📝 Подборка новостей от POSIdev
◾️ Positive Technologies опубликовали аналитику по киберугрозам за II квартал 2022 года
◾️ В инфраструктуру языка Go добавили средства управления уязвимостями
◾️ Обновлена электронная версия книги Дениса Юричева "SAT/SMT by Example"
◾️ Драйвер античита игры Genshin Impact использовался в корпоративных атаках
◾️Опубликован детальный разбор уязвимости CVE-2022-31814 (RCE в pfBlockerNG)
🔐
#новости
◾️ Positive Technologies опубликовали аналитику по киберугрозам за II квартал 2022 года
◾️ В инфраструктуру языка Go добавили средства управления уязвимостями
◾️ Обновлена электронная версия книги Дениса Юричева "SAT/SMT by Example"
◾️ Драйвер античита игры Genshin Impact использовался в корпоративных атаках
◾️Опубликован детальный разбор уязвимости CVE-2022-31814 (RCE в pfBlockerNG)
🔐
#новости
ptsecurity.com
Аналитические статьи
Во II квартале продолжается противостояние в киберпространстве, а активность вымогателей после короткого спада, случившегося в I квартале, вернулась к показателям конца 2021 года. Некоторые группы вымогателей обновили инструментарий и нашли новые методы давления…
👍4
Обсудим вчерашний новостной повод?
Реально ли через уязвимости в WhatsApp (о которых сообщил Дуров) можно получить доступ к любым данным на смартфоне?
Реально ли через уязвимости в WhatsApp (о которых сообщил Дуров) можно получить доступ к любым данным на смартфоне?
Anonymous Poll
50%
А почему нет?
19%
Сомневаюсь
31%
Это тёрки между WhatsApp и Telegram
Являются ли найденные уязвимости просчетом разработчиков или намеренно оставленной программной закладкой (бэкдором) - вопрос открытый.
Уязвимости - не единственная опасность, с которой можно столкнуться при использовании приложения. Whatsapp также передает персональные данные своих пользователей в Facebook, о чем открыто заявляет. Подобная практика началась еще в 2016 году и объяснялась необходимостью усилить меры по борьбе со спамом.
Помимо этого были несколько утечек данных - в 2017, 2018 и 2020 годах. Также можно вспомнить печально известную историю с распространением через Whatsapp приложений для слежки Pegasus и Chrysaor.
Поэтому я бы не рекомендовал пользоваться whatsapp, а тем, кто его все-таки использует - начать подыскивать ему замену.
#эксперты
Уязвимости - не единственная опасность, с которой можно столкнуться при использовании приложения. Whatsapp также передает персональные данные своих пользователей в Facebook, о чем открыто заявляет. Подобная практика началась еще в 2016 году и объяснялась необходимостью усилить меры по борьбе со спамом.
Помимо этого были несколько утечек данных - в 2017, 2018 и 2020 годах. Также можно вспомнить печально известную историю с распространением через Whatsapp приложений для слежки Pegasus и Chrysaor.
Поэтому я бы не рекомендовал пользоваться whatsapp, а тем, кто его все-таки использует - начать подыскивать ему замену.
#эксперты
👍9
Вакансии для разработчиков и лидов разработки в командах Positive Technologies💥
Если ваша команда тоже ищет крутых спецов, кидайте нам описание вакансии на telegram@posidev.io и мы опубликуем в следующих постах.
1. Python-разработчик для развития веб-сканера WebEngine и SaaS-сервиса
BlackBox Scanner — сканер, предназначенный для поиска веб-уязвимостей методом черного ящика.
📌 Нужно отлично знать Python, в том числе принципы разработки многопоточных и асинхронных приложений.
Подробнее
2. Python-разработчик (Team Lead) в команду продукта PT CERT
Команда разрабатывает ПО, которое поможет наладить взаимодействие между государственными и коммерческими организациями. Их совместная работа касается сбора, хранения и обработки информации о защищенности инфраструктуры.
Стек: Python 3.10 (Flask, SQLAlchemy, Multiprocessing), PostgreSQL, RabbitMQ, ELK, Docker, GitLabCI.
Подробнее
3. Ведущий разработчик Go в команду нового продукта DevSecOps
Проект будет выполнять функции обеспечения безопасности кластеров и контейнеров на всех этапах жизни сервиса, от сборки до рантайма. Подразумевается глубокая интеграция с k8s (контроль сети, Admission Controller, парсинга манифестов), Docker, Linux, а также SSO, Notify.
