סטודנט למדעי המחשב ועיתונאות, יצר כלי בשם GPTZero, שבודק אם טקסט נכתב על ידי בוט או אדם.
המוטיבציה העיקרית שלו ליצור את הכלי הייתה ההייפ סביב ChatGPT כמו גם זכות האדם לדעת אם טקסטים נכתבו על ידי אדם אחר או מחשב. "האם מורים בתיכון ירצו שתלמידים המשתמשים ב-ChatGPT יכתבו את מאמרי ההיסטוריה שלהם? כנראה שלא", ציין הסטודנט.
דיוק הכלי עדיין מוטל בספק. משתמש אחד בטוויטר אמר שהם בדקו טקסט שנוצר על ידי בינה מלאכותית ב-GPTZero, אבל הכלי זיהה אותו כנוצר אנושי. הסטודנט הודה שההמצאה שלו היא עבודה בתהליך: "זה עדיין רק עכשיו, אבל [אני] אשקיע את השבועות הקרובים בשיפור המודל והניתוח."
https://www.yahoo.com/lifestyle/princeton-student-built-app-detect-104634519.html?guccounter=1&guce_referrer=aHR0cHM6Ly93d3cuYmluZy5jb20v&guce_referrer_sig=AQAAAIRUaPPsHezxeBu-TCPJSfp667UC0-YRgA5vjOIlSRzPYPMerSImseTBMIj_EvhYVYGBXqnfrNlOntJ9lMieI96FbwmHCzuH6hU9-q7r3Pnfh-VaoiNtqR1ShME26sUPW84VaOz6a2jnyY7ceSrpGPhTLXaUrdm5Q7grBKxDKPLB
המוטיבציה העיקרית שלו ליצור את הכלי הייתה ההייפ סביב ChatGPT כמו גם זכות האדם לדעת אם טקסטים נכתבו על ידי אדם אחר או מחשב. "האם מורים בתיכון ירצו שתלמידים המשתמשים ב-ChatGPT יכתבו את מאמרי ההיסטוריה שלהם? כנראה שלא", ציין הסטודנט.
דיוק הכלי עדיין מוטל בספק. משתמש אחד בטוויטר אמר שהם בדקו טקסט שנוצר על ידי בינה מלאכותית ב-GPTZero, אבל הכלי זיהה אותו כנוצר אנושי. הסטודנט הודה שההמצאה שלו היא עבודה בתהליך: "זה עדיין רק עכשיו, אבל [אני] אשקיע את השבועות הקרובים בשיפור המודל והניתוח."
https://www.yahoo.com/lifestyle/princeton-student-built-app-detect-104634519.html?guccounter=1&guce_referrer=aHR0cHM6Ly93d3cuYmluZy5jb20v&guce_referrer_sig=AQAAAIRUaPPsHezxeBu-TCPJSfp667UC0-YRgA5vjOIlSRzPYPMerSImseTBMIj_EvhYVYGBXqnfrNlOntJ9lMieI96FbwmHCzuH6hU9-q7r3Pnfh-VaoiNtqR1ShME26sUPW84VaOz6a2jnyY7ceSrpGPhTLXaUrdm5Q7grBKxDKPLB
😁2
אפליקציית GitHub מוסיפה עוד פיתוח שמקל על סריקת הקוד לאיתור נקודות תורפה
הפיתוח ש-GitHub הציגה אפשרות חדשה להגדרת סריקת קוד עבור מאגר המכונה "הגדרת ברירת מחדל", שנועדה לעזור למפתחים להגדיר אותו באופן אוטומטי.
בעוד שמנוע ניתוח הקוד של CodeQL, שמפעיל את סריקת הקוד של GitHub, מגיע עם תמיכה בשפות רבות, האפשרות החדשה מופיעה רק עבור מאגרי Python, JavaScript ו-Ruby.
כדי להשתמש באפשרות ההגדרה החדשה של סריקת קוד, עליך לעבור ל"אבטחת קוד וניתוח" בהגדרות ה-Repo, ללחוץ על התפריט הנפתח "הגדר" ולבחור באפשרות ברירת מחדל.
לאחר לחיצה על "הפעל CodeQL", סריקת קוד תתחיל לחפש נקודות תורפה ב-repo כדי לעזור לך לתקן את הפגמים שהוא מוצא וליצור תוכנה מאובטחת יותר.
מנוע ניתוח הקוד CodeQL נוסף ליכולות של פלטפורמת GitHub כדי למצוא בעיות אבטחה, כולל ביצוע קוד מרחוק (RCE), הזרקת SQL ופגמים ב-Criting Cross-sites (XSS).
https://codeql.github.com/docs/codeql-overview/supported-languages-and-frameworks/#languages-and-compilers
הפיתוח ש-GitHub הציגה אפשרות חדשה להגדרת סריקת קוד עבור מאגר המכונה "הגדרת ברירת מחדל", שנועדה לעזור למפתחים להגדיר אותו באופן אוטומטי.
בעוד שמנוע ניתוח הקוד של CodeQL, שמפעיל את סריקת הקוד של GitHub, מגיע עם תמיכה בשפות רבות, האפשרות החדשה מופיעה רק עבור מאגרי Python, JavaScript ו-Ruby.
כדי להשתמש באפשרות ההגדרה החדשה של סריקת קוד, עליך לעבור ל"אבטחת קוד וניתוח" בהגדרות ה-Repo, ללחוץ על התפריט הנפתח "הגדר" ולבחור באפשרות ברירת מחדל.
לאחר לחיצה על "הפעל CodeQL", סריקת קוד תתחיל לחפש נקודות תורפה ב-repo כדי לעזור לך לתקן את הפגמים שהוא מוצא וליצור תוכנה מאובטחת יותר.
