Forwarded from k8s (in)security (Дмитрий Евдокимов)
Очень оперативно на
YouTube уже стали доступны выступления с первого дня CloudNativeSecurityCon 2023 в Seattle (это уже порядка 45 докладов), о котором я писал недавно. Думаю, что со второго дня все доклады будут доступны уже завтра! Также на сайте в разделе программа для некоторых докладов доступны и слайды ;)YouTube
CloudNativeSecurityCon 2023 - Seattle
CloudNativeSecurityCon 2023 was a two-day event designed to foster collaboration, discussion, and knowledge sharing of cloud native security projects and how...
👍1
Forwarded from Пост Лукацкого
Кстати, портал НКЦКИ (safe-surf.ru) обновили. Симпатичненько так получилось.
ЗЫ. Сертификат TLS у него до 15 марта (всего на 3 месяца выдан). Интересно, что потом? Новый Let's Encrypt или НУЦ?
ЗЫ. Сертификат TLS у него до 15 марта (всего на 3 месяца выдан). Интересно, что потом? Новый Let's Encrypt или НУЦ?
Портал информационной безопасности
Интернет-портал по информационной безопасности в сети | Для пользователей и специалистов
Информационный портал по безопасности в сети интернет и не только. Все вопросы информационной безопасности для пользователей и специалистов на нашем интернет-по...
Forwarded from AlexRedSec
На календаре 2 февраля, а это значит, что наступил 2nd FActor Day!
Да, да, у двухфакторки есть свой день в календаре - отличный день, чтобы убедиться, что на всех ресурсах, где у вас есть аккаунты, включена двухфакторная аутентификация✔️
Например, на сайте Гослуслуг или в Telegram.
А на сайте 2fa.directory можно посмотреть как включить эту функцию на различных популярных сайтах.
Да, да, у двухфакторки есть свой день в календаре - отличный день, чтобы убедиться, что на всех ресурсах, где у вас есть аккаунты, включена двухфакторная аутентификация
Например, на сайте Гослуслуг или в Telegram.
А на сайте 2fa.directory можно посмотреть как включить эту функцию на различных популярных сайтах.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from Авангард Медиа | Про ИБ и не только
Media is too big
VIEW IN TELEGRAM
«Магнитка 2023» многогранна как никогда! Язык машин и язык людей, цифровое измерение и человеческое — все стороны кибербеза, даже самые неочевидные, откроются тем, кто посетит главное выездное ИБ-мероприятие года в России.
Регистрируйтесь!
#ibbank #магнитка2023
Регистрируйтесь!
#ibbank #магнитка2023
Forwarded from Пост Лукацкого
Запись митапа Яндекса про внутреннюю кухню ИБ ИТ-компании. 4 доклада про безопасность финтех-сервисов в Yandex Cloud, методы защиты от современных DDoS-атак, организацию привилегированного доступа к Linux-инфраструктуре, автоматизацию процессов безопасности в корпорациях.
ЗЫ. Про утечку репозитория исходников Яндекса ни слова - обещали рассказать про это отдельно.
ЗЫ. Про утечку репозитория исходников Яндекса ни слова - обещали рассказать про это отдельно.
YouTube
Yet Another Security Meetup #1
00:00:00 Начало трансляции
00:02:11 Открытие – Антон Карпов, Яндекс
00:04:13 Как мы строили Банк в Облаке и что мы поняли – Андрей Абакумов, Яндекс
00:30:59 Новая реальность DDoS атак – Алексей Тощаков, Яндекс
01:10:15 Классификация, моделирование и policy…
00:02:11 Открытие – Антон Карпов, Яндекс
00:04:13 Как мы строили Банк в Облаке и что мы поняли – Андрей Абакумов, Яндекс
00:30:59 Новая реальность DDoS атак – Алексей Тощаков, Яндекс
01:10:15 Классификация, моделирование и policy…
👍1👎1
Forwarded from Пост Лукацкого
Обзор 12 онлайн-курсов по ИБ (многие бесплатные, но все на английском) с получением сертификатов по окончанию
The Fordham Ram
The 12 Best Cyber Security Courses: Stay Safe Online
Planning on becoming a cybersecurity professional but don't know where to start? Browse through our list of courses to find the right fit for your career!
