פגיעות (CVE-2022-42475) ב-FortiOS SSL-VPN נוצלה על ידי האקרים כ"יום אפס" לתקוף ממשלות וארגונים גדולים לפני שפורטינט תיקנה אותה.

https://thehackernews.com/2023/01/fortios-flaw-exploited-as-zero-day-in.html

10 הבאגים המובילים בסקירת קוד שנמצאו בפרויקטים של C++ בשנת 2022

• מקום עשירי: טעות הקלדה קלאסית

• מקום תשיעי: איפה היינו בלי חפיפת מערך

• מקום שמיני: דוגמה ברורה ל-null pointer dereference

• מקום שביעי: לומדים לספור עד שבע

• מקום שישי: זריקת חריגה מפונקציית noexcept

• מקום חמישי: עבודה לא נכונה עם זיכרון דינמי

• מקום רביעי: כוחו של ביצוע סימבולי

• מקום שלישי: הממ, איך אנחנו אוהבים std::optional<T*>

• מקום שני: שימוש לא נכון בדגל

• מקום ראשון: PVS-Studio מונע שינויי קוד !

https://pvs-studio.com/en/blog/posts/cpp/1021

הסבב הראשון של Juniper Networks לשנת 2023 מכסה מאות נקודות תורפה שתוקנו.

32 עדכונים שמכסים יותר מ-230 פרצות, כ-200 מהן משפיעות על רכיבי צד שלישי.

בערך שני תריסר נקודות תורפה של Junos OS תוקנה על ידי החברה. ניתן למנף את כולם למתקפות מניעת שירות (DoS), ואת רובן ניתן לנצל על ידי תוקפים לא מאומתים שיש להם גישה לרשת למכשיר הממוקד.

אין שום אינדיקציה לכך שאחת מהפגיעות הללו נוצלה בפועל.

הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) המליצה לארגונים לבחון את העצות של ג'וניפר ולנקוט פעולה לפי הצורך

https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=%40sfcec_community_publish_date_formula__c%20descending&f:ctype=[Security%20Advisories]

טסלה, יחד עם ארגוני Pwn2Own Zero Day Initiative, מציעים פרס כספי בסך 600,000 דולר למי שמסוגל לניצול חולשות במערכות המכונית כדי להשיג שליטה.

המארגנים מחפשים יתרונות המכוונים לרכיבי הטיונר, ה-Wi-Fi, ה-Bluetooth או המודם של טסלה. האקרים חייבים להפגין ציר ביניים מוצלח למערכת המידע והבידור של הרכב ולהפעיל קוד נגד VCSEC, Gateway או טייס אוטומטי.

המארגנים מאמינים שניצול השתלטות שלם על רכב הוא משימה קשה. "קשה לבטא את המורכבות של השלמת הפגנה כזו, אבל אנחנו בהחלט מקווים שמישהו יוכל להראות את כישורי הניצול שלו ולנצח".

https://www.baypayforum.com/news/security-news/tesla-returns-as-pwn2own-hacker-takeover-target

משרד ההגנה האמריקני (DoD) Department of Defense מתכונן להשיק את הפרק השלישי של תוכנית הבאונטי 'Hack the Pentagon' שלו, שתתמקד ברשת ה-Friture Related Controls System (FRCS).

ה-FRCS של DoD כולל מערכות בקרה המשמשות לניטור ובקרה של ציוד ומערכות הקשורות למתקני נדל"ן, כגון HVAC, שירותים, מערכות אבטחה פיזיות ומערכות אש ובטיחות.

"המטרה הכוללת היא להשיג תמיכה ממאגר של חוקרי אבטחת מידע חדשניים באמצעות מיקור המונים לפעילויות גילוי, תיאום וחשיפה של נקודות תורפה ולהעריך את מצב אבטחת הסייבר הנוכחי של רשת FRCS, לזהות חולשות ופגיעויות, ולספק המלצות לשיפור ולחיזוק העמדה הביטחונית הכוללת"

https://sam.gov/opp/be855762a82543bcba2a4eac18b7202f/view

בוקר טוב, יום שלישי פעמיים כי טוב !!

להלן המשרות כמו שביקשתם, טווח השכר לרוב המשרות מעל 25K, תהנו..

