подводим итог голосования, подавляющее большинство проголосовало за Youtube, теперь это будет основанная платформа для новых выпусков #NoiSeBit! 📺🚀

Аналогичный результат показало голосование в нашем твиттере

https://twitter.com/N0iSeBit/status/1252296747449188353

Немного света на протокол отслеживания контактов от Google/Apple альянса 💊

https://blog.xot.nl/2020/04/19/google-apple-contact-tracing-gact-a-wolf-in-sheeps-clothes/

Hardwear.io Virtual Con на удивление может затмить многие офлайн эвенты!
Посмотрите сами на доклады 👁:

🧨 LVI: Hijacking Transient Execution with Load Value Injection

🧨 Firmly Rooted in Hardware: Practical protection from firmware attacks in hardware supply chain

🧨 Capturing Mask ROMs

🧨 Hints from Hardware Security for solving real-world challenges

Мероприятие абсолютно бесплатное🚀
👇👇👇
https://hardwear.io/virtual-con-2020/

0-click RCE в iOS Mail активно эксплуатируется in-the-wild!

✉️🤞📥📲

https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/

TEMPEST@Home - Finding Radio Frequency Side Channels

Забавный ресеч о том, как развлечь себя дома, если есть под рукой SDR 📡

https://duo.com/labs/research/finding-radio-sidechannels

CVE-2020-0022 Android 8/9 Bluetooth Zero-Click RCE – BlueFrag 🖲

Еще одна RCE, но уже на андройде и с патчем. Сам вектор очень любопытный, так как атака на Bluetooth стэк и этот вектор имеет огромный импакт на все автомобили у которых медиа система на андройд 🚙🔥

https://insinuator.net/2020/04/cve-2020-0022-an-android-8-0-9-0-bluetooth-zero-click-rce-bluefrag/

как ковид повлиял на threat landscape? спойлер алерт: примерно никак.

Недавняя уязвимость в iOS Mail наделала много хайпа. Многие ресечеры публично высказали сомнение в в том, что 0-click RCE имеет место быть. Сам эпл сказал, что в той информации, которую компания получила от ZecOps они видят отдельные техники, которые не представляют достаточной угрозы для пользователей, чтобы выпускать экстренное обновление и не нашли признаков активной эксплуатации. ZecOps тем временем отказалась раскрывать известные им жертвы этой уязвимости.
А тем временем хайп продолжается 🍿

https://www.wired.com/story/sneaky-zero-click-attacks-hidden-menace/

Почему веб пентест это до сих пор руками, доходчиво:

https://www.academia.edu/19774354/Why_Johnny_Can_t_Pentest_An_Analysis_of_Black-Box_Web_Vulnerability_Scanners

Тренинг по Android RE для начинающих 🔥🦾

https://www.youtube.com/watch?v=BijZmutY0CQ

Yubikey давай до свидания! Для задач c GPG успешно пересел на UsbArmory MKII (MKI имела несколько архитектурных багов в дизайне) 🔒🗝

https://github.com/f-secure-foundry/GoKey

Размышления на тему конференций в эпоху самоизоляции 🎙🦠

https://www.youtube.com/watch?v=KASwsrPyUT8

Очень важный ресеч сегодня увидел свет от команды Project Zero на тему автоматизации фаззинга для поиска 0-click уязвимостей и формализации attack surface 🔥💪

Эта публикация сопровождается 14-тью найденными 0-click уязвимостями в Image I/O (Apple's image parsing framework) для iOS, macOS, watchOS, tvOS🎯

https://googleprojectzero.blogspot.com/2020/04/fuzzing-imageio.html

Apple/Google contacts tracing API уже близко!🚨

https://techcrunch.com/2020/04/29/apple-and-google-release-first-seed-of-covid-19-exposure-notification-api-for-contact-tracing-app-developers/

Lyft уволил почти 1k сотрудников, это около 20% компании, интересные данные с точки зрения их стратегии инвестирования всей прибыли в ускорение роста и развитие продукта. Пандемия явно не входила в модель рисков при такой модели развития бизнеса 💸

https://www.cnbc.com/2020/04/29/lyft-lays-off-17percent-of-workforce-furloughs-hundreds-more.html