Forwarded from SecurityLab.ru
🇺🇸Атака вымогателей на больницу привела к гибели ребенка
В штате Алабама грудная девочка с серьезной травмой мозга погибла, поскольку ей не была оказана надлежащая медицинская помощь из-за атаки вымогательского ПО на компьютерные сети больницы.
Мать погибшего ребенка Тейранни Кидд (Teiranni Kidd) подала в суд на медицинский центр Спрингхилла за то, что, когда она приехала рожать, администрация не предупредила о неработающих из-за кибератаки компьютерных сетях больницы.
Судебный иск является первым заслуживающим доверия публичным заявлением о том, что кибератака, в результате которой хакеры удаленно заблокировали работу компьютеров в больнице с целью вымогательства, хотя бы частично повинна в смерти человека
https://www.securitylab.ru/news/525189.php
В штате Алабама грудная девочка с серьезной травмой мозга погибла, поскольку ей не была оказана надлежащая медицинская помощь из-за атаки вымогательского ПО на компьютерные сети больницы.
Мать погибшего ребенка Тейранни Кидд (Teiranni Kidd) подала в суд на медицинский центр Спрингхилла за то, что, когда она приехала рожать, администрация не предупредила о неработающих из-за кибератаки компьютерных сетях больницы.
Судебный иск является первым заслуживающим доверия публичным заявлением о том, что кибератака, в результате которой хакеры удаленно заблокировали работу компьютеров в больнице с целью вымогательства, хотя бы частично повинна в смерти человека
https://www.securitylab.ru/news/525189.php
SecurityLab.ru
Атака вымогателей на больницу привела к гибели ребенка
Из-за неработающих компьютеров роженице не сделали важные тесты, что привело к гибели ее дочери.
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Company wide SAST
Ребята из Яндекса выложили последний недостающий доклад с ZN (+слайды), где они рассказали о том, как строили SAST. В первой части речь пойдет про разработанный внутри оркестратор SAST'а и правила для Semgrep. Во второй части будет затронута тема CodeQL: его плюсы/минусы, опыт проведения пилота и написания правил. Есть также ссылка на репозиторий с полезными запросами для улучшения taint-анализа.
#dev #sast
Ребята из Яндекса выложили последний недостающий доклад с ZN (+слайды), где они рассказали о том, как строили SAST. В первой части речь пойдет про разработанный внутри оркестратор SAST'а и правила для Semgrep. Во второй части будет затронута тема CodeQL: его плюсы/минусы, опыт проведения пилота и написания правил. Есть также ссылка на репозиторий с полезными запросами для улучшения taint-анализа.
#dev #sast
DNS постепенно теряет свою легкость для анализа в ходе реагирования как и https.
https://www.bleepingcomputer.com/news/microsoft/windows-11-is-released-what-you-need-to-know-and-new-features/amp/
https://www.bleepingcomputer.com/news/microsoft/windows-11-is-released-what-you-need-to-know-and-new-features/amp/
BleepingComputer
Windows 11 is released: What you need to know and new features
Microsoft has released Windows 11 worldwide, and it is now rolling it out via Windows Update on devices with compatible hardware and the latest updates.
Forwarded from k8s (in)security (D1g1)
Наткнулся недавно на достаточно неплохую подборку Container CVE List в:
-
-
-
-
Начинание хорошее, главное, чтобы поддерживалось актуальное состояние. Так о самих у уязвимостях я пишу и на данном канала [1,2,3,...], а еще как я писал ранее - можно следить за этим всем с помощью специальных поисковых запросах в репозитории проекта
-
Kubernetes-
runc-
ContainerD-
DockerНачинание хорошее, главное, чтобы поддерживалось актуальное состояние. Так о самих у уязвимостях я пишу и на данном канала [1,2,3,...], а еще как я писал ранее - можно следить за этим всем с помощью специальных поисковых запросах в репозитории проекта
Kubernetes.Forwarded from SecurityLab.ru
Яндекс предупредит пользователей о скомпрометированных паролях
Согласно опубликованным данным, команда Яндекса запустила в работу новую функцию по защите учётных записей от ненадёжных паролей.
Сообщается, что специалисты составили базу данных скомпрометированных паролей, которая пока насчитывает 1,2 миллиарда записей и постоянно пополняется. Помимо прочего в базе содержатся пароли, которые были украдены и опубликованы в тех или иных базах.
Также «Яндекс» теперь будет присылать пуш-уведомления обо всех входах в учетную запись, чтобы владелец смог вовремя отследить подозрительный визит и принять меры защиты.
https://www.securitylab.ru/news/525327.php
Согласно опубликованным данным, команда Яндекса запустила в работу новую функцию по защите учётных записей от ненадёжных паролей.