מנוע ניתוח הקוד CodeQL נוסף ליכולות של פלטפורמת GitHub כדי למצוא בעיות אבטחה, כולל ביצוע קוד מרחוק (RCE), הזרקת SQL ופגמים ב-Criting Cross-sites (XSS).
https://codeql.github.com/docs/codeql-overview/supported-languages-and-frameworks/#languages-and-compilers
❤1
ליקוי אבטחה בחומרה גבוהה נחשף בספריית הקוד הפתוח jsonwebtoken (JWT) שאם מנוצל בהצלחה, עלול להוביל לביצוע קוד מרחוק בשרת יעד.
פרוטוקול jsonwebtoken, אשר פותח ומתוחזק על ידי Auth0 של Okta, הוא מודול JavaScript המאפשר למשתמשים לפענח, לאמת ולייצר אסימוני אינטרנט של JSON כאמצעי להעברת מידע מאובטח בין שני צדדים לצורך הרשאה ואימות.
הבעיה מלווה כ-CVE-2022-23529 (ציון CVSS: 7.6), משפיעה על כל הגרסאות של הספרייה, כולל ומטה 8.5.1, וטופלה בגרסה 9.0.0 מתאריך ה-21 בדצמבר 2022.
https://unit42.paloaltonetworks.com/jsonwebtoken-vulnerability-cve-2022-23529/
פרוטוקול jsonwebtoken, אשר פותח ומתוחזק על ידי Auth0 של Okta, הוא מודול JavaScript המאפשר למשתמשים לפענח, לאמת ולייצר אסימוני אינטרנט של JSON כאמצעי להעברת מידע מאובטח בין שני צדדים לצורך הרשאה ואימות.
הבעיה מלווה כ-CVE-2022-23529 (ציון CVSS: 7.6), משפיעה על כל הגרסאות של הספרייה, כולל ומטה 8.5.1, וטופלה בגרסה 9.0.0 מתאריך ה-21 בדצמבר 2022.
https://unit42.paloaltonetworks.com/jsonwebtoken-vulnerability-cve-2022-23529/
👍1🔥1
מסע פרסום עצום המשתמש ביותר מ-1,300 דומיינים כדי להתחזות לאתר הרשמי של AnyDesk יוצא לדרך, כולם מנותבים מחדש לתיקיית Dropbox שדוחפת לאחרונה את תוכנת זדונית גניבת מידע של Vidar.
כל האתרים מובילים ל-Vidar Stealer
בקמפיין החדש שהתגלה, האתרים הפיצו קובץ ZIP בשם AnyDeskDownload.zip
שהתיימר להיות מתקין של תוכנת AnyDesk.
כאשר היא מותקנת, התוכנה הזדונית תגנוב את היסטוריית הדפדפן של הקורבנות, אישורי חשבון, סיסמאות שמורות, נתוני ארנק קריפטו, מידע בנקאי ונתונים רגישים אחרים.
הנתונים האלה נשלחים בחזרה לתוקפים, שעלולים להשתמש בהם לפעילות זדונית נוספת או למכור אותם לגורמי איומים אחרים.
כל האתרים מובילים ל-Vidar Stealer
בקמפיין החדש שהתגלה, האתרים הפיצו קובץ ZIP בשם AnyDeskDownload.zip
שהתיימר להיות מתקין של תוכנת AnyDesk.
כאשר היא מותקנת, התוכנה הזדונית תגנוב את היסטוריית הדפדפן של הקורבנות, אישורי חשבון, סיסמאות שמורות, נתוני ארנק קריפטו, מידע בנקאי ונתונים רגישים אחרים.
הנתונים האלה נשלחים בחזרה לתוקפים, שעלולים להשתמש בהם לפעילות זדונית נוספת או למכור אותם לגורמי איומים אחרים.
👍4
חברת בריאות הנפש KoKo סיפקה ייעוץ בכתב AI ל-4,000 אנשים מבלי ליידע אותם.
ניסוי שכלל 30,000 הודעות, ברגע שאדם במצוקה מקליד את ההודעה שלו, הוא מועבר ל OpenAI כדי לספק מענה. התוכנית המופעלת על ידי בינה מלאכותית מסוגלת לכתוב כל דבר משירים ועד קוד ולספק תגובות ברורות במגוון נושאים.
שלמרות שהודעות שנכתבו על ידי AI דורגו גבוה יותר מאלה שנכתבו על ידי בני אדם, המשתמשים לא היו נוחים עם חוסר החמלה והאמפתיה האמיתית שהביע רובוט.
"ייתכן גם שאמפתיה אמיתית היא דבר אחד שאנו בני האדם יכולים להעריך כדבר ייחודי משלנו. אולי זה הדבר היחיד שאנחנו עושים ש-AI לא יכול להחליף לעולם", אמרה החברה.
משתמשי טוויטר השיבו לשרשור בביקורת על האופי הלא אתי של הניסוי. הם טענו שזה מטבעו מפר את האמנה החברתית בין מטפל למשתמש, מפר את האמון וגורם למבקשי עזרה להרגיש "דה-הומניזציה".
https://www.ndtv.com/feature/mental-health-app-koko-tested-ai-chatbot-on-users-faces-backlash-3680790
ניסוי שכלל 30,000 הודעות, ברגע שאדם במצוקה מקליד את ההודעה שלו, הוא מועבר ל OpenAI כדי לספק מענה. התוכנית המופעלת על ידי בינה מלאכותית מסוגלת לכתוב כל דבר משירים ועד קוד ולספק תגובות ברורות במגוון נושאים.
