Средняя российская компания теряет из-за хакеров 20 млн руб. в год, и ущерб постоянно растет

https://safe.cnews.ru/news/top/2023-07-14_rossijskie_kompanii_teryayut

Стали доступны видео с AppSecCon 2023

Commerce launches EU-US data privacy framework certification website | FedScoop
https://fedscoop.com/eu-us-data-privacy-framework/

"
The US Department of Commerce has launched a website that allows US organizations to certify their participation with the newly-adopted EU-US Data Privacy Framework. US organizations that transfer data between the EU and the US must certify participation by October 10, 2023. The website also allows US companies to certify compliance with the UK Extension to the EU-US Data Privacy Framework, and the Swiss-US Data Privacy Framework.
"

https://circle.cloudsecurityalliance.org/discussion/nist-nccoe-open-for-public-comment-preliminary-draft-practice-guide-vol-b-c-from-the-zta-team

"The Zero Trust Architecture (ZTA) team at NIST’s National Cybersecurity Center of Excellence (NCCoE) has published the third version of volumes B-C of a preliminary draft practice guide noscriptd “Implementing a Zero Trust Architecture” and is seeking the public’s comments on their contents."

Отличная инициатива от одной из наиболее зрелых ИБ компании России
https://cloud.yandex.ru/blog/posts/2023/07/security-podcast

https://csrc.nist.gov/pubs/sp/800/219/r1/final
"NIST has released the final version of Special Publication (SP) 800-219 Revision 1, Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP). It provides resources that system administrators, security professionals, security policy authors, information security officers, and auditors can leverage to secure and assess macOS desktop and laptop system security in an automated way.

This publication introduces the mSCP, describes use cases for leveraging the mSCP content, and introduces a new feature of the mSCP that allows organizations to customize security rules more easily. The publication also gives an overview of the resources available on the project’s GitHub site, which provides practical, actionable recommendations in the form of secure baselines and associated rules and is continuously updated to support each new release of macOS."

https://arxiv.org/abs/2306.14281

Исследование по рискам для беспилотников и их сетей.

"Thanks to the rapidly developing technology, unmanned aerial vehicles (UAVs) are able to complete a number of tasks in cooperation with each other without need for human intervention. In recent years, UAVs, which are widely utilized in military missions, have begun to be deployed in civilian applications and mostly for commercial purposes. With their growing numbers and range of applications, UAVs are becoming more and more popular; on the other hand, they are also the target of various threats which can exploit various vulnerabilities of UAV systems in order to cause destructive effects. It is therefore critical that security is ensured for UAVs and the networks that provide communication between UAVs. In this survey, we aimed to present a comprehensive detailed approach to security by classifying possible attacks against UAVs and flying ad hoc networks (FANETs). We classified the security threats into four major categories that make up the basic structure of UAVs; hardware attacks, software attacks, sensor attacks, and communication attacks. In addition, countermeasures against these attacks are presented in separate groups as prevention and detection. In particular, we focus on the security of FANETs, which face significant security challenges due to their characteristics and are also vulnerable to insider attacks. Therefore, this survey presents a review of the security fundamentals for FANETs, and also four different routing attacks against FANETs are simulated with realistic parameters and then analyzed. Finally, limitations and open issues are also discussed to direct future work "

https://edpb.europa.eu/news/news/2023/edpb-informs-stakeholders-about-implications-dpf-and-adopts-statement-first-review_en
"EDPB informs stakeholders about the implications of the DPF and adopts a statement on the first review of the Japan adequacy decision"

https://www.techrepublic.com/article/europol-internet-organised-crime-threat-assessment/

"Remote Desktop Protocol brute-forcing and VPN vulnerability exploitation are the most common intrusion tactics used by cybercriminals, according to Europol. Phishing kits have also become increasingly available for cybercriminals, regardless of their level of organization and technical expertise."