Сообщается, что специалисты составили базу данных скомпрометированных паролей, которая пока насчитывает 1,2 миллиарда записей и постоянно пополняется. Помимо прочего в базе содержатся пароли, которые были украдены и опубликованы в тех или иных базах.
Также «Яндекс» теперь будет присылать пуш-уведомления обо всех входах в учетную запись, чтобы владелец смог вовремя отследить подозрительный визит и принять меры защиты.
https://www.securitylab.ru/news/525327.php
SecurityLab.ru
Яндекс предупредит пользователей о скомпрометированных паролях
Российская компания «Яндекс» объявила об усилении безопасности аккаунтов пользователей.
Forwarded from Пост Лукацкого
LastPass выпустила отчет "Psychology of Passwords", оценив практику работы с паролями среди почти 4000 специалистов по ИБ. Результаты интересные. 92% считают, что использовать те же пароли или их вариации небезопасно, но при этом 65% ровно это и делают. А 45% вообще не меняли пароли в последние годы, даже если знали, что сервисы, где использовали эти пароли, пострадали от утечек или были скомпрометированы. Основная причина такого нелогичного поведения - 68% просто боится забыть новый пароль. При этом 90% респондентов имеют не менее 50 учетных записей в различных онлайн-сервисах и приложениях и это число выросло на 50% по сравнению с прошлым годом.
92% считают незазорным использовать в паролях какую-либо публично известную персональную информацию - тот же день рождения или часть домашнего адреса. Рост использования MFA на работе и в личных целях вырос до 76% респондентов (на 10%). С другой стороны 47% пользователей не поменяло своих привычек при переходе на удаленку во время пандемии и почти столько же (46%).
92% считают незазорным использовать в паролях какую-либо публично известную персональную информацию - тот же день рождения или часть домашнего адреса. Рост использования MFA на работе и в личных целях вырос до 76% респондентов (на 10%). С другой стороны 47% пользователей не поменяло своих привычек при переходе на удаленку во время пандемии и почти столько же (46%).
180 дней бесплатные курсы по Google cloud и 1 месяц бесплатная сертификация. есть 2 специализации по безопасности.
предложение ограничено первыми 100 000 зарегистрировавшимся.
https://www.coursera.org/promo/google-cloud-free-courses-2021
предложение ограничено первыми 100 000 зарегистрировавшимся.
https://www.coursera.org/promo/google-cloud-free-courses-2021
Coursera
Coursera | Online Courses & Credentials From Top Educators. Join for Free
Learn online and earn valuable credentials from top universities like Yale, Michigan, Stanford, and leading companies like Google and IBM. Join Coursera for free and transform your career with degrees, certificates, Specializations, & MOOCs in data science…
для тех кому интересно глубоко погрузится в криптографию рекомендуем серию семинаров
«Математические методы криптографического анализа»!
С целью обеспечить лучшее представление слушателей о характере очередного заседания, анонсы докладов будут сопровождаться пояснениями о виде предстоящего заседания (доклад/лекция или обсуждение), а также о категории обсуждаемых вопросов.
Список категорий, которые представляется логичным выделить для характеризации тем семинаров:
1. Проблемы математической криптографии – разработка и иерархия математических моделей в криптографии, общие подходы к анализу криптографических механизмов и протоколов.
2. Криптографические примитивы и математические задачи криптографии – вопросы синтеза и анализ конкретных примитивов, а также методы решения важных для криптографии вычислительных задач.
3. Криптографические протоколы и анализ их стойкости – синтез и анализ протокольных решений.
4. Математические аспекты реализации криптографических механизмов – задачи создания безопасных и эффективных реализаций.
В рамках каждой из категорий могут быть представлены как новые результаты, так и обзорные доклады. Отнесение каждого доклада к той или иной категории мы всегда будем согласовывать с автором. Безусловно, некоторые доклады могут выходить за рамки одной категории.
Видео записи прошедших семинаров можно скачать по ссылке: https://yadi.sk/d/c00VAq9mhTeuFQ
РАССЫЛКА: Если Вы знаете кого-нибудь, кто не получает письма с расписанием работы семинара, но очень хотел бы их получать, то попросите его написать письмо с просьбой внести его адрес в список адресов для рассылки. Письма просьба присылать на MathMethodsOfCryptanalysis@mail.ru
«Математические методы криптографического анализа»!
С целью обеспечить лучшее представление слушателей о характере очередного заседания, анонсы докладов будут сопровождаться пояснениями о виде предстоящего заседания (доклад/лекция или обсуждение), а также о категории обсуждаемых вопросов.