שלמרות שהודעות שנכתבו על ידי AI דורגו גבוה יותר מאלה שנכתבו על ידי בני אדם, המשתמשים לא היו נוחים עם חוסר החמלה והאמפתיה האמיתית שהביע רובוט.
"ייתכן גם שאמפתיה אמיתית היא דבר אחד שאנו בני האדם יכולים להעריך כדבר ייחודי משלנו. אולי זה הדבר היחיד שאנחנו עושים ש-AI לא יכול להחליף לעולם", אמרה החברה.
משתמשי טוויטר השיבו לשרשור בביקורת על האופי הלא אתי של הניסוי. הם טענו שזה מטבעו מפר את האמנה החברתית בין מטפל למשתמש, מפר את האמון וגורם למבקשי עזרה להרגיש "דה-הומניזציה".
https://www.ndtv.com/feature/mental-health-app-koko-tested-ai-chatbot-on-users-faces-backlash-3680790
אמנת פשעי סייבר של האו"ם ?
האו"ם הגיע לחצי הדרך בתהליך המשא ומתן על אמנת פשעי הסייבר שלו, כדי להגביר את שיתוף הפעולה הבינלאומי.
יסודות האמנה הבינלאומית הם מניעת שימוש בטכנולוגיות מידע ותקשורת למטרות פליליות עם שיתוף פעולה בינלאומי על ידי רשויות אכיפת החוק יחד עם זכויות אדם והגנות פרוצדורליות.
והיא תתבסס על אמנת בודפשט הקיימת, שאומצה על ידי 67 מדינות, שמטרתה להתמודד עם פשעי סייבר כגון גישה בלתי חוקית למערכת מחשב, הונאה וזיוף נתונים בלתי חוקי על ידי שיתוף פעולה בינלאומי.
https://www.unodc.org/unodc/en/cybercrime/index.html
האו"ם הגיע לחצי הדרך בתהליך המשא ומתן על אמנת פשעי הסייבר שלו, כדי להגביר את שיתוף הפעולה הבינלאומי.
יסודות האמנה הבינלאומית הם מניעת שימוש בטכנולוגיות מידע ותקשורת למטרות פליליות עם שיתוף פעולה בינלאומי על ידי רשויות אכיפת החוק יחד עם זכויות אדם והגנות פרוצדורליות.
והיא תתבסס על אמנת בודפשט הקיימת, שאומצה על ידי 67 מדינות, שמטרתה להתמודד עם פשעי סייבר כגון גישה בלתי חוקית למערכת מחשב, הונאה וזיוף נתונים בלתי חוקי על ידי שיתוף פעולה בינלאומי.
https://www.unodc.org/unodc/en/cybercrime/index.html
פגיעות (CVE-2022-42475) ב-FortiOS SSL-VPN נוצלה על ידי האקרים כ"יום אפס" לתקוף ממשלות וארגונים גדולים לפני שפורטינט תיקנה אותה.
https://thehackernews.com/2023/01/fortios-flaw-exploited-as-zero-day-in.html
https://thehackernews.com/2023/01/fortios-flaw-exploited-as-zero-day-in.html
10 הבאגים המובילים בסקירת קוד שנמצאו בפרויקטים של C++ בשנת 2022
• מקום עשירי: טעות הקלדה קלאסית
• מקום תשיעי: איפה היינו בלי חפיפת מערך
• מקום שמיני: דוגמה ברורה ל-null pointer dereference
• מקום שביעי: לומדים לספור עד שבע
• מקום שישי: זריקת חריגה מפונקציית noexcept
• מקום חמישי: עבודה לא נכונה עם זיכרון דינמי
• מקום רביעי: כוחו של ביצוע סימבולי
• מקום שלישי: הממ, איך אנחנו אוהבים std::optional<T*>
• מקום שני: שימוש לא נכון בדגל
• מקום ראשון: PVS-Studio מונע שינויי קוד !
https://pvs-studio.com/en/blog/posts/cpp/1021
• מקום עשירי: טעות הקלדה קלאסית
• מקום תשיעי: איפה היינו בלי חפיפת מערך
• מקום שמיני: דוגמה ברורה ל-null pointer dereference
• מקום שביעי: לומדים לספור עד שבע
• מקום שישי: זריקת חריגה מפונקציית noexcept
• מקום חמישי: עבודה לא נכונה עם זיכרון דינמי
• מקום רביעי: כוחו של ביצוע סימבולי
• מקום שלישי: הממ, איך אנחנו אוהבים std::optional<T*>
• מקום שני: שימוש לא נכון בדגל
• מקום ראשון: PVS-Studio מונע שינויי קוד !
https://pvs-studio.com/en/blog/posts/cpp/1021
😢1
הסבב הראשון של Juniper Networks לשנת 2023 מכסה מאות נקודות תורפה שתוקנו.
32 עדכונים שמכסים יותר מ-230 פרצות, כ-200 מהן משפיעות על רכיבי צד שלישי.
בערך שני תריסר נקודות תורפה של Junos OS תוקנה על ידי החברה. ניתן למנף את כולם למתקפות מניעת שירות (DoS), ואת רובן ניתן לנצל על ידי תוקפים לא מאומתים שיש להם גישה לרשת למכשיר הממוקד.
אין שום אינדיקציה לכך שאחת מהפגיעות הללו נוצלה בפועל.
הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) המליצה לארגונים לבחון את העצות של ג'וניפר ולנקוט פעולה לפי הצורך
https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=%40sfcec_community_publish_date_formula__c%20descending&f:ctype=[Security%20Advisories]
32 עדכונים שמכסים יותר מ-230 פרצות, כ-200 מהן משפיעות על רכיבי צד שלישי.