מיישמ/ת הגנת סייבר אפליקטיבי/ת לארגון ביטחוני באזור המרכז ß https://tinyurl.com/2f3eelg3?latest

מנהל/ת אבטחת מידע CISO לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2jttvvgr?latest

יועצ/ת אבטחת מידע וסייבר לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2g2hfqll?latest

איש/ת סיסטם מנוסה לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2kwwa2ac?latest

איש/ת סיסטם בכיר לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2fpz9dgm?latest

אחראי תחום תפעול ותשתיות לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2zu3tb9z?latest

איש תקשורת ורשתות מנוסה לארגון ביטחוני באזור ירושלים ß https://tinyurl.com/2hvxktd8?latest

איש תקשורת ואבטחת מידע מנוסה לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2ptemsam?latest

איש/ת DevSecOps לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2h3rgwj4?latest

איש/ת סיסטם מנוסה לארגון ביטחוני באזור השפלה ß https://tinyurl.com/2px7yfzk?latest

איש/ת DEVOPS לארגון ממשלתי באזור ירושלים ß https://tinyurl.com/2l9pwtr7?latest

לחברת סטארטאפ מצליחה באזור השרון דרוש/ה Cyber Security Engineer - https://tinyurl.com/2qyjdhes?latest

לחברה פיננסית באזור המרכז דרוש/ה אנליסט/ית סייבר- https://tinyurl.com/2pz2e6s9?latest

לחברה תעופה באזור המרכז דרוש/ה מומחה.ית אבטחת מידע- https://tinyurl.com/2ynyqjck?latest

לחברה בתחום הביטוח באזור השרון דרוש/ה איש/אשת NOC- https://tinyurl.com/28bplynd?latest

לחברה פיננסית באזור המרכז דרוש/ה מומחה/ית אבטחת מידע- https://tinyurl.com/y6p837er?latest

לחברה פיננסית באזור המרכז דרוש/ה בקר/ית SOC- https://tinyurl.com/2oneuw2y?latest

לחברת פיננסית באזור המרכז דרוש/ה מיישם סייבר ואבטחת מידע- https://tinyurl.com/2le6rc33?latest

לחברה פיננסית באזור המרכז דרוש/ה ארכיטקט/ית אבטחת מידע- https://tinyurl.com/2htm7zlk?latest

לחברה פיננסית באזור המרכז דרוש/ה איש/ אשת צוות אבטחת מידע- https://tinyurl.com/y88d78ll?latest

לחברה פיננסית באזור המרכז דרוש/ה מומחה/ית סיסטם ואבטחת מידע- https://tinyurl.com/ybaoea9x?latest

לחברה פיננסי באזור השפלה דרוש/ה אנליסט/ית סייבר Teir 4- https://tinyurl.com/2znqudxo?latest

לחברה פיננסית באזור האירפורטסיטי איש/אשת סיסטם ואבטחת מידע- https://tinyurl.com/2jwvtljv?latest

לחברה בתחום הביטוח באזור השרון דרוש/ה אנליסט/ית סייבר TIER 2- https://tinyurl.com/2evt53co?latest

לחברה בתחום הביטוח באזור השרון דרוש/ה אחראי/ת צוות SOC- https://tinyurl.com/2nqzqhog?latest

לחברת בתחום הביטוח באזור השרון דרוש/ה מומחה/ית הגנת פרטיות ואבטחת מידע- https://tinyurl.com/2fwvxv9g?latest

לחברה בתחום הפיתוח באזור פ"ת דרוש/ה ר"צ תקשורת ואבטחת מידע https://tinyurl.com/2fwvxv9g?latest

לחברה בתחום הביטוח באזור פ"ת דרוש/ה מנחה ומבקר/ת אבטחת מידע תשתיתי- https://tinyurl.com/2njg4w79?latest

לחברה ביטחונית באזור הצפון דרוש/ה מיישם/ת סייבר- https://tinyurl.com/2zgqhbn7?latest

לחברה ביטחונית באזור הצפון דרוש/ה ארכיטקט/ית הגנת סייבר- https://tinyurl.com/28gm57ok?latest

בהצלחה !! 😎

למעלה מ-290 לוחות אם של MSI מושפעים מהגדרות ברירת מחדל לא מאובטחות של UEFI Secure Boot המאפשרות לכל תמונת מערכת הפעלה לפעול ללא קשר אם יש לה חתימה שגויה או חסרה.

אתחול מאובטח (Secure Boot UEFI) :
אתחול מאובטח הוא תכונת אבטחה המובנית בקושחה של לוחות אם של UEFI שמבטיחה שרק תוכנות מהימנות (חתומות) יכולות לפעול במהלך תהליך האתחול.
"כשהמחשב מופעל, הקושחה בודקת את החתימה של כל תוכנת אתחול, כולל מנהלי התקנים של קושחת UEFI (הידועים גם בשם Option ROMs), יישומי EFI ומערכת ההפעלה", לפי מיקרוסופט במאמר על אתחול מאובטח.

