Forwarded from CyberCamp
Насколько сложно начать карьеру после студенческой скамьи?👨🏻🎓
Рассказывает Ольга Елисеева, руководитель сервиса Jet CyberCamp:
«14 лет назад я училась в университете по специальности «Организация и технология защиты информации». Направление было перспективным, но с перекосом в сторону теории.
Практики хотелось все сильнее, и на четвертом курсе я задумалась о стажировке. Искала вакансии, ходила на собеседования, но почти везде нужны были опытные сотрудники на полный рабочий день. Общаясь с нынешними студентами, я поняла, что ничего не изменилось.
Мы знаем, что практические навыки важно получать уже в университете. Поэтому программа CyberCamp 2022 составлена так, чтобы за 3 дня можно было понять, как обеспечивается безопасность бизнеса в реальной жизни».
Мы зарезервировали места под студенческие команды. Лучших ждет специальный приз🏆
📌Если ты студент, регистрируйся и приглашай однокурсников!
Рассказывает Ольга Елисеева, руководитель сервиса Jet CyberCamp:
«14 лет назад я училась в университете по специальности «Организация и технология защиты информации». Направление было перспективным, но с перекосом в сторону теории.
Практики хотелось все сильнее, и на четвертом курсе я задумалась о стажировке. Искала вакансии, ходила на собеседования, но почти везде нужны были опытные сотрудники на полный рабочий день. Общаясь с нынешними студентами, я поняла, что ничего не изменилось.
Мы знаем, что практические навыки важно получать уже в университете. Поэтому программа CyberCamp 2022 составлена так, чтобы за 3 дня можно было понять, как обеспечивается безопасность бизнеса в реальной жизни».
Мы зарезервировали места под студенческие команды. Лучших ждет специальный приз🏆
📌Если ты студент, регистрируйся и приглашай однокурсников!
👍1
Forwarded from Yandex Neuro Scale 2025
Yandex Scale 2022 — программа мероприятия уже на сайте!
На Yandex Scale вас снова ждёт насыщенная программа: 30 докладов, 50 докладчиков, общение с командой разработки и истории наших пользователей.
В главном докладе расскажем о том, как мы и наши клиенты адаптировались к новой реальности, что было в фокусе последние несколько месяцев и каким видим будущее нашей платформы.
В пяти тематических треках поделимся важными новостями о продуктах и сервисах.
Переходите на сайт, чтобы посмотреть список докладов и сформировать своё расписание →
#yacloud_news
На Yandex Scale вас снова ждёт насыщенная программа: 30 докладов, 50 докладчиков, общение с командой разработки и истории наших пользователей.
В главном докладе расскажем о том, как мы и наши клиенты адаптировались к новой реальности, что было в фокусе последние несколько месяцев и каким видим будущее нашей платформы.
В пяти тематических треках поделимся важными новостями о продуктах и сервисах.
Переходите на сайт, чтобы посмотреть список докладов и сформировать своё расписание →
#yacloud_news
Forwarded from Денис Тришкин
Всем привет!
Для студентов, выпускников технических вузов и начинающих специалистов в ИТ: Тинькофф открыk набор на бесплатный онлайн-курс Информационной безопасности 👀
Преподаватели — ведущие специалисты и техлиды Тинькофф.
Больше подробностей о программе читайте в карточках. Подать заявку можно уже сейчас, а пройти отборочные испытания с 25 августа по 1 сентября — выбирайте интересное вам направление по ссылке: https://o.tinkoff.ru/infobez-fintech-qa
P.S. Согласовано с @vbengin
Для студентов, выпускников технических вузов и начинающих специалистов в ИТ: Тинькофф открыk набор на бесплатный онлайн-курс Информационной безопасности 👀
Преподаватели — ведущие специалисты и техлиды Тинькофф.