בערך שני תריסר נקודות תורפה של Junos OS תוקנה על ידי החברה. ניתן למנף את כולם למתקפות מניעת שירות (DoS), ואת רובן ניתן לנצל על ידי תוקפים לא מאומתים שיש להם גישה לרשת למכשיר הממוקד.
אין שום אינדיקציה לכך שאחת מהפגיעות הללו נוצלה בפועל.
הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) המליצה לארגונים לבחון את העצות של ג'וניפר ולנקוט פעולה לפי הצורך
https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=%40sfcec_community_publish_date_formula__c%20descending&f:ctype=[Security%20Advisories]
👍2
טסלה, יחד עם ארגוני Pwn2Own Zero Day Initiative, מציעים פרס כספי בסך 600,000 דולר למי שמסוגל לניצול חולשות במערכות המכונית כדי להשיג שליטה.
המארגנים מחפשים יתרונות המכוונים לרכיבי הטיונר, ה-Wi-Fi, ה-Bluetooth או המודם של טסלה. האקרים חייבים להפגין ציר ביניים מוצלח למערכת המידע והבידור של הרכב ולהפעיל קוד נגד VCSEC, Gateway או טייס אוטומטי.
המארגנים מאמינים שניצול השתלטות שלם על רכב הוא משימה קשה. "קשה לבטא את המורכבות של השלמת הפגנה כזו, אבל אנחנו בהחלט מקווים שמישהו יוכל להראות את כישורי הניצול שלו ולנצח".
https://www.baypayforum.com/news/security-news/tesla-returns-as-pwn2own-hacker-takeover-target
המארגנים מחפשים יתרונות המכוונים לרכיבי הטיונר, ה-Wi-Fi, ה-Bluetooth או המודם של טסלה. האקרים חייבים להפגין ציר ביניים מוצלח למערכת המידע והבידור של הרכב ולהפעיל קוד נגד VCSEC, Gateway או טייס אוטומטי.
המארגנים מאמינים שניצול השתלטות שלם על רכב הוא משימה קשה. "קשה לבטא את המורכבות של השלמת הפגנה כזו, אבל אנחנו בהחלט מקווים שמישהו יוכל להראות את כישורי הניצול שלו ולנצח".
https://www.baypayforum.com/news/security-news/tesla-returns-as-pwn2own-hacker-takeover-target
משרד ההגנה האמריקני (DoD) Department of Defense מתכונן להשיק את הפרק השלישי של תוכנית הבאונטי 'Hack the Pentagon' שלו, שתתמקד ברשת ה-Friture Related Controls System (FRCS).
ה-FRCS של DoD כולל מערכות בקרה המשמשות לניטור ובקרה של ציוד ומערכות הקשורות למתקני נדל"ן, כגון HVAC, שירותים, מערכות אבטחה פיזיות ומערכות אש ובטיחות.
"המטרה הכוללת היא להשיג תמיכה ממאגר של חוקרי אבטחת מידע חדשניים באמצעות מיקור המונים לפעילויות גילוי, תיאום וחשיפה של נקודות תורפה ולהעריך את מצב אבטחת הסייבר הנוכחי של רשת FRCS, לזהות חולשות ופגיעויות, ולספק המלצות לשיפור ולחיזוק העמדה הביטחונית הכוללת"
https://sam.gov/opp/be855762a82543bcba2a4eac18b7202f/view
ה-FRCS של DoD כולל מערכות בקרה המשמשות לניטור ובקרה של ציוד ומערכות הקשורות למתקני נדל"ן, כגון HVAC, שירותים, מערכות אבטחה פיזיות ומערכות אש ובטיחות.
"המטרה הכוללת היא להשיג תמיכה ממאגר של חוקרי אבטחת מידע חדשניים באמצעות מיקור המונים לפעילויות גילוי, תיאום וחשיפה של נקודות תורפה ולהעריך את מצב אבטחת הסייבר הנוכחי של רשת FRCS, לזהות חולשות ופגיעויות, ולספק המלצות לשיפור ולחיזוק העמדה הביטחונית הכוללת"
https://sam.gov/opp/be855762a82543bcba2a4eac18b7202f/view
בוקר טוב, יום שלישי פעמיים כי טוב !!
להלן המשרות כמו שביקשתם, טווח השכר לרוב המשרות מעל 25K, תהנו..