גילוי זה מגיע מחוקר אבטחה בשם דוד פוטוצקי, שטוען כי לא קיבל מענה למרות מאמציו ליצור קשר עם MSI ולהודיע להם על הנושא.

הבעיה, משפיעה על לוחות אם רבים מבוססי אינטל ו-AMD המשתמשים בגרסת קושחה עדכנית, ומשפיעה אפילו על דגמי לוח אם MSI חדשים לגמרי.

אפליקציית Git תיקנה שתי פרצות אבטחה קריטיות שעלולות לאפשר לתוקפים להפעיל קוד שרירותי לאחר ניצול מוצלח של החולשות.

פגם שלישי ספציפי ל-Windows המשפיע על כלי ה-GUI של Git שנגרם על ידי חולשת נתיב חיפוש לא מהימן מאפשר לתוקף לא מאומת להריץ התקפות קוד ברמת מורכבות נמוכה.

שתי הפגיעויות הראשונות (CVE-2022-41903 במנגנון הפורמט commit ו-CVE-2022-23521 במנתח .gitattributes) תוקנה בגרסה 2.30.7

"אנו ממליצים בחום שכל ההתקנות שמריצות גרסה המושפעת מהבעיות [..] ישדרגו לגרסה העדכנית בהקדם האפשרי", הזהיר GitLab

ארגון NIST ישיק הנחיות AI על רקע חששות ChatGPT

המכון הלאומי לתקנים וטכנולוגיה (NIST) יפרסם הנחיות לגבי שימוש בטוח יותר בבינה מלאכותית (AI) ככל שיופיעו דיווחים שטכנולוגיות חדשות כמו ChatGPT3 ישמשו פושעי סייבר לכתיבת מייל דיוג ואפילו תוכנות זדוניות.

זה מגיע אחרי פרסום של צ'ק פוינט שחשפה כי ישנן עדויות לפושעי סייבר רוסים שקושרו בDarkNet כדי לגשת באופן בלתי חוקי ל-ChatGPT3, אפליקציית מחולל הטקסטים שיכולה לכתוב כל דבר, החל מתעמולה ועד קוד תוכנה זדונית.

המסקנה הלא נוחה של צ'ק פוינט שברגע שפושעי סייבר יבינו כיצד לעקוף את הגבלות הגישה והשימוש שהוגדרו על ChatGPT, הם יוכלו להשתמש בתוכנה כדי להרחיב את שורותיהם.

אפליקציית WhatsApp משיקה עדכוני סטטוס קולי בגרסת בטא באנדרואיד

זמן ההקלטה המקסימלי של הערה קולית הוא 30 שניות והמשתמשים חייבים לעדכן את הגרסה של WhatsApp כדי להאזין להערות קוליות ששותפו באמצעות סטטוס.

הפלטפורמה גם מספקת למשתמשים שליטה רבה יותר על הקלטות הקול שלהם בכך שהיא מציעה את היכולת למחוק הקלטה לפני שיתוף.

הביקוש ל-ChatGPT בגוגל מגיע לשיא, דוח של ביקושים לאפליקציה לפי ארצות בטווח של 26/11-13/01

חשוב לזכור : ChatGPT הידע שלו מוגבל עד 2021. ולכן מידע בזמן אמת רק למנועי החיפוש יש את היכולת.

לכתבה המלאה באתר Finbold

תוקפים גילו דרך לעקוף שירותי אנטי-וירוס, תוך השתלת תוכנות זדוניות ב"תמונות ריקות" במיילים, לפי חוקרי Avanan.

"האקרים יכולים למקד כמעט כל אחד עם הטכניקה הזו. כמו רוב ההתקפות, הרעיון הוא להשתמש בו כדי לקבל משהו מהמשתמש קצה".

הקמפיין מציג בפני קורבן מסמך הונאה שמקורו לכאורה ב-DocuSign, שירות ניהול הסכמים אלקטרוניים.
המשתמש מתבקש לעיין ולחתום על המסמך. מעניין שבניגוד למסעות פרסום אחרים של פישינג, הקישור לוקח את המשתמשים לעמוד DocuSign לגיטימי.

בדרך זו, התוקפים מרמים את הקורבן לסמוך על האימייל הכולל. עם זאת, הסכנה האמיתית אורבת בקובץ המצורף של HTM שנשלח יחד עם הקישור של DocuSign.