Список категорий, которые представляется логичным выделить для характеризации тем семинаров:
1. Проблемы математической криптографии – разработка и иерархия математических моделей в криптографии, общие подходы к анализу криптографических механизмов и протоколов.
2. Криптографические примитивы и математические задачи криптографии – вопросы синтеза и анализ конкретных примитивов, а также методы решения важных для криптографии вычислительных задач.
3. Криптографические протоколы и анализ их стойкости – синтез и анализ протокольных решений.
4. Математические аспекты реализации криптографических механизмов – задачи создания безопасных и эффективных реализаций.
В рамках каждой из категорий могут быть представлены как новые результаты, так и обзорные доклады. Отнесение каждого доклада к той или иной категории мы всегда будем согласовывать с автором. Безусловно, некоторые доклады могут выходить за рамки одной категории.
Видео записи прошедших семинаров можно скачать по ссылке: https://yadi.sk/d/c00VAq9mhTeuFQ
РАССЫЛКА: Если Вы знаете кого-нибудь, кто не получает письма с расписанием работы семинара, но очень хотел бы их получать, то попросите его написать письмо с просьбой внести его адрес в список адресов для рассылки. Письма просьба присылать на MathMethodsOfCryptanalysis@mail.ru
Yandex Disk
MMCA
View and download from Yandex Disk
Forwarded from k8s (in)security (D1g1)
Небольшой анонс.
После завтра, а именно 13 октября в 19:00 (Мск) будет вебинар «Дыры и заборы: безопасность в Kubernetes», который является по сути предваряющим курс "Безопасность в Kubernetes" на площадке СЛЁРМ.
Я решил также внести свою небольшую, посильную лепту в этот образовательный проект для широкой аудитории. Не только же корпоративные тренинги читать =)
После завтра, а именно 13 октября в 19:00 (Мск) будет вебинар «Дыры и заборы: безопасность в Kubernetes», который является по сути предваряющим курс "Безопасность в Kubernetes" на площадке СЛЁРМ.
Я решил также внести свою небольшую, посильную лепту в этот образовательный проект для широкой аудитории. Не только же корпоративные тренинги читать =)
Forwarded from WTF_HR
Доброе понедельничное утро!
Однажды мы удостоились репоста одного из ведущих в стране спецов по информационной безопасности, прожившего довольно долгое время в Северной Америке и потому на своей шкуре ощутившего разницу между тем, как обращаются с реальностью представители нашей части мира и тамошние жители.
И этот самый спец не просто нас репостнул, а добавил к тексту очень важную вещь про то, как наши и американцы относятся к изобретательству и предпринимательству. Дело в том, что у нас сначала принято что-то сделать, а потом попытаться понять, можно ли это продать и кому. А у американцев – наоборот. Сначала ты находишь проблему конкретного человека и обещаешь ему ее решить, а потом – думаешь, как это сделать.
Поэтому американцы не смеются над нашим анекдотом про двух бизнесменов, договорившихся, что один другому продаст цистерну нефти за тысячу долларов, после чего один пошел искать цистерну нефти, а второй – тысячу долларов. Для них это – норма жизни и практически девиз. FITUMI – Fake It Till You Make It.
И поэтому у нас обычно проблемы в стиле «запилили офигенный продукт, а он никому не нужен», а у американцев – «наобещали с три короба, а потом уткнулись в неразрешимую инженерную задачку». Такая вот разница в вопросе толерантности. К ошибкам, конечно, не подумайте чего.
Забавным образом это сочетается и с другим культурным различием (идут ли эти черты всегда вместе или нет – вопрос к культурологам, но для американцев и наших – точно идут). Так называемая пирамида Минто, она же top-down метод – это основа основ деловой коммуникации у разных там англосаксов. Сначала – проблема, потом сразу решение, потом аргументы, доказательства, теории, если до них вообще доходит дело.
В нашей же части мира все наоборот – после констатации проблемы идет теоретическое обоснование подхода к ее решению, потом приводятся аргументы за и против разных подходов и прочая теза с антитезой, и только потом, в результате синтеза (это когда «они сошлись вода и камень, стихи и проза, лед и пламень») случается вывод и решение. Такое обожают ученые, инженеры и русские с немцами, и терпеть не могут продавцы, топ-менеджеры и разного рода англосаксы.
Хотя топ-менеджеры и инженеры тоже разные бывают, тут уж как пойдет. Один наш источник вспоминает, как его компания, гендиректор которой обладал фундаментальным русским образованием в точных науках, купила за бешеные деньги американского инженерного спеца из мирового IT-гиганта, инновации развивать.