מיישמ/ת הגנת סייבר אפליקטיבי/ת לארגון ביטחוני באזור המרכז ß https://tinyurl.com/2f3eelg3?latest
מנהל/ת אבטחת מידע CISO לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2jttvvgr?latest
יועצ/ת אבטחת מידע וסייבר לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2g2hfqll?latest
איש/ת סיסטם מנוסה לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2kwwa2ac?latest
איש/ת סיסטם בכיר לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2fpz9dgm?latest
אחראי תחום תפעול ותשתיות לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2zu3tb9z?latest
איש תקשורת ורשתות מנוסה לארגון ביטחוני באזור ירושלים ß https://tinyurl.com/2hvxktd8?latest
איש תקשורת ואבטחת מידע מנוסה לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2ptemsam?latest
איש/ת DevSecOps לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2h3rgwj4?latest
איש/ת סיסטם מנוסה לארגון ביטחוני באזור השפלה ß https://tinyurl.com/2px7yfzk?latest
איש/ת DEVOPS לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2l9pwtr7?latest
לחברת סטארטאפ מצליחה באזור השרון דרוש/ה Cyber Security Engineer - https://tinyurl.com/2qyjdhes?latest
לחברה פיננסית באזור המרכז דרוש/ה אנליסט/ית סייבר- https://tinyurl.com/2pz2e6s9?latest
לחברה תעופה באזור המרכז דרוש/ה מומחה.ית אבטחת מידע- https://tinyurl.com/2ynyqjck?latest
לחברה בתחום הביטוח באזור השרון דרוש/ה איש/אשת NOC- https://tinyurl.com/28bplynd?latest
לחברה פיננסית באזור המרכז דרוש/ה מומחה/ית אבטחת מידע- https://tinyurl.com/y6p837er?latest
לחברה פיננסית באזור המרכז דרוש/ה בקר/ית SOC- https://tinyurl.com/2oneuw2y?latest
לחברת פיננסית באזור המרכז דרוש/ה מיישם סייבר ואבטחת מידע- https://tinyurl.com/2le6rc33?latest
לחברה פיננסית באזור המרכז דרוש/ה ארכיטקט/ית אבטחת מידע- https://tinyurl.com/2htm7zlk?latest
לחברה פיננסית באזור המרכז דרוש/ה איש/ אשת צוות אבטחת מידע- https://tinyurl.com/y88d78ll?latest
לחברה פיננסית באזור המרכז דרוש/ה מומחה/ית סיסטם ואבטחת מידע- https://tinyurl.com/ybaoea9x?latest
לחברה פיננסי באזור השפלה דרוש/ה אנליסט/ית סייבר Teir 4- https://tinyurl.com/2znqudxo?latest
לחברה פיננסית באזור האירפורטסיטי איש/אשת סיסטם ואבטחת מידע- https://tinyurl.com/2jwvtljv?latest
לחברה בתחום הביטוח באזור השרון דרוש/ה אנליסט/ית סייבר TIER 2- https://tinyurl.com/2evt53co?latest
לחברה בתחום הביטוח באזור השרון דרוש/ה אחראי/ת צוות SOC- https://tinyurl.com/2nqzqhog?latest
לחברת בתחום הביטוח באזור השרון דרוש/ה מומחה/ית הגנת פרטיות ואבטחת מידע- https://tinyurl.com/2fwvxv9g?latest
לחברה בתחום הפיתוח באזור פ"ת דרוש/ה ר"צ תקשורת ואבטחת מידע https://tinyurl.com/2fwvxv9g?latest
לחברה בתחום הביטוח באזור פ"ת דרוש/ה מנחה ומבקר/ת אבטחת מידע תשתיתי- https://tinyurl.com/2njg4w79?latest
לחברה ביטחונית באזור הצפון דרוש/ה מיישם/ת סייבר- https://tinyurl.com/2zgqhbn7?latest
לחברה ביטחונית באזור הצפון דרוש/ה ארכיטקט/ית הגנת סייבר- https://tinyurl.com/28gm57ok?latest
בהצלחה !! 😎
להלן המשרות כמו שביקשתם, טווח השכר לרוב המשרות מעל 25K, תהנו..
מיישמ/ת הגנת סייבר אפליקטיבי/ת לארגון ביטחוני באזור המרכז ß https://tinyurl.com/2f3eelg3?latest
מנהל/ת אבטחת מידע CISO לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2jttvvgr?latest
יועצ/ת אבטחת מידע וסייבר לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2g2hfqll?latest
איש/ת סיסטם מנוסה לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2kwwa2ac?latest
איש/ת סיסטם בכיר לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2fpz9dgm?latest
אחראי תחום תפעול ותשתיות לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2zu3tb9z?latest
איש תקשורת ורשתות מנוסה לארגון ביטחוני באזור ירושלים ß https://tinyurl.com/2hvxktd8?latest
איש תקשורת ואבטחת מידע מנוסה לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2ptemsam?latest
איש/ת DevSecOps לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2h3rgwj4?latest
איש/ת סיסטם מנוסה לארגון ביטחוני באזור השפלה ß https://tinyurl.com/2px7yfzk?latest
איש/ת DEVOPS לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2l9pwtr7?latest
לחברת סטארטאפ מצליחה באזור השרון דרוש/ה Cyber Security Engineer - https://tinyurl.com/2qyjdhes?latest
לחברה פיננסית באזור המרכז דרוש/ה אנליסט/ית סייבר- https://tinyurl.com/2pz2e6s9?latest
לחברה תעופה באזור המרכז דרוש/ה מומחה.ית אבטחת מידע- https://tinyurl.com/2ynyqjck?latest
לחברה בתחום הביטוח באזור השרון דרוש/ה איש/אשת NOC- https://tinyurl.com/28bplynd?latest
לחברה פיננסית באזור המרכז דרוש/ה מומחה/ית אבטחת מידע- https://tinyurl.com/y6p837er?latest
לחברה פיננסית באזור המרכז דרוש/ה בקר/ית SOC- https://tinyurl.com/2oneuw2y?latest
לחברת פיננסית באזור המרכז דרוש/ה מיישם סייבר ואבטחת מידע- https://tinyurl.com/2le6rc33?latest
לחברה פיננסית באזור המרכז דרוש/ה ארכיטקט/ית אבטחת מידע- https://tinyurl.com/2htm7zlk?latest
לחברה פיננסית באזור המרכז דרוש/ה איש/ אשת צוות אבטחת מידע- https://tinyurl.com/y88d78ll?latest
לחברה פיננסית באזור המרכז דרוש/ה מומחה/ית סיסטם ואבטחת מידע- https://tinyurl.com/ybaoea9x?latest
לחברה פיננסי באזור השפלה דרוש/ה אנליסט/ית סייבר Teir 4- https://tinyurl.com/2znqudxo?latest
לחברה פיננסית באזור האירפורטסיטי איש/אשת סיסטם ואבטחת מידע- https://tinyurl.com/2jwvtljv?latest
לחברה בתחום הביטוח באזור השרון דרוש/ה אנליסט/ית סייבר TIER 2- https://tinyurl.com/2evt53co?latest
לחברה בתחום הביטוח באזור השרון דרוש/ה אחראי/ת צוות SOC- https://tinyurl.com/2nqzqhog?latest
לחברת בתחום הביטוח באזור השרון דרוש/ה מומחה/ית הגנת פרטיות ואבטחת מידע- https://tinyurl.com/2fwvxv9g?latest
לחברה בתחום הפיתוח באזור פ"ת דרוש/ה ר"צ תקשורת ואבטחת מידע https://tinyurl.com/2fwvxv9g?latest
לחברה בתחום הביטוח באזור פ"ת דרוש/ה מנחה ומבקר/ת אבטחת מידע תשתיתי- https://tinyurl.com/2njg4w79?latest
לחברה ביטחונית באזור הצפון דרוש/ה מיישם/ת סייבר- https://tinyurl.com/2zgqhbn7?latest
לחברה ביטחונית באזור הצפון דרוש/ה ארכיטקט/ית הגנת סייבר- https://tinyurl.com/28gm57ok?latest
בהצלחה !! 😎
campaign.adamtotal.co.il
מיישמ/ת סייבר אפליקטיבי/ת, מספר משרה: 13921
חברת Comblack מגייסת מיישם סייבר אפליקטיבי לארגון ממשלתי מוביל במרכז!