Больше подробностей о программе читайте в карточках. Подать заявку можно уже сейчас, а пройти отборочные испытания с 25 августа по 1 сентября — выбирайте интересное вам направление по ссылке: https://o.tinkoff.ru/infobez-fintech-qa
P.S. Согласовано с @vbengin
https://www.nccoe.nist.gov/get-involved/attend-events/nccoe-learning-series-webinar-preparing-migration-post-quantum
NCCoE Learning Series Webinar: Preparing for the Migration to Post-Quantum Cryptography
Thursday, August 25, 2022 3:00–3:45pm
NCCoE Learning Series Webinar: Preparing for the Migration to Post-Quantum Cryptography
Thursday, August 25, 2022 3:00–3:45pm
👍1
Forwarded from SecurityLab.ru
Microsoft: Песня Джанет Джексон обладала способностью ломать ноутбуки
— Один из производителей ноутбуков обнаружил, что при воспроизведении песни Rhythm Nation популярной американской певицы Джанет Джексон определённые модели мобильных ПК выходили из строя.
— Оказывается, песня содержала одну из собственных резонансных частот для модели жестких дисков для ноутбуков на 5400 об/мин, которую использовали разные производители жестких дисков.
— Производитель решил проблему, добавив в аудиоконвейер специальный фильтр, который обнаруживал и удалял нежелательные частоты во время воспроизведения звука. Таким образом песни Джексон больше не могли навредить системе. Возможно, что этот аудиофильтр с тех пор продолжает быть обязательными строками кода в драйверах многих ноутбуков.
Подробнее: https://www.securitylab.ru/news/533397.php?r=2
— Один из производителей ноутбуков обнаружил, что при воспроизведении песни Rhythm Nation популярной американской певицы Джанет Джексон определённые модели мобильных ПК выходили из строя.
— Оказывается, песня содержала одну из собственных резонансных частот для модели жестких дисков для ноутбуков на 5400 об/мин, которую использовали разные производители жестких дисков.
— Производитель решил проблему, добавив в аудиоконвейер специальный фильтр, который обнаруживал и удалял нежелательные частоты во время воспроизведения звука. Таким образом песни Джексон больше не могли навредить системе. Возможно, что этот аудиофильтр с тех пор продолжает быть обязательными строками кода в драйверах многих ноутбуков.
Подробнее: https://www.securitylab.ru/news/533397.php?r=2
SecurityLab.ru
Песня Джанет Джексон обладала способностью ломать ноутбуки
О необычном влиянии песен сестры Майкла Джексона на ноутбуки и лэптопы рассказали в компании Microsoft.
Forwarded from SecAtor
Компания Arnica, специализирующаяся на безопасности цепочки поставок ПО, опубликовала отчет об инциденте, который произошел в начале этого месяца, когда злоумышленник заполонил GitHub более чем 35 000 проектами с бэкдором.
Ресерчеры отмечают: что на первый взгляд показалось массовым взломом репозитория, оказалось небольшой автоматизацией, смешанной с небольшим знанием некоторых эзотерических команд git.
В код многих тысяч репозиториев был вставлен код, который отправлял переменные среды на виртуальный частный сервер и запускал код с этого сервера. Как ни странно, эти одинаково написанные бэкдоры, по-видимому, были созданы многими разработчиками в течение многих лет.
GitHub быстро удалил затронутые репозитории и сообщил, что все затронутые репозитории были просто клонами реальных репозиториев и при этом ни один реальный аккаунт не был скомпрометирован.
Примечательно то, как были созданы эти клоны, если не в результате форка: один из способов сделать это — создать второй удаленный локальный клон.
Одна из причин такого приема — запретить GitHub сообщать другим пользователям, что это клон. При этом GitHub связывает коммит клона со страницей того же автора. GitHub выбирает имя и адрес электронной почты последнего коммита и доверяет ему. Таким образом, автор коммита может быть не тем, кто отправляет коммит.