הקובץ המצורף מכיל תמונת SVG המקודדת באמצעות Base64, סכימת קידוד בינארי לטקסט. בזמן שהתמונה ריקה, הקובץ עדיין מכיל תוכן פעיל, Javanoscript המפנה לכתובת האתר הזדונית.

כדי למנוע נפילה קורבן להתקפות כאלה, מומלץ למשתמשים להיות זהירים מכל דואר אלקטרוני שמכיל קבצים מצורפים של HTML או .htm. במקביל, לארגונים כדאי לשקול לחסום את כל קבצי ה-HTML המצורפים.

תוכנית הונאת מודעות מתוחכמת 'VastFlux' שזייפה 1,700 אפליקציות

תוכנית הונאת פרסומות מתוחכמת שזייפה יותר מ-1,700 יישומים ו-120 מפרסמים הגיעה לשיא של 12 מיליארד בקשות למודעות ביום לפני שהוסרה, כך אומרת חברת Human למניעת התקפות בוטים.

התוכנית, שזכתה לכינוי VastFlux, הסתמכה על קוד JavaScript המוזרק לקריאייטיבים של מודעות דיגיטליות, מה שהביא לכך שמודעות מזויפות נערמו אחת אחרי השנייה כדי לייצר הכנסות לתוקפים. יותר מ-11 מיליון מכשירים הושפעו בתוכנית.

קוד ה-JavaScript ששימש את התוקפים אפשר להם לערום נגני וידאו מרובים זה על גבי זה, וליצור הכנסות ממודעות, כאשר למעשה, למשתמש מעולם לא הוצגו המודעות.

תוקפים משתמשים כעת בקבצים מצורפים של Microsoft OneNote כדי להפיץ תוכנות זדוניות בדוא"ל ומדביקים את הקורבנות בתוכנות זדוניות, גניבת סיסמאות או מטבעות קריפטוגרפיים.

לאורך תקופה התוקפים השתמשו בקבצים זדוניים של Word ו-Excel עם פקודות מאקרו להורדה והתקנת תוכנות זדוניות אך מיקרוסופט סוף סוף השביתה פקודות מאקרו כברירת מחדל במסמכי Office, ולכן זמן קצר לאחר מכן, התוקפים החלו להשתמש בפורמטים חדשים של קבצים, כגון תמונות ISO וקובצי ZIP המוגנים בסיסמה. אך גם 7-Zip וגם Windows תיקנו לאחרונה את הבאגים הללו שגרמו ל-Windows להציג אזהרות אבטחה מפחידות כאשר משתמש מנסה לפתוח קבצים בקובצי ISO ו-ZIP שהורדו.

אז התוקפים עברו במהירות להשתמש בפורמט קובץ חדש Microsoft OneNote.

מכיוון ש-Microsoft OneNote מותקן כברירת מחדל בכל התקנות Microsoft Office/365, גם אם משתמש Windows אינו משתמש באפליקציה, הוא עדיין זמין לפתיחת פורמט הקובץ.

ראש ה-FBI "מודאג מאוד" מתוכנית הבינה המלאכותית של סין, וטען כי היא "לא מוגבלת על ידי שלטון החוק".

בנאום במהלך מושב הכלכלי העולמי בדאבוס, שוויץ, אמר כי שאיפות הבינה המלאכותית של בייג'ינג "נבנו על גבי המוני קניין רוחני ונתונים רגישים שהם גנבו במהלך השנים".

לדבריו, סין תוכל להשתמש בהתקדמות של בינה מלאכותית כדי לקדם את פעולות הפריצה שלה, גניבת קניין רוחני ודיכוי מתנגדי משטר במדינה ומחוצה לה.

"זה משהו שאנחנו מודאגים ממנו מאוד, ואני חושב שכולם כאן צריכים להיות מודאגים מאוד ממנו".

מוקדם יותר השנה, ועדת בינה מלאכותית בראשות מנכ"ל גוגל לשעבר דחקה בארה"ב להגביר את כישורי הבינה המלאכותית שלה כדי להתמודד עם סין, כולל על ידי חיפוש אחר כלי נשק "תומכים בבינה מלאכותית".

חברת המחקר והפיתוח OpenAI, המוח מאחורי צ'אטבוט, ChatGPT, מפרסמת שיתוף הפעולה מבטיח עם מיקרוסופט גם ביחסי עבודה בשווי מיליארדים, וגם קידום טכנולוגיות חדשניות של בינה מלאכותית.

מיקרוסופט פרסמה את ההכרזה בבלוג הרשמי שלה.

