Германия выстурает против end-to-end encryption, план даже внести правки в стандарт 5g в части сквозного шифрования.

1. Начиная с 19 июня 2019 года планируется обеспечить возможность сдачи экзаменов cisa, cism, cgeit, crisc 365 дней в году, ранее окна были по 3-4 месяца.
2. В рамках 12 месяцев можно неограниченно будет переносность экзамен без штрафа при условии переноса за 48 часов до начала экзамена.
3. Все сдачи экзамена cisa с 24 мая будут по новым job practice.

Коллеги,
Анализ сети ШПД Ростелеком показал, что более 42% публично доступных RDP-сервисов уязвимы к BlueKeep/CVE-2019-0708.
Эксплойт публично доступен. Сканер данной уязвимости для Metasploit так же доступен. Предполагаем начало массовых атак в ближайшее время.
RT CERT призывает Вас своевременно обновлять свое ПО и отказываться от идеи размещения публично доступных RDP-сервисов.

Все мы помним Wanna Cry, Petya, Bad Rabbit и т.п.

#rdp #metasploit #CVE-2019-0708 #windows #BlueKeep #exploit

The last one I took from Tenable's “Predictive Prioritization: Data science lets you focus on the 3% of vulnerabilities likely to
be exploited”
https://www.tenable.com/whitepapers/predictive-prioritization-data-science-lets-you-focus-on-3-percent-of-vulnerabilities

Well, if using only CVSS for Vulnerability Prioritization is bad, maybe we can use it with Exploit databases? Actually, it's a good idea. Only 7% of vulnerabilities have a publically available exploit, so if a vulnerability has an exploit it worth to patch it. Of course, if the exploit actually exists and works well. Because sometimes "exploit" is just a PoC or a detection noscript, sometimes the type of vulnerability and the type of related exploit don't match (RCE and DoS for example), sometimes you just have to believe that exploit exists somewhere in a closed pack, but no one has seen or used it. So, if we have a good exploit data feed, such prioritization method will be quite useful.

But, this way will give maximum priority to vulnerabilities that are exploitable right NOW. And VM vendors promise us that their new Vulnerability Prioritization features will also get vulnerabilities that are not exploitable now, but are likely to be exploited in the near-term FUTURE! Which is interesting.

Новые положения Банка России: новые требования и новые вопросы https://t.co/kUeCQeYZ3B
— Alexey Lukatsky (@alukatsky) May 27, 2019

Посмотрите, о чем твитнул(а) @3dwave: https://twitter.com/3dwave/status/1132991383508267008?s=09

Минкомсвязь написала методичку по цифровым стратегиям для госкомпаний :: Технологии и медиа :: РБК
https://www.rbc.ru/technology_and_media/27/05/2019/5ce825f99a7947aaec2e09ae?from=center

NISTIR 8183A Vol. 1 (DRAFT), CSF Manufacturing Profile Low Security Level Guide: Vol 1 | CSRC
https://csrc.nist.gov/publications/detail/nistir/8183a/vol-1/draft

U.S. lawmakers call on spy chief to rein in spread of hacking tools - Reuters
https://www.reuters.com/article/us-usa-cyber-congress/u-s-lawmakers-call-on-spy-chief-to-rein-in-spread-of-hacking-tools-idUSKCN1SQ1ZK

NASA Official Credits DHS’ Cyber Tools with Transforming Its Cyber Stance - Nextgov
https://www.nextgov.com/cybersecurity/2019/05/nasa-official-credits-dhs-cyber-tools-transforming-its-cyber-stance/157204/

Mobile Application Single Sign-On | NCCoE
https://www.nccoe.nist.gov/projects/use-cases/mobile-sso

Ограничения по локализации в ЕС обработки данных вступили в силу с 28 мая 2019.