Помимо репосквотинга, такого рода клоны можно использовать для создания скрытых PR для исходных проектов, хотя форк вместо клона сработает так же хорошо.
Исследователи рекомендуют использовать подписание и проверку коммитов с помощью GPG. Однако почти никто этого не делает. Кроме того, для предотвращения такого рода атак решающее значение имеет последовательность.
Все подробности и наглядно - здесь 👇
Ресерчеры отмечают: что на первый взгляд показалось массовым взломом репозитория, оказалось небольшой автоматизацией, смешанной с небольшим знанием некоторых эзотерических команд git.
В код многих тысяч репозиториев был вставлен код, который отправлял переменные среды на виртуальный частный сервер и запускал код с этого сервера. Как ни странно, эти одинаково написанные бэкдоры, по-видимому, были созданы многими разработчиками в течение многих лет.
GitHub быстро удалил затронутые репозитории и сообщил, что все затронутые репозитории были просто клонами реальных репозиториев и при этом ни один реальный аккаунт не был скомпрометирован.
Примечательно то, как были созданы эти клоны, если не в результате форка: один из способов сделать это — создать второй удаленный локальный клон.
Одна из причин такого приема — запретить GitHub сообщать другим пользователям, что это клон. При этом GitHub связывает коммит клона со страницей того же автора. GitHub выбирает имя и адрес электронной почты последнего коммита и доверяет ему. Таким образом, автор коммита может быть не тем, кто отправляет коммит.
Помимо репосквотинга, такого рода клоны можно использовать для создания скрытых PR для исходных проектов, хотя форк вместо клона сработает так же хорошо.
Исследователи рекомендуют использовать подписание и проверку коммитов с помощью GPG. Однако почти никто этого не делает. Кроме того, для предотвращения такого рода атак решающее значение имеет последовательность.
Все подробности и наглядно - здесь 👇
www.arnica.io
Demystifying the Pl0x GitHub Attack
What seems on first blush to be a massive repository compromise turned out to be a little automation mixed with a little knowledge of esoteric git commands.
Стартовал новый проект NCCoE NIST Mitigation of AI/ML Bias in Context
https://www.nccoe.nist.gov/projects/mitigating-aiml-bias-context
https://www.nccoe.nist.gov/projects/mitigating-aiml-bias-context
Forwarded from AlexRedSec
Недавно вышел очередной квартальный выпуск ThinkstScapes, а там ссылочка на интересное исследование про стратегии обновления ПО, а если быть точнее, то про количественную оценку эффективности стратегий обновлений ПО для противодействия APT-атакам - "Software Updates Strategies:A Quantitative Evaluation Against Advanced Persistent Threats".
В рамках данной работы авторы:
🔸Проанализировали более 500 отчетов о более чем 350 атаках, проведенных 86 APT-группами за период с 2008 по 2022 годы, и создали базу данных.
🔸Представили методологию количественной оценки и сравнения эффективности и стоимости различных стратегий обновления ПО.
🔸Оценили стоимость и эффективность различных стратегий обновлений ПО для 5 ширпотребных офисных ПО под Windows.
Какие выводы:
🔸 Надо менять механизм обновлений ПО с целью ускорения самого процесса тестирования и накатки неуязвимых версий (ну, довольно очевидно).
🔸 Нет смысла покупать информацию о зеродеях у соответствующих контор, т.к. эффективность данной стратегии крайне мала (если кратко - деньги на ветер).
В целом, выводы, наверное, для большинства очевидны, НО меня в данной работе больше всего зацепил именно проведенный анализ APT-атак и формирование базы данных, в которой можно просмотреть связь APT-групп с проведенными атаками, техниками MITRE и используемыми уязвимостями. Развернул у себя копию БД - смотрите какая красота на скринах😊 Базу можно обновлять и самому вручную, что тоже большой плюсик!
Дамп БД, скрипты и исходные данные для ее формирования можно скачать тут. Там же можно найти подборку из более чем 400 отчетов об APT-атаках в формате pdf.