📌 Ищем сильного Go-разработчика, которому интересны инфраструктура и информационная безопасность, в идеале — с опытом DevOps. Нужно понимать микросервисную архитектуру, иметь опыт работы с Docker и Kubernetes, а также хорошо знать Linux-системы.
Подробнее
4. Team Lead C++ для новой команды С++ под разработку продукта сетевого балансировщика для мониторинга больших потоков данных
📌 Ищем опытного тимлида, который сам пишет код (это тоже нужно будет делать), имеет опыт оптимизации производительности высоконагруженных системных компонент (приложений/драйверов), хорошо знает Linux, глубоко разбирается в сетевых технологиях и готов набирать команду с нуля.
Подробнее
5. Lead Frontend Developer в продукт SIEM
Продукт SIEM дает полную видимость IT-инфраструктуры и выявляет инциденты информационной безопасности.
В задачах руководство командой из 7 человек, разработка архитектуры фронта, решение сложных технических задач и тесное взаимодействие с продуктовыми менеджерами. В перспективе рост до Group Lead.
Подробнее
✉️ Отправляйте резюме на почту: akuzminova@ptsecurity.com
Присоединяйтесь к команде наших экспертов! 🔐
Если ваша команда тоже ищет крутых спецов, кидайте нам описание вакансии на telegram@posidev.io и мы опубликуем в следующих постах.
1. Python-разработчик для развития веб-сканера WebEngine и SaaS-сервиса
BlackBox Scanner — сканер, предназначенный для поиска веб-уязвимостей методом черного ящика.
📌 Нужно отлично знать Python, в том числе принципы разработки многопоточных и асинхронных приложений.
Подробнее
2. Python-разработчик (Team Lead) в команду продукта PT CERT
Команда разрабатывает ПО, которое поможет наладить взаимодействие между государственными и коммерческими организациями. Их совместная работа касается сбора, хранения и обработки информации о защищенности инфраструктуры.
Стек: Python 3.10 (Flask, SQLAlchemy, Multiprocessing), PostgreSQL, RabbitMQ, ELK, Docker, GitLabCI.
Подробнее
3. Ведущий разработчик Go в команду нового продукта DevSecOps
Проект будет выполнять функции обеспечения безопасности кластеров и контейнеров на всех этапах жизни сервиса, от сборки до рантайма. Подразумевается глубокая интеграция с k8s (контроль сети, Admission Controller, парсинга манифестов), Docker, Linux, а также SSO, Notify.
📌 Ищем сильного Go-разработчика, которому интересны инфраструктура и информационная безопасность, в идеале — с опытом DevOps. Нужно понимать микросервисную архитектуру, иметь опыт работы с Docker и Kubernetes, а также хорошо знать Linux-системы.
Подробнее
4. Team Lead C++ для новой команды С++ под разработку продукта сетевого балансировщика для мониторинга больших потоков данных
📌 Ищем опытного тимлида, который сам пишет код (это тоже нужно будет делать), имеет опыт оптимизации производительности высоконагруженных системных компонент (приложений/драйверов), хорошо знает Linux, глубоко разбирается в сетевых технологиях и готов набирать команду с нуля.
Подробнее
5. Lead Frontend Developer в продукт SIEM
Продукт SIEM дает полную видимость IT-инфраструктуры и выявляет инциденты информационной безопасности.
В задачах руководство командой из 7 человек, разработка архитектуры фронта, решение сложных технических задач и тесное взаимодействие с продуктовыми менеджерами. В перспективе рост до Group Lead.
Подробнее
✉️ Отправляйте резюме на почту: akuzminova@ptsecurity.com
Присоединяйтесь к команде наших экспертов! 🔐
spb.hh.ru
Вакансия Senior Python/Go разработчик (PT Blackbox) в Санкт-Петербурге, работа в компании Positive Technologies (вакансия в архиве…
Зарплата: не указана. Санкт-Петербург. Требуемый опыт: 3–6 лет. Полная занятость. Дата публикации: 13.01.2023.