👍2
Forwarded from SecAtor
Критический баг в Jira Service Management Server и Data Center позволяет злоумышленникам выдавать себя за пользователей Jira.
Как сообщают разработчики Atlassian, уязвимость аутентификации при определенных обстоятельствах предоставляет злоумышленнику доступ к экземпляру Jira Service Management, выдавая его за другого пользователя.
Если в Jira Service Management включен доступ для записи в каталог пользователей и подключена электронная почта, злоумышленник может получить доступ к токенам регистрации, отправляемым пользователям с учетными записями, которые никогда не входили в систему.
Коварный замысел с получением токенов может быть реализован в двух сценариях:
1. злоумышленник включен в задачи или запросы Jira с этими пользователями
2. злоумышленник получает доступ к электронным письмам, содержащим ссылку «просмотреть запрос» от этих пользователей.
Ошибка с оценкой CVSS 9,4 отслеживается как CVE-2023-22501 и затрагивает Jira Service Management Server и Data Center версий 5.3.0, 5.3.1, 5.3.2, 5.4.0, 5.4.1 и 5.5.0.
По данным Atlassian, наиболее вероятными объектами таких атак являются учетные записи ботов.
Однако внешние учетные записи клиентов на экземплярах с единым входом также могут быть скомпрометированы, если создание учетной записи открыто для всех.
Исправления для этой уязвимости были включены в версии Jira Service Management Server и Data Center 5.3.3, 5.4.2, 5.5.1 и 5.6.0 и пользователям рекомендуется как можно скорее обновить свои экземпляры Jira.
Как сообщают разработчики Atlassian, уязвимость аутентификации при определенных обстоятельствах предоставляет злоумышленнику доступ к экземпляру Jira Service Management, выдавая его за другого пользователя.
Если в Jira Service Management включен доступ для записи в каталог пользователей и подключена электронная почта, злоумышленник может получить доступ к токенам регистрации, отправляемым пользователям с учетными записями, которые никогда не входили в систему.
Коварный замысел с получением токенов может быть реализован в двух сценариях:
1. злоумышленник включен в задачи или запросы Jira с этими пользователями
2. злоумышленник получает доступ к электронным письмам, содержащим ссылку «просмотреть запрос» от этих пользователей.
Ошибка с оценкой CVSS 9,4 отслеживается как CVE-2023-22501 и затрагивает Jira Service Management Server и Data Center версий 5.3.0, 5.3.1, 5.3.2, 5.4.0, 5.4.1 и 5.5.0.
По данным Atlassian, наиболее вероятными объектами таких атак являются учетные записи ботов.
Однако внешние учетные записи клиентов на экземплярах с единым входом также могут быть скомпрометированы, если создание учетной записи открыто для всех.
Исправления для этой уязвимости были включены в версии Jira Service Management Server и Data Center 5.3.3, 5.4.2, 5.5.1 и 5.6.0 и пользователям рекомендуется как можно скорее обновить свои экземпляры Jira.
👍2
Американский институт стандартов решил стандартизировать легковесное шифрование на базе Алгоритмов Ascon. Легковесное шифрование нужно для реализации на маломощных устройствах (iot) где существующие алгоритмы недостаточно производительны.
https://csrc.nist.gov/projects/lightweight-cryptography
https://csrc.nist.gov/projects/lightweight-cryptography
CSRC | NIST
Lightweight Cryptography | CSRC | CSRC
NIST began investigating cryptography for constrained environments in 2013. After two workshops and discussions with stakeholders in industry, government, and academia, NIST initiated a process to solicit, evaluate, and standardize schemes providing authenticated…
👍3
Forwarded from Листок бюрократической защиты информации
Стандарт ГОСТ Р 57580.4-2022 детально описывает требования к основным процессам обеспечения операционной надежности банков, некредитных финансовых организаций и процессинговых центров, закрепленные в Положениях Банка России 787-П и 779-П. Другой стандарт, ГОСТ Р 57580.3-2022, посвящен управлению риском информационных угроз и операционной надежности. Оба стандарта разработаны Банком России совместно с экспертами рынка ИБ и с учетом международных практик.