Но вышла незадача. Спец этот мало того, что был американцем, так еще и вырос в корпоративной культуре, где у топ-менеджеров нет времени обсуждать всякие там теории. Так что вышло практически комбо из обеих культурных особенностей.
Наш американец приходил на встречи с гендиректором, делал пятиминутный питч и просил ресурсы и людей. А гендиректор сначала вежливо, последовательно и занудно просил доказать все свои утверждения, начав примерно от Царя Гороха (чем практически наносил американцу личное оскорбление – ведь все же уже написал, и вообще встреча не про доказательства, а про решения скорее принимать). А потом эти самые ресурсы ему не давал, потому что «а на что давать ресурсы, пусть хоть что-то сделает, а то разговоры одни».
Сказать, что оба были жутко фрустрированы – не сказать ничего. И все бы закончилось депортацией американца восвояси, если бы наши герои не сходили в бар, ой то есть, конечно, если бы не нашелся персонаж, последовательно несколько раз объяснявший обоим про разницу в коммуникации – и таки в итоге объяснивший.
Профессию мудрого персонажа предоставим читателям гордо воображать самим.
Хорошей недели!
Однажды мы удостоились репоста одного из ведущих в стране спецов по информационной безопасности, прожившего довольно долгое время в Северной Америке и потому на своей шкуре ощутившего разницу между тем, как обращаются с реальностью представители нашей части мира и тамошние жители.
И этот самый спец не просто нас репостнул, а добавил к тексту очень важную вещь про то, как наши и американцы относятся к изобретательству и предпринимательству. Дело в том, что у нас сначала принято что-то сделать, а потом попытаться понять, можно ли это продать и кому. А у американцев – наоборот. Сначала ты находишь проблему конкретного человека и обещаешь ему ее решить, а потом – думаешь, как это сделать.
Поэтому американцы не смеются над нашим анекдотом про двух бизнесменов, договорившихся, что один другому продаст цистерну нефти за тысячу долларов, после чего один пошел искать цистерну нефти, а второй – тысячу долларов. Для них это – норма жизни и практически девиз. FITUMI – Fake It Till You Make It.
И поэтому у нас обычно проблемы в стиле «запилили офигенный продукт, а он никому не нужен», а у американцев – «наобещали с три короба, а потом уткнулись в неразрешимую инженерную задачку». Такая вот разница в вопросе толерантности. К ошибкам, конечно, не подумайте чего.
Забавным образом это сочетается и с другим культурным различием (идут ли эти черты всегда вместе или нет – вопрос к культурологам, но для американцев и наших – точно идут). Так называемая пирамида Минто, она же top-down метод – это основа основ деловой коммуникации у разных там англосаксов. Сначала – проблема, потом сразу решение, потом аргументы, доказательства, теории, если до них вообще доходит дело.
В нашей же части мира все наоборот – после констатации проблемы идет теоретическое обоснование подхода к ее решению, потом приводятся аргументы за и против разных подходов и прочая теза с антитезой, и только потом, в результате синтеза (это когда «они сошлись вода и камень, стихи и проза, лед и пламень») случается вывод и решение. Такое обожают ученые, инженеры и русские с немцами, и терпеть не могут продавцы, топ-менеджеры и разного рода англосаксы.
Хотя топ-менеджеры и инженеры тоже разные бывают, тут уж как пойдет. Один наш источник вспоминает, как его компания, гендиректор которой обладал фундаментальным русским образованием в точных науках, купила за бешеные деньги американского инженерного спеца из мирового IT-гиганта, инновации развивать.
Но вышла незадача. Спец этот мало того, что был американцем, так еще и вырос в корпоративной культуре, где у топ-менеджеров нет времени обсуждать всякие там теории. Так что вышло практически комбо из обеих культурных особенностей.
Наш американец приходил на встречи с гендиректором, делал пятиминутный питч и просил ресурсы и людей. А гендиректор сначала вежливо, последовательно и занудно просил доказать все свои утверждения, начав примерно от Царя Гороха (чем практически наносил американцу личное оскорбление – ведь все же уже написал, и вообще встреча не про доказательства, а про решения скорее принимать). А потом эти самые ресурсы ему не давал, потому что «а на что давать ресурсы, пусть хоть что-то сделает, а то разговоры одни».
Сказать, что оба были жутко фрустрированы – не сказать ничего. И все бы закончилось депортацией американца восвояси, если бы наши герои не сходили в бар, ой то есть, конечно, если бы не нашелся персонаж, последовательно несколько раз объяснявший обоим про разницу в коммуникации – и таки в итоге объяснивший.
Профессию мудрого персонажа предоставим читателям гордо воображать самим.
Хорошей недели!