דרישות:
- ניסיון של לפחות 5 שנים בתחום אבטחת המידע והסייבר
- ניסיון בניהול מוצרי אבטחת מידע אפליקטיביים ותשתיתיים בסביבה מורכבת
- היכרות מוכחת בסביבות לינוקס (Linux) כולל פתרונות Open source…
דרישות:
- ניסיון של לפחות 5 שנים בתחום אבטחת המידע והסייבר
- ניסיון בניהול מוצרי אבטחת מידע אפליקטיביים ותשתיתיים בסביבה מורכבת
- היכרות מוכחת בסביבות לינוקס (Linux) כולל פתרונות Open source…
👍6
למעלה מ-290 לוחות אם של MSI מושפעים מהגדרות ברירת מחדל לא מאובטחות של UEFI Secure Boot המאפשרות לכל תמונת מערכת הפעלה לפעול ללא קשר אם יש לה חתימה שגויה או חסרה.
אתחול מאובטח (Secure Boot UEFI) :
אתחול מאובטח הוא תכונת אבטחה המובנית בקושחה של לוחות אם של UEFI שמבטיחה שרק תוכנות מהימנות (חתומות) יכולות לפעול במהלך תהליך האתחול.
"כשהמחשב מופעל, הקושחה בודקת את החתימה של כל תוכנת אתחול, כולל מנהלי התקנים של קושחת UEFI (הידועים גם בשם Option ROMs), יישומי EFI ומערכת ההפעלה", לפי מיקרוסופט במאמר על אתחול מאובטח.
גילוי זה מגיע מחוקר אבטחה בשם דוד פוטוצקי, שטוען כי לא קיבל מענה למרות מאמציו ליצור קשר עם MSI ולהודיע להם על הנושא.
הבעיה, משפיעה על לוחות אם רבים מבוססי אינטל ו-AMD המשתמשים בגרסת קושחה עדכנית, ומשפיעה אפילו על דגמי לוח אם MSI חדשים לגמרי.
אתחול מאובטח (Secure Boot UEFI) :
אתחול מאובטח הוא תכונת אבטחה המובנית בקושחה של לוחות אם של UEFI שמבטיחה שרק תוכנות מהימנות (חתומות) יכולות לפעול במהלך תהליך האתחול.
"כשהמחשב מופעל, הקושחה בודקת את החתימה של כל תוכנת אתחול, כולל מנהלי התקנים של קושחת UEFI (הידועים גם בשם Option ROMs), יישומי EFI ומערכת ההפעלה", לפי מיקרוסופט במאמר על אתחול מאובטח.
גילוי זה מגיע מחוקר אבטחה בשם דוד פוטוצקי, שטוען כי לא קיבל מענה למרות מאמציו ליצור קשר עם MSI ולהודיע להם על הנושא.
הבעיה, משפיעה על לוחות אם רבים מבוססי אינטל ו-AMD המשתמשים בגרסת קושחה עדכנית, ומשפיעה אפילו על דגמי לוח אם MSI חדשים לגמרי.
👍2
אפליקציית Git תיקנה שתי פרצות אבטחה קריטיות שעלולות לאפשר לתוקפים להפעיל קוד שרירותי לאחר ניצול מוצלח של החולשות.
פגם שלישי ספציפי ל-Windows המשפיע על כלי ה-GUI של Git שנגרם על ידי חולשת נתיב חיפוש לא מהימן מאפשר לתוקף לא מאומת להריץ התקפות קוד ברמת מורכבות נמוכה.
שתי הפגיעויות הראשונות (CVE-2022-41903 במנגנון הפורמט commit ו-CVE-2022-23521 במנתח .gitattributes) תוקנה בגרסה 2.30.7
"אנו ממליצים בחום שכל ההתקנות שמריצות גרסה המושפעת מהבעיות [..] ישדרגו לגרסה העדכנית בהקדם האפשרי", הזהיר GitLab
פגם שלישי ספציפי ל-Windows המשפיע על כלי ה-GUI של Git שנגרם על ידי חולשת נתיב חיפוש לא מהימן מאפשר לתוקף לא מאומת להריץ התקפות קוד ברמת מורכבות נמוכה.