"אנו מכריזים על השלב השלישי של השותפות ארוכת הטווח שלנו עם OpenAI באמצעות השקעה רב-שנתית של מיליארדי דולרים כדי להאיץ את פריצות הדרך של בינה מלאכותית כדי להבטיח שהיתרונות הללו יהיו משותפים עם העולם באופן נרחב", הצהירה מיקרוסופט.

חברת OpenAI הכריזה על החדשות בטוויטר, והצהירה שהשותפות תאפשר לחברה המפתחת בינה מלאכותית "להמשיך במחקר העצמאי שלנו ולפתח בינה מלאכותית שהיא בטוחה, שימושית וחזקה יותר ויותר".

התפתחות התקפות השתלטות על חשבון (Account Takeover Attacks) מספקים גישה ראשונית ל-IoT

כדי למנוע התקפות השתלטות על חשבון, חשוב לנקוט בגישה פרואקטיבית לאבטחת IoT.

ניתן לעשות זאת על ידי תכנון ויישום פרוטוקולי אבטחה חזקים יותר במכשירי IoT, שינוי תצורות ברירת מחדל חלשות והחלת תיקונים באופן קבוע. על ידי כך, ניתן להבטיח שמכשירי ה-IoT מאובטחים.

אפשר להשוות מתקפת השתלטות על חשבון לסיפור הקלאסי "בייביסיטר והטלפון המסתורי", שבו השיחות מגיעות מתוך הבית.

חיוני להיות מודע לסיכונים הפוטנציאליים ולנקוט פעולה כדי להגן על עצמך מפני התקפות מסוג זה.

לכתבה

חברת GoTo מדווחת שתוקף גנב גיבויים מוצפנים ומפתח הצפנה מתקיפה שבוצעה על השותפה LastPass.

מנכ"ל GoTo , אישר כי פרצת האבטחה הייתה הרבה יותר גרועה ממה שדווח במקור וכללה גניבה של שמות משתמש בחשבון, סיסמאות וחלק מהגדרות אימות רב-גורמי (MFA), כמו גם כמה הגדרות מוצר ופרטי רישוי.

באוגוסט בשנה שעברה, LastPass, שותפת GoTo, חשפה הפרת נתונים שכללה גניבה של קוד מקור ומידע טכני קנייני. בנובמבר, GoTo אמרה שהיא הושפעה גם מהפריצה הזו, התוקפים השתמשו במידע מאותה פריצה כדי להחזיר ולחטוף נתוני לקוחות שכללו שמות חברות, שמות משתמשי קצה, כתובות חיוב, כתובות דואר אלקטרוני, מספרי טלפון וכתובות ה-IP שמהן ניגשו הלקוחות.

לכתבה

רובוטים זעירים שנעים באמצעות שרירי עכבר שגדלו במעבדה מסמלים שינויים עצומים בתעשיית הרובוטיקה.

המכונה בגודל אפונה, המכונה eBiobot, היא הכלאה של טכנולוגיה וביולוגיה שפותחה על ידי חוקרים מאוניברסיטת אילינוי ומוסדות נוספים, הודות לבקרי LED משולבים, הוא אינו זקוק לסוללה או למקור כוח כדי לשלוט בו מרחוק ונע על ידי קצירת אור. הודות לרקמת שריר עכבר רגישה לאור שגדלה באופן מלאכותי סביב השלד הרך של הבוט המודפס בתלת מימד.

חוקרים הצליחו לשלוט ברובוט על ידי שליחת אות אלחוטי שהניע את נוריות הלד לפעום ולעורר את השריר, שבתורו הניע את רגליו הפולימריות. ניתן למקד מנות ספציפיות כדי לגרום לו לנוע בכיוון הרצוי.

ראש המחקר מסר כי "שילוב מיקרואלקטרוניקה מאפשר מיזוג של העולם הביולוגי ועולם האלקטרוניקה".

ה-FBI חדר לתשתיות של קבוצת התקיפה Hive

מבצע אכיפת חוק בינלאומי ה- FBI חדר בחשאי לתשתית של כנופיית תוכנות הכופר של Hive.

פעולה זו אפשרה להם ללמוד על התקפות לפני שהתרחשו ולהזהיר מטרות, ולהשיג ולהפיץ מפתחות פענוח לקורבנות, ולמנוע כ-130 מיליון דולר בתשלומי כופר.

"מאז שחדרו לרשת של Hive ביולי 2022, ה-FBI סיפק למעלה מ-300 מפתחות פענוח לקורבנות Hive שהותקפו. בנוסף, ה-FBI חילק למעלה מ-1,000 מפתחות פענוח נוספים לקורבנות ה-Hive הקודמים".