להגביר את שיתוף הפעולה הבינלאומי.
יסודות האמנה הבינלאומית הם מניעת שימוש בטכנולוגיות מידע ותקשורת למטרות פליליות עם שיתוף פעולה בינלאומי על ידי רשויות אכיפת החוק יחד עם זכויות אדם והגנות פרוצדורליות.
והיא תתבסס על אמנת בודפשט הקיימת, שאומצה על ידי 67 מדינות, שמטרתה להתמודד עם פשעי סייבר כגון גישה בלתי חוקית למערכת מחשב, הונאה וזיוף נתונים בלתי חוקי על ידי שיתוף פעולה בינלאומי.
https://www.unodc.org/unodc/en/cybercrime/index.html
פגיעות (CVE-2022-42475) ב-FortiOS SSL-VPN נוצלה על ידי האקרים כ"יום אפס" לתקוף ממשלות וארגונים גדולים לפני שפורטינט תיקנה אותה.
https://thehackernews.com/2023/01/fortios-flaw-exploited-as-zero-day-in.html
https://thehackernews.com/2023/01/fortios-flaw-exploited-as-zero-day-in.html
10 הבאגים המובילים בסקירת קוד שנמצאו בפרויקטים של C++ בשנת 2022
• מקום עשירי: טעות הקלדה קלאסית
• מקום תשיעי: איפה היינו בלי חפיפת מערך
• מקום שמיני: דוגמה ברורה ל-null pointer dereference
• מקום שביעי: לומדים לספור עד שבע
• מקום שישי: זריקת חריגה מפונקציית noexcept
• מקום חמישי: עבודה לא נכונה עם זיכרון דינמי
• מקום רביעי: כוחו של ביצוע סימבולי
• מקום שלישי: הממ, איך אנחנו אוהבים std::optional<T*>
• מקום שני: שימוש לא נכון בדגל
• מקום ראשון: PVS-Studio מונע שינויי קוד !
https://pvs-studio.com/en/blog/posts/cpp/1021
• מקום עשירי: טעות הקלדה קלאסית
• מקום תשיעי: איפה היינו בלי חפיפת מערך
• מקום שמיני: דוגמה ברורה ל-null pointer dereference
• מקום שביעי: לומדים לספור עד שבע
• מקום שישי: זריקת חריגה מפונקציית noexcept
• מקום חמישי: עבודה לא נכונה עם זיכרון דינמי
• מקום רביעי: כוחו של ביצוע סימבולי
• מקום שלישי: הממ, איך אנחנו אוהבים std::optional<T*>
• מקום שני: שימוש לא נכון בדגל
• מקום ראשון: PVS-Studio מונע שינויי קוד !
https://pvs-studio.com/en/blog/posts/cpp/1021
😢1
הסבב הראשון של Juniper Networks לשנת 2023 מכסה מאות נקודות תורפה שתוקנו.
32 עדכונים שמכסים יותר מ-230 פרצות, כ-200 מהן משפיעות על רכיבי צד שלישי.
בערך שני תריסר נקודות תורפה של Junos OS תוקנה על ידי החברה. ניתן למנף את כולם למתקפות מניעת שירות (DoS), ואת רובן ניתן לנצל על ידי תוקפים לא מאומתים שיש להם גישה לרשת למכשיר הממוקד.
אין שום אינדיקציה לכך שאחת מהפגיעות הללו נוצלה בפועל.
הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) המליצה לארגונים לבחון את העצות של ג'וניפר ולנקוט פעולה לפי הצורך
https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=%40sfcec_community_publish_date_formula__c%20descending&f:ctype=[Security%20Advisories]
32 עדכונים שמכסים יותר מ-230 פרצות, כ-200 מהן משפיעות על רכיבי צד שלישי.
בערך שני תריסר נקודות תורפה של Junos OS תוקנה על ידי החברה. ניתן למנף את כולם למתקפות מניעת שירות (DoS), ואת רובן ניתן לנצל על ידי תוקפים לא מאומתים שיש להם גישה לרשת למכשיר הממוקד.
אין שום אינדיקציה לכך שאחת מהפגיעות הללו נוצלה בפועל.
הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) המליצה לארגונים לבחון את העצות של ג'וניפר ולנקוט פעולה לפי הצורך
https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=%40sfcec_community_publish_date_formula__c%20descending&f:ctype=[Security%20Advisories]
👍2
טסלה, יחד עם ארגוני Pwn2Own Zero Day Initiative, מציעים פרס כספי בסך 600,000 דולר למי שמסוגל לניצול חולשות במערכות המכונית כדי להשיג שליטה.
המארגנים מחפשים יתרונות המכוונים לרכיבי הטיונר, ה-Wi-Fi, ה-Bluetooth או המודם של טסלה. האקרים חייבים להפגין ציר ביניים מוצלח למערכת המידע והבידור של הרכב ולהפעיל קוד נגד VCSEC, Gateway או טייס אוטומטי.
המארגנים מאמינים שניצול השתלטות שלם על רכב הוא משימה קשה. "קשה לבטא את המורכבות של השלמת הפגנה כזו, אבל אנחנו בהחלט מקווים שמישהו יוכל להראות את כישורי הניצול שלו ולנצח".
https://www.baypayforum.com/news/security-news/tesla-returns-as-pwn2own-hacker-takeover-target
המארגנים מחפשים יתרונות המכוונים לרכיבי הטיונר, ה-Wi-Fi, ה-Bluetooth או המודם של טסלה. האקרים חייבים להפגין ציר ביניים מוצלח למערכת המידע והבידור של הרכב ולהפעיל קוד נגד VCSEC, Gateway או טייס אוטומטי.
המארגנים מאמינים שניצול השתלטות שלם על רכב הוא משימה קשה. "קשה לבטא את המורכבות של השלמת הפגנה כזו, אבל אנחנו בהחלט מקווים שמישהו יוכל להראות את כישורי הניצול שלו ולנצח".
https://www.baypayforum.com/news/security-news/tesla-returns-as-pwn2own-hacker-takeover-target
משרד ההגנה האמריקני (DoD) Department of Defense מתכונן להשיק את הפרק השלישי של תוכנית הבאונטי 'Hack the Pentagon' שלו, שתתמקד ברשת ה-Friture Related Controls System (FRCS).
ה-FRCS של DoD כולל מערכות בקרה המשמשות לניטור ובקרה של ציוד ומערכות הקשורות למתקני נדל"ן, כגון HVAC, שירותים, מערכות אבטחה פיזיות ומערכות אש ובטיחות.
"המטרה הכוללת היא להשיג תמיכה ממאגר של חוקרי אבטחת מידע חדשניים באמצעות מיקור המונים לפעילויות גילוי, תיאום וחשיפה של נקודות תורפה ולהעריך את מצב אבטחת הסייבר הנוכחי של רשת FRCS, לזהות חולשות ופגיעויות, ולספק המלצות לשיפור ולחיזוק העמדה הביטחונית הכוללת"
https://sam.gov/opp/be855762a82543bcba2a4eac18b7202f/view
ה-FRCS של DoD כולל מערכות בקרה המשמשות לניטור ובקרה של ציוד ומערכות הקשורות למתקני נדל"ן, כגון HVAC, שירותים, מערכות אבטחה פיזיות ומערכות אש ובטיחות.
"המטרה הכוללת היא להשיג תמיכה ממאגר של חוקרי אבטחת מידע חדשניים באמצעות מיקור המונים לפעילויות גילוי, תיאום וחשיפה של נקודות תורפה ולהעריך את מצב אבטחת הסייבר הנוכחי של רשת FRCS, לזהות חולשות ופגיעויות, ולספק המלצות לשיפור ולחיזוק העמדה הביטחונית הכוללת"
https://sam.gov/opp/be855762a82543bcba2a4eac18b7202f/view
בוקר טוב, יום שלישי פעמיים כי טוב !!
להלן המשרות כמו שביקשתם, טווח השכר לרוב המשרות מעל 25K, תהנו..