שתי הפגיעויות הראשונות (CVE-2022-41903 במנגנון הפורמט commit ו-CVE-2022-23521 במנתח .gitattributes) תוקנה בגרסה 2.30.7
"אנו ממליצים בחום שכל ההתקנות שמריצות גרסה המושפעת מהבעיות [..] ישדרגו לגרסה העדכנית בהקדם האפשרי", הזהיר GitLab
👍1
ארגון NIST ישיק הנחיות AI על רקע חששות ChatGPT
המכון הלאומי לתקנים וטכנולוגיה (NIST) יפרסם הנחיות לגבי שימוש בטוח יותר בבינה מלאכותית (AI) ככל שיופיעו דיווחים שטכנולוגיות חדשות כמו ChatGPT3 ישמשו פושעי סייבר לכתיבת מייל דיוג ואפילו תוכנות זדוניות.
זה מגיע אחרי פרסום של צ'ק פוינט שחשפה כי ישנן עדויות לפושעי סייבר רוסים שקושרו בDarkNet כדי לגשת באופן בלתי חוקי ל-ChatGPT3, אפליקציית מחולל הטקסטים שיכולה לכתוב כל דבר, החל מתעמולה ועד קוד תוכנה זדונית.
המסקנה הלא נוחה של צ'ק פוינט שברגע שפושעי סייבר יבינו כיצד לעקוף את הגבלות הגישה והשימוש שהוגדרו על ChatGPT, הם יוכלו להשתמש בתוכנה כדי להרחיב את שורותיהם.
המכון הלאומי לתקנים וטכנולוגיה (NIST) יפרסם הנחיות לגבי שימוש בטוח יותר בבינה מלאכותית (AI) ככל שיופיעו דיווחים שטכנולוגיות חדשות כמו ChatGPT3 ישמשו פושעי סייבר לכתיבת מייל דיוג ואפילו תוכנות זדוניות.
זה מגיע אחרי פרסום של צ'ק פוינט שחשפה כי ישנן עדויות לפושעי סייבר רוסים שקושרו בDarkNet כדי לגשת באופן בלתי חוקי ל-ChatGPT3, אפליקציית מחולל הטקסטים שיכולה לכתוב כל דבר, החל מתעמולה ועד קוד תוכנה זדונית.
המסקנה הלא נוחה של צ'ק פוינט שברגע שפושעי סייבר יבינו כיצד לעקוף את הגבלות הגישה והשימוש שהוגדרו על ChatGPT, הם יוכלו להשתמש בתוכנה כדי להרחיב את שורותיהם.
👍2
אפליקציית WhatsApp משיקה עדכוני סטטוס קולי בגרסת בטא באנדרואיד
זמן ההקלטה המקסימלי של הערה קולית הוא 30 שניות והמשתמשים חייבים לעדכן את הגרסה של WhatsApp כדי להאזין להערות קוליות ששותפו באמצעות סטטוס.
הפלטפורמה גם מספקת למשתמשים שליטה רבה יותר על הקלטות הקול שלהם בכך שהיא מציעה את היכולת למחוק הקלטה לפני שיתוף.
זמן ההקלטה המקסימלי של הערה קולית הוא 30 שניות והמשתמשים חייבים לעדכן את הגרסה של WhatsApp כדי להאזין להערות קוליות ששותפו באמצעות סטטוס.
הפלטפורמה גם מספקת למשתמשים שליטה רבה יותר על הקלטות הקול שלהם בכך שהיא מציעה את היכולת למחוק הקלטה לפני שיתוף.
👍1
הביקוש ל-ChatGPT בגוגל מגיע לשיא, דוח של ביקושים לאפליקציה לפי ארצות בטווח של 26/11-13/01
חשוב לזכור : ChatGPT הידע שלו מוגבל עד 2021. ולכן מידע בזמן אמת רק למנועי החיפוש יש את היכולת.
לכתבה המלאה באתר Finbold
חשוב לזכור : ChatGPT הידע שלו מוגבל עד 2021. ולכן מידע בזמן אמת רק למנועי החיפוש יש את היכולת.
לכתבה המלאה באתר Finbold
תוקפים גילו דרך לעקוף שירותי אנטי-וירוס, תוך השתלת תוכנות זדוניות ב"תמונות ריקות" במיילים, לפי חוקרי Avanan.
"האקרים יכולים למקד כמעט כל אחד עם הטכניקה הזו. כמו רוב ההתקפות, הרעיון הוא להשתמש בו כדי לקבל משהו מהמשתמש קצה".
הקמפיין מציג בפני קורבן מסמך הונאה שמקורו לכאורה ב-DocuSign, שירות ניהול הסכמים אלקטרוניים.
המשתמש מתבקש לעיין ולחתום על המסמך. מעניין שבניגוד למסעות פרסום אחרים של פישינג, הקישור לוקח את המשתמשים לעמוד DocuSign לגיטימי.
בדרך זו, התוקפים מרמים את הקורבן לסמוך על האימייל הכולל. עם זאת, הסכנה האמיתית אורבת בקובץ המצורף של HTM שנשלח יחד עם הקישור של DocuSign.
הקובץ המצורף מכיל תמונת SVG המקודדת באמצעות Base64, סכימת קידוד בינארי לטקסט. בזמן שהתמונה ריקה, הקובץ עדיין מכיל תוכן פעיל, Javanoscript המפנה לכתובת האתר הזדונית.
כדי למנוע נפילה קורבן להתקפות כאלה, מומלץ למשתמשים להיות זהירים מכל דואר אלקטרוני שמכיל קבצים מצורפים של HTML או .htm. במקביל, לארגונים כדאי לשקול לחסום את כל קבצי ה-HTML המצורפים.
"האקרים יכולים למקד כמעט כל אחד עם הטכניקה הזו. כמו רוב ההתקפות, הרעיון הוא להשתמש בו כדי לקבל משהו מהמשתמש קצה".