👍6
📃 Еженедельная подборка новостей от POSIdev
📌 The Hacker News порассуждали на тему актуальности OWASP Top 10 в наши дни
📌 Опубликована вторая статья из цикла, посвящённого теоретическим основам компьютерной безопасности
📌 Google рассказала о механизмах безопасности линейки телефонов Pixel 7 и вышедшего в релиз Android 13
📌 Эксперты Positive Tecnhologies примут участие в экспертной зоне безопасности приложений на конференции Highload 24-25 ноября
📌 Лаборатория Касперского представила отчёт с анализом вредоносного клона WhatsApp
_________________
Хотите поделиться своей новостью? Пишите на telegram@posidev.io и мы опубликуем её в следующих постах.
#новости
📌 The Hacker News порассуждали на тему актуальности OWASP Top 10 в наши дни
📌 Опубликована вторая статья из цикла, посвящённого теоретическим основам компьютерной безопасности
📌 Google рассказала о механизмах безопасности линейки телефонов Pixel 7 и вышедшего в релиз Android 13
📌 Эксперты Positive Tecnhologies примут участие в экспертной зоне безопасности приложений на конференции Highload 24-25 ноября
📌 Лаборатория Касперского представила отчёт с анализом вредоносного клона WhatsApp
_________________
Хотите поделиться своей новостью? Пишите на telegram@posidev.io и мы опубликуем её в следующих постах.
#новости
👍4
💻 А давайте чекнем какой язык программирования самый распространенный среди участников комьюнити?
Поделитесь в комментариях, что вам нравится и не очень (в тех языках на которых чаще пишите) 😈
Поделитесь в комментариях, что вам нравится и не очень (в тех языках на которых чаще пишите) 😈
Anonymous Poll
60%
Python
15%
Java
4%
Rust
17%
C#
15%
Go
19%
JavaScript / TypeScript
4%
Kotlin
13%
PHP
2%
Swift
13%
Другое (напишу в комментариях)
👍4
📃 Еженедельная подборка новостей от POSIdev
📌 Разбор свежей уязвимости к RCE через SSRF в Microsoft Office Online Server
📌 Группа ресёрчеров Cybernews поделилась результатами исследования о раскрытии каталогов .git в opensource-проектах
📌Первая часть статьи от Cyberark, посвящённая реверсингу руткитов и драйверов
📌Новая реинкарнация старой уязвимости от PortSwigger, HTTP/3 connection contamination
📌 В Java-библиотеке Apache Commons Text найдена трендовая уязвимость (CVE-2022-42889), которая может привести к удаленному выполнению кода. Завтра мы выпустим про неё подробный материал 💥
_________________
Хотите поделиться своей новостью? Пишите на telegram@posidev.io и мы опубликуем её в следующих постах.
#новости
📌 Разбор свежей уязвимости к RCE через SSRF в Microsoft Office Online Server
📌 Группа ресёрчеров Cybernews поделилась результатами исследования о раскрытии каталогов .git в opensource-проектах
📌Первая часть статьи от Cyberark, посвящённая реверсингу руткитов и драйверов
📌Новая реинкарнация старой уязвимости от PortSwigger, HTTP/3 connection contamination
📌 В Java-библиотеке Apache Commons Text найдена трендовая уязвимость (CVE-2022-42889), которая может привести к удаленному выполнению кода. Завтра мы выпустим про неё подробный материал 💥
_________________
Хотите поделиться своей новостью? Пишите на telegram@posidev.io и мы опубликуем её в следующих постах.
#новости
👍5🔥4
🔉Уязвимость Text4Shell: из-за чего весь «сыр-бор» и что делать
Кажется, изо всех утюгов в мире кибербезопасности уже говорят про новую уязвимость Text4Shell, как в свое время трубили про знаменитую log4shell.
Команда аналитиков PT Application Inspector [Александр Болдырев, Алексей Новгородов, Максим Суслов] подготовили статью, в которой рассказали:
🔒 из-за чего может появиться эта уязвимость в инфраструктуре;
🔒 что творится внутри библиотеки Apache Commons Text;
🔒 как утилита в PT Application Inspector может обнаружить эту уязвимость и есть ли патч;
❗️И самое главное ― эксперты дали пошаговый алгоритм действий для защиты от атак на эту уязвимость.
🌐 Подробнее читайте в нашем материале
#статьи
Кажется, изо всех утюгов в мире кибербезопасности уже говорят про новую уязвимость Text4Shell, как в свое время трубили про знаменитую log4shell.
Команда аналитиков PT Application Inspector [Александр Болдырев, Алексей Новгородов, Максим Суслов] подготовили статью, в которой рассказали:
🔒 из-за чего может появиться эта уязвимость в инфраструктуре;
🔒 что творится внутри библиотеки