מיישמ/ת הגנת סייבר אפליקטיבי/ת לארגון ביטחוני באזור המרכז ß https://tinyurl.com/2f3eelg3?latest
מנהל/ת אבטחת מידע CISO לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2jttvvgr?latest
יועצ/ת אבטחת מידע וסייבר לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2g2hfqll?latest
איש/ת סיסטם מנוסה לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2kwwa2ac?latest
איש/ת סיסטם בכיר לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2fpz9dgm?latest
אחראי תחום תפעול ותשתיות לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2zu3tb9z?latest
איש תקשורת ורשתות מנוסה לארגון ביטחוני באזור ירושלים ß https://tinyurl.com/2hvxktd8?latest
איש תקשורת ואבטחת מידע מנוסה לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2ptemsam?latest
איש/ת DevSecOps לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2h3rgwj4?latest
איש/ת סיסטם מנוסה לארגון ביטחוני באזור השפלה ß https://tinyurl.com/2px7yfzk?latest
איש/ת DEVOPS לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2l9pwtr7?latest
לחברת סטארטאפ מצליחה באזור השרון דרוש/ה Cyber Security Engineer - https://tinyurl.com/2qyjdhes?latest
לחברה פיננסית באזור המרכז דרוש/ה אנליסט/ית סייבר- https://tinyurl.com/2pz2e6s9?latest
לחברה תעופה באזור המרכז דרוש/ה מומחה.ית אבטחת מידע- https://tinyurl.com/2ynyqjck?latest
לחברה בתחום הביטוח באזור השרון דרוש/ה איש/אשת NOC- https://tinyurl.com/28bplynd?latest
לחברה פיננסית באזור המרכז דרוש/ה מומחה/ית אבטחת מידע- https://tinyurl.com/y6p837er?latest
לחברה פיננסית באזור המרכז דרוש/ה בקר/ית SOC- https://tinyurl.com/2oneuw2y?latest
לחברת פיננסית באזור המרכז דרוש/ה מיישם סייבר ואבטחת מידע- https://tinyurl.com/2le6rc33?latest
לחברה פיננסית באזור המרכז דרוש/ה ארכיטקט/ית אבטחת מידע- https://tinyurl.com/2htm7zlk?latest
לחברה פיננסית באזור המרכז דרוש/ה איש/ אשת צוות אבטחת מידע- https://tinyurl.com/y88d78ll?latest
לחברה פיננסית באזור המרכז דרוש/ה מומחה/ית סיסטם ואבטחת מידע- https://tinyurl.com/ybaoea9x?latest
לחברה פיננסי באזור השפלה דרוש/ה אנליסט/ית סייבר Teir 4- https://tinyurl.com/2znqudxo?latest
לחברה פיננסית באזור האירפורטסיטי איש/אשת סיסטם ואבטחת מידע- https://tinyurl.com/2jwvtljv?latest
לחברה בתחום הביטוח באזור השרון דרוש/ה אנליסט/ית סייבר TIER 2- https://tinyurl.com/2evt53co?latest
לחברה בתחום הביטוח באזור השרון דרוש/ה אחראי/ת צוות SOC- https://tinyurl.com/2nqzqhog?latest
לחברת בתחום הביטוח באזור השרון דרוש/ה מומחה/ית הגנת פרטיות ואבטחת מידע- https://tinyurl.com/2fwvxv9g?latest
לחברה בתחום הפיתוח באזור פ"ת דרוש/ה ר"צ תקשורת ואבטחת מידע https://tinyurl.com/2fwvxv9g?latest
לחברה בתחום הביטוח באזור פ"ת דרוש/ה מנחה ומבקר/ת אבטחת מידע תשתיתי- https://tinyurl.com/2njg4w79?latest
לחברה ביטחונית באזור הצפון דרוש/ה מיישם/ת סייבר- https://tinyurl.com/2zgqhbn7?latest
לחברה ביטחונית באזור הצפון דרוש/ה ארכיטקט/ית הגנת סייבר- https://tinyurl.com/28gm57ok?latest
בהצלחה !! 😎
להלן המשרות כמו שביקשתם, טווח השכר לרוב המשרות מעל 25K, תהנו..
מיישמ/ת הגנת סייבר אפליקטיבי/ת לארגון ביטחוני באזור המרכז ß https://tinyurl.com/2f3eelg3?latest
מנהל/ת אבטחת מידע CISO לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2jttvvgr?latest
יועצ/ת אבטחת מידע וסייבר לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2g2hfqll?latest
איש/ת סיסטם מנוסה לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2kwwa2ac?latest
איש/ת סיסטם בכיר לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2fpz9dgm?latest
אחראי תחום תפעול ותשתיות לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2zu3tb9z?latest
איש תקשורת ורשתות מנוסה לארגון ביטחוני באזור ירושלים ß https://tinyurl.com/2hvxktd8?latest
איש תקשורת ואבטחת מידע מנוסה לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2ptemsam?latest
איש/ת DevSecOps לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2h3rgwj4?latest
איש/ת סיסטם מנוסה לארגון ביטחוני באזור השפלה ß https://tinyurl.com/2px7yfzk?latest
איש/ת DEVOPS לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2l9pwtr7?latest
לחברת סטארטאפ מצליחה באזור השרון דרוש/ה Cyber Security Engineer - https://tinyurl.com/2qyjdhes?latest
לחברה פיננסית באזור המרכז דרוש/ה אנליסט/ית סייבר- https://tinyurl.com/2pz2e6s9?latest
לחברה תעופה באזור המרכז דרוש/ה מומחה.ית אבטחת מידע- https://tinyurl.com/2ynyqjck?latest
לחברה בתחום הביטוח באזור השרון דרוש/ה איש/אשת NOC- https://tinyurl.com/28bplynd?latest
לחברה פיננסית באזור המרכז דרוש/ה מומחה/ית אבטחת מידע- https://tinyurl.com/y6p837er?latest
לחברה פיננסית באזור המרכז דרוש/ה בקר/ית SOC- https://tinyurl.com/2oneuw2y?latest
לחברת פיננסית באזור המרכז דרוש/ה מיישם סייבר ואבטחת מידע- https://tinyurl.com/2le6rc33?latest
לחברה פיננסית באזור המרכז דרוש/ה ארכיטקט/ית אבטחת מידע- https://tinyurl.com/2htm7zlk?latest
לחברה פיננסית באזור המרכז דרוש/ה איש/ אשת צוות אבטחת מידע- https://tinyurl.com/y88d78ll?latest
לחברה פיננסית באזור המרכז דרוש/ה מומחה/ית סיסטם ואבטחת מידע- https://tinyurl.com/ybaoea9x?latest
לחברה פיננסי באזור השפלה דרוש/ה אנליסט/ית סייבר Teir 4- https://tinyurl.com/2znqudxo?latest
לחברה פיננסית באזור האירפורטסיטי איש/אשת סיסטם ואבטחת מידע- https://tinyurl.com/2jwvtljv?latest
לחברה בתחום הביטוח באזור השרון דרוש/ה אנליסט/ית סייבר TIER 2- https://tinyurl.com/2evt53co?latest
לחברה בתחום הביטוח באזור השרון דרוש/ה אחראי/ת צוות SOC- https://tinyurl.com/2nqzqhog?latest
לחברת בתחום הביטוח באזור השרון דרוש/ה מומחה/ית הגנת פרטיות ואבטחת מידע- https://tinyurl.com/2fwvxv9g?latest
לחברה בתחום הפיתוח באזור פ"ת דרוש/ה ר"צ תקשורת ואבטחת מידע https://tinyurl.com/2fwvxv9g?latest
לחברה בתחום הביטוח באזור פ"ת דרוש/ה מנחה ומבקר/ת אבטחת מידע תשתיתי- https://tinyurl.com/2njg4w79?latest
לחברה ביטחונית באזור הצפון דרוש/ה מיישם/ת סייבר- https://tinyurl.com/2zgqhbn7?latest
לחברה ביטחונית באזור הצפון דרוש/ה ארכיטקט/ית הגנת סייבר- https://tinyurl.com/28gm57ok?latest
בהצלחה !! 😎
campaign.adamtotal.co.il
מיישמ/ת סייבר אפליקטיבי/ת, מספר משרה: 13921
חברת Comblack מגייסת מיישם סייבר אפליקטיבי לארגון ממשלתי מוביל במרכז!
דרישות:
- ניסיון של לפחות 5 שנים בתחום אבטחת המידע והסייבר
- ניסיון בניהול מוצרי אבטחת מידע אפליקטיביים ותשתיתיים בסביבה מורכבת
- היכרות מוכחת בסביבות לינוקס (Linux) כולל פתרונות Open source…
דרישות:
- ניסיון של לפחות 5 שנים בתחום אבטחת המידע והסייבר
- ניסיון בניהול מוצרי אבטחת מידע אפליקטיביים ותשתיתיים בסביבה מורכבת
- היכרות מוכחת בסביבות לינוקס (Linux) כולל פתרונות Open source…
👍6
למעלה מ-290 לוחות אם של MSI מושפעים מהגדרות ברירת מחדל לא מאובטחות של UEFI Secure Boot המאפשרות לכל תמונת מערכת הפעלה לפעול ללא קשר אם יש לה חתימה שגויה או חסרה.
אתחול מאובטח (Secure Boot UEFI) :
אתחול מאובטח הוא תכונת אבטחה המובנית בקושחה של לוחות אם של UEFI שמבטיחה שרק תוכנות מהימנות (חתומות) יכולות לפעול במהלך תהליך האתחול.
"כשהמחשב מופעל, הקושחה בודקת את החתימה של כל תוכנת אתחול, כולל מנהלי התקנים של קושחת UEFI (הידועים גם בשם Option ROMs), יישומי EFI ומערכת ההפעלה", לפי מיקרוסופט במאמר על אתחול מאובטח.
גילוי זה מגיע מחוקר אבטחה בשם דוד פוטוצקי, שטוען כי לא קיבל מענה למרות מאמציו ליצור קשר עם MSI ולהודיע להם על הנושא.
הבעיה, משפיעה על לוחות אם רבים מבוססי אינטל ו-AMD המשתמשים בגרסת קושחה עדכנית, ומשפיעה אפילו על דגמי לוח אם MSI חדשים לגמרי.
אתחול מאובטח (Secure Boot UEFI) :
אתחול מאובטח הוא תכונת אבטחה המובנית בקושחה של לוחות אם של UEFI שמבטיחה שרק תוכנות מהימנות (חתומות) יכולות לפעול במהלך תהליך האתחול.
"כשהמחשב מופעל, הקושחה בודקת את החתימה של כל תוכנת אתחול, כולל מנהלי התקנים של קושחת UEFI (הידועים גם בשם Option ROMs), יישומי EFI ומערכת ההפעלה", לפי מיקרוסופט במאמר על אתחול מאובטח.
גילוי זה מגיע מחוקר אבטחה בשם דוד פוטוצקי, שטוען כי לא קיבל מענה למרות מאמציו ליצור קשר עם MSI ולהודיע להם על הנושא.
הבעיה, משפיעה על לוחות אם רבים מבוססי אינטל ו-AMD המשתמשים בגרסת קושחה עדכנית, ומשפיעה אפילו על דגמי לוח אם MSI חדשים לגמרי.
👍2
אפליקציית Git תיקנה שתי פרצות אבטחה קריטיות שעלולות לאפשר לתוקפים להפעיל קוד שרירותי לאחר ניצול מוצלח של החולשות.
פגם שלישי ספציפי ל-Windows המשפיע על כלי ה-GUI של Git שנגרם על ידי חולשת נתיב חיפוש לא מהימן מאפשר לתוקף לא מאומת להריץ התקפות קוד ברמת מורכבות נמוכה.
שתי הפגיעויות הראשונות (CVE-2022-41903 במנגנון הפורמט commit ו-CVE-2022-23521 במנתח .gitattributes) תוקנה בגרסה 2.30.7
"אנו ממליצים בחום שכל ההתקנות שמריצות גרסה המושפעת מהבעיות [..] ישדרגו לגרסה העדכנית בהקדם האפשרי", הזהיר GitLab
פגם שלישי ספציפי ל-Windows המשפיע על כלי ה-GUI של Git שנגרם על ידי חולשת נתיב חיפוש לא מהימן מאפשר לתוקף לא מאומת להריץ התקפות קוד ברמת מורכבות נמוכה.
שתי הפגיעויות הראשונות (CVE-2022-41903 במנגנון הפורמט commit ו-CVE-2022-23521 במנתח .gitattributes) תוקנה בגרסה 2.30.7
"אנו ממליצים בחום שכל ההתקנות שמריצות גרסה המושפעת מהבעיות [..] ישדרגו לגרסה העדכנית בהקדם האפשרי", הזהיר GitLab
👍1