В рамках данной работы авторы:
🔸Проанализировали более 500 отчетов о более чем 350 атаках, проведенных 86 APT-группами за период с 2008 по 2022 годы, и создали базу данных.
🔸Представили методологию количественной оценки и сравнения эффективности и стоимости различных стратегий обновления ПО.
🔸Оценили стоимость и эффективность различных стратегий обновлений ПО для 5 ширпотребных офисных ПО под Windows.
Какие выводы:
🔸 Надо менять механизм обновлений ПО с целью ускорения самого процесса тестирования и накатки неуязвимых версий (ну, довольно очевидно).
🔸 Нет смысла покупать информацию о зеродеях у соответствующих контор, т.к. эффективность данной стратегии крайне мала (если кратко - деньги на ветер).
В целом, выводы, наверное, для большинства очевидны, НО меня в данной работе больше всего зацепил именно проведенный анализ APT-атак и формирование базы данных, в которой можно просмотреть связь APT-групп с проведенными атаками, техниками MITRE и используемыми уязвимостями. Развернул у себя копию БД - смотрите какая красота на скринах😊 Базу можно обновлять и самому вручную, что тоже большой плюсик!
Дамп БД, скрипты и исходные данные для ее формирования можно скачать тут. Там же можно найти подборку из более чем 400 отчетов об APT-атаках в формате pdf.
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Совсем скоро уже выйдет
Мы же в первую очередь заострим наше внимание на вещях связанных с
1)
3) Добавление поддержки
4) Forensic Container Checkpointing - можно делать
5) Оптимизации по работе с
7) Улучшение
8) Поддержка диапазона портов в классической
P.S. Это и хорошее обновление для моего тренинга =)
Kubernetes 1.25 и уже сейчас можно присмотреться к новым фичам, изменениям и светлому будущему [1,2,3]. Мы же в первую очередь заострим наше внимание на вещях связанных с
security:1)
PodSecurityPolicy (PSP) полностью исчезает из K8s
2) PodSecurity admission (замена PSP) переходит в stable и включен по умолчанию 3) Добавление поддержки
user namespaces - фича UserNamespacesSupport и новый параметр spec.hostUsers для Pod (вроде как 6 лет к этому шли) 🔥4) Forensic Container Checkpointing - можно делать
snapshot запущенного контейнера и потом проанализировать его на другой машине незаметно для атакующего 🔥5) Оптимизации по работе с
SELinux
6) Добавление поля SecretRef к запросу NodeExpandVolume 7) Улучшение
CVE feed - добавили official-cve-feed label, по которому просто искать и фильтровать8) Поддержка диапазона портов в классической
NetworkPolicy перешла в stable
9) Ephemeral Containers перешли в статус stable
10) Поддержка cgroup v2 перешла в stable 🔥P.S. Это и хорошее обновление для моего тренинга =)
GitHub
kubernetes/CHANGELOG/CHANGELOG-1.25.md at master · kubernetes/kubernetes
Production-Grade Container Scheduling and Management - kubernetes/kubernetes
Forwarded from Пост Лукацкого
Минцифры планирует создать реестр недопустимых событий. Пока перечисляемые в рамках текущих подходов риски ИБ для бизнеса — это теория, которая для непрофильных специалистов не очень понятна. Здесь же (если все пройдет правильно) есть возможность показать наглядно, от чего каждая компания должна защитить себя. Но важен не просто список, а верификация каждого события, его демонстрация. Например, реальная остановка оборудования предприятия, после которой топы компании будут точно понимать, что это возможно, какой убыток они понесут и что им нужно сделать, чтобы этого не произошло. Тогда реестр сможет стать точкой отсчета при оценке уязвимости компаний из всех сфер.
Коммерсантъ
Для госсектора открывается невозможное
Минцифры создаст реестр недопустимых нарушений кибербезопасности