С выходом новых стандартов по операционной надежности, а также по управлению рисками, система нормативной документации для финансовых организаций охватит область управления рисками реализации информационных угроз, управления защитой информации и обеспечения операционной надежности, а также затронет элементы непрерывности бизнеса и восстановление деятельности.
Please open Telegram to view this post
VIEW IN TELEGRAM
👎2
Forwarded from Яндекс Образование
Школа информационной безопасности Академии Яндекса приглашает в Открытый лекторий
Эксперты Школы прочитают лекции о сетевой безопасности, защите операционных систем и приложений, криптографии, ML и многом другом.
Лекторий рассчитан на студентов старших курсов и специалистов по информационной безопасности.
Если вы разбираетесь в веб-приложениях и основах работы сетевой инфраструктуры, то вам будет особенно интересно.
Лекции пройдут с 13 февраля по 20 марта.
👉 Регистрация и программа на сайте: https://clck.ru/33VSEp
Эксперты Школы прочитают лекции о сетевой безопасности, защите операционных систем и приложений, криптографии, ML и многом другом.
Лекторий рассчитан на студентов старших курсов и специалистов по информационной безопасности.
Если вы разбираетесь в веб-приложениях и основах работы сетевой инфраструктуры, то вам будет особенно интересно.
Лекции пройдут с 13 февраля по 20 марта.
👉 Регистрация и программа на сайте: https://clck.ru/33VSEp
👎1
Forwarded from SecAtor
OpenSSL обзавелся обновленной версией с исправлением уязвимостей безопасности, в том числе серьезной ошибки в наборе инструментов шифрования с открытым исходным кодом.
Отслеживаемая как CVE-2023-0286 связана с путаницей типов, обусловленная обработкой адреса X.400 внутри X.509 GeneralName.
Ошибка может иметь серьезные последствия, поскольку ее можно использовать для принуждения программы к непреднамеренному поведению, что может привести к сбою или RCE.
Проблема была исправлена в версиях OpenSSL 3.0.8, 1.1.1t и 1.0.2zg.
В числе других в последних обновлениях устраненны следующие ошибки:
- CVE-2022-4203 (переполнение буфера),
- CVE-2022-4304 (синхронизация Oracle в расшифровке RSA),
- CVE-2022-4450 (использование после вызова PEM_read_bio_ex),
- CVE-2023-0215 (использование после освобождения после BIO_new_NDEF),
- CVE-2023-0216 (недопустимое разыменование указателя в функциях d2i_PKCS7),
- CVE-2023-0217 и CVE-2023-0401 (разыменование NULL при проверке открытого ключа DSA или данных PKCS7).
Успешная эксплуатация недостатков может привести к сбою приложения, раскрытию содержимого памяти и даже восстановлению незашифрованных сообщений, отправленных по сети, с использованием побочного канала на основе времени в атаке в стиле Блейхенбахера.
Отслеживаемая как CVE-2023-0286 связана с путаницей типов, обусловленная обработкой адреса X.400 внутри X.509 GeneralName.
Ошибка может иметь серьезные последствия, поскольку ее можно использовать для принуждения программы к непреднамеренному поведению, что может привести к сбою или RCE.
Проблема была исправлена в версиях OpenSSL 3.0.8, 1.1.1t и 1.0.2zg.
В числе других в последних обновлениях устраненны следующие ошибки:
- CVE-2022-4203 (переполнение буфера),
- CVE-2022-4304 (синхронизация Oracle в расшифровке RSA),
- CVE-2022-4450 (использование после вызова PEM_read_bio_ex),
- CVE-2023-0215 (использование после освобождения после BIO_new_NDEF),
- CVE-2023-0216 (недопустимое разыменование указателя в функциях d2i_PKCS7),
- CVE-2023-0217 и CVE-2023-0401 (разыменование NULL при проверке открытого ключа DSA или данных PKCS7).
Успешная эксплуатация недостатков может привести к сбою приложения, раскрытию содержимого памяти и даже восстановлению незашифрованных сообщений, отправленных по сети, с использованием побочного канала на основе времени в атаке в стиле Блейхенбахера.
👍1