הקמפיין מציג בפני קורבן מסמך הונאה שמקורו לכאורה ב-DocuSign, שירות ניהול הסכמים אלקטרוניים.
המשתמש מתבקש לעיין ולחתום על המסמך. מעניין שבניגוד למסעות פרסום אחרים של פישינג, הקישור לוקח את המשתמשים לעמוד DocuSign לגיטימי.
בדרך זו, התוקפים מרמים את הקורבן לסמוך על האימייל הכולל. עם זאת, הסכנה האמיתית אורבת בקובץ המצורף של HTM שנשלח יחד עם הקישור של DocuSign.
הקובץ המצורף מכיל תמונת SVG המקודדת באמצעות Base64, סכימת קידוד בינארי לטקסט. בזמן שהתמונה ריקה, הקובץ עדיין מכיל תוכן פעיל, Javanoscript המפנה לכתובת האתר הזדונית.
כדי למנוע נפילה קורבן להתקפות כאלה, מומלץ למשתמשים להיות זהירים מכל דואר אלקטרוני שמכיל קבצים מצורפים של HTML או .htm. במקביל, לארגונים כדאי לשקול לחסום את כל קבצי ה-HTML המצורפים.
👍1👏1
תוכנית הונאת מודעות מתוחכמת 'VastFlux' שזייפה 1,700 אפליקציות
תוכנית הונאת פרסומות מתוחכמת שזייפה יותר מ-1,700 יישומים ו-120 מפרסמים הגיעה לשיא של 12 מיליארד בקשות למודעות ביום לפני שהוסרה, כך אומרת חברת Human למניעת התקפות בוטים.
התוכנית, שזכתה לכינוי VastFlux, הסתמכה על קוד JavaScript המוזרק לקריאייטיבים של מודעות דיגיטליות, מה שהביא לכך שמודעות מזויפות נערמו אחת אחרי השנייה כדי לייצר הכנסות לתוקפים. יותר מ-11 מיליון מכשירים הושפעו בתוכנית.
קוד ה-JavaScript ששימש את התוקפים אפשר להם לערום נגני וידאו מרובים זה על גבי זה, וליצור הכנסות ממודעות, כאשר למעשה, למשתמש מעולם לא הוצגו המודעות.
תוכנית הונאת פרסומות מתוחכמת שזייפה יותר מ-1,700 יישומים ו-120 מפרסמים הגיעה לשיא של 12 מיליארד בקשות למודעות ביום לפני שהוסרה, כך אומרת חברת Human למניעת התקפות בוטים.
התוכנית, שזכתה לכינוי VastFlux, הסתמכה על קוד JavaScript המוזרק לקריאייטיבים של מודעות דיגיטליות, מה שהביא לכך שמודעות מזויפות נערמו אחת אחרי השנייה כדי לייצר הכנסות לתוקפים. יותר מ-11 מיליון מכשירים הושפעו בתוכנית.
קוד ה-JavaScript ששימש את התוקפים אפשר להם לערום נגני וידאו מרובים זה על גבי זה, וליצור הכנסות ממודעות, כאשר למעשה, למשתמש מעולם לא הוצגו המודעות.
תוקפים משתמשים כעת בקבצים מצורפים של Microsoft OneNote כדי להפיץ תוכנות זדוניות בדוא"ל ומדביקים את הקורבנות בתוכנות זדוניות, גניבת סיסמאות או מטבעות קריפטוגרפיים.
לאורך תקופה התוקפים השתמשו בקבצים זדוניים של Word ו-Excel עם פקודות מאקרו להורדה והתקנת תוכנות זדוניות אך מיקרוסופט סוף סוף השביתה פקודות מאקרו כברירת מחדל במסמכי Office, ולכן זמן קצר לאחר מכן, התוקפים החלו להשתמש בפורמטים חדשים של קבצים, כגון תמונות ISO וקובצי ZIP המוגנים בסיסמה. אך גם 7-Zip וגם Windows תיקנו לאחרונה את הבאגים הללו שגרמו ל-Windows להציג אזהרות אבטחה מפחידות כאשר משתמש מנסה לפתוח קבצים בקובצי ISO ו-ZIP שהורדו.
אז התוקפים עברו במהירות להשתמש בפורמט קובץ חדש Microsoft OneNote.
מכיוון ש-Microsoft OneNote מותקן כברירת מחדל בכל התקנות Microsoft Office/365, גם אם משתמש Windows אינו משתמש באפליקציה, הוא עדיין זמין לפתיחת פורמט הקובץ.
לאורך תקופה התוקפים השתמשו בקבצים זדוניים של Word ו-Excel עם פקודות מאקרו להורדה והתקנת תוכנות זדוניות אך מיקרוסופט סוף סוף השביתה פקודות מאקרו כברירת מחדל במסמכי Office, ולכן זמן קצר לאחר מכן, התוקפים החלו להשתמש בפורמטים חדשים של קבצים, כגון תמונות ISO וקובצי ZIP המוגנים בסיסמה. אך גם 7-Zip וגם Windows תיקנו לאחרונה את הבאגים הללו שגרמו ל-Windows להציג אזהרות אבטחה מפחידות כאשר משתמש מנסה לפתוח קבצים בקובצי ISO ו-ZIP שהורדו.
אז התוקפים עברו במהירות להשתמש בפורמט קובץ חדש Microsoft OneNote.
מכיוון ש-Microsoft OneNote מותקן כברירת מחדל בכל התקנות Microsoft Office/365, גם אם משתמש Windows אינו משתמש באפליקציה, הוא עדיין זמין לפתיחת פורמט הקובץ.
👍2