На прошедшем Steelcon 2023 Rory McCune и Iain Smart провели свой 4-х часовой воркшоп – Container Security and Hacking with Docker and Kubernetes. Наверное, это один из самых больших сборников по безопасности контейнеров и Kubernetes. Воркшоп включает в себя следующие темы:

- Container Basics
- Docker Security
- Kubernetes Fundamentals
- Kubernetes Security
- Kubernetes Networking
- Kubernetes Distributions
- Container Secirty Problems/Challenges

К сожалению, инфраструктура, поднятая для воркшопа, больше не работает, но есть ссылка на презентацию. Однозначно рекомендуем материал для новичков и всех тех, кто хочет погрузиться в тему container security.

Исследователь Google Тэвис Орманди обнаружил новую уязвимость Zenbleed, затрагивающую процессоры AMD Zen2, которая позволяет красть конфиденциальные данные, включая пароли и ключи шифрования, со скоростью 30 КБ/с от каждого ядра процессора.

CVE-2023-20593 была обнаружена в процессорах Zen2 с помощью фаззинга и вызвана неправильной обработкой инструкции vzeroupper во время спекулятивного выполнения.

По словам исследователя, оптимизированный эксплойт для уязвимости позволяет извлекать конфиденциальные данные из любой ОС, включая и те, которые работают на виртуальных машинах, изолированных песочницах, контейнерах и т. д.

Исследователь сообщил об уязвимости в AMD 15 мая 2023 года, а после выхода обновлений для CVE-2023-20593 представил технические детали и PoC для Linux.

Уязвимость затрагивает все процессоры AMD, построенные на архитектуре Zen 2, включая Ryzen 3000 (Matisse), Ryzen 4000U/H (Renoir), Ryzen 5000U (Lucienne), Ryzen 7020, а также ThreadRipper 3000 и Epyc server (Rome).

Для исправления Zenbleed рекомендуется обновить микрокод AMD или же дождаться обновления BIOS от поставщика.

В качестве альтернативы исследователь предложил свой обходной путь для смягчения проблемы, предупреждая о падении производительности процессора в случае его применения.

По мнению исследователя, обнаружить эксплуатацию Zenbleed будет достаточно сложно, поскольку vzeroupper не требует повышенных привилегий или специальных системных вызовов.

Уязвимость может быть реализована вредоносным ПО, развернутым на целевом устройстве. 

Но с другой стороны, на практике влияние Zenbleed на обычных пользователей относительно невелико, поскольку для эксплуатации требуется локальный доступ к целевой системе и высокая степень специализации атакующего.

Тем не менее, всегда важно поддерживать системы в актуальном состоянии и следить за последними исправлениями безопасности, своевременно обновляя BIOS.

Ссылка на сам отчёт.
https://www.csr.ru/upload/iblock/73f/ao4vpl8xbm8kogetekw8u7rb9bqs6kwr.pdf

Утилита для поиска секретов в коде от авито в попытке оптимизировать фолзы и верные обнаружения за счет средств подсветки кода в библиотеках (разные сущности разным цветом в редакторе подсвечивает)
https://github.com/avito-tech/deepsecrets

#avitosecuritymeetup

https://roadmap.sh/cyber-security

Интересный вариант изложения доменов знаний в ИБ

#avitosecuritymeetup

Вышел 4-ый ежегодный отчет по уязвимостям нулевого дня от Гугл

https://security.googleblog.com/2023/07/the-ups-and-downs-of-0-days-year-in.html

"Executive Summary

41 in-the-wild 0-days were detected and disclosed in 2022, the second-most ever recorded since we began tracking in mid-2014, but down from the 69 detected in 2021. Although a 40% drop might seem like a clear-cut win for improving security, the reality is more complicated.

N-days function like 0-days on Android due to long patching times.

0-click exploits and new browser mitigations drive down browser 0-days

Over 40% of the 0-days discovered were variants of previously reported vulnerabilities.

Bug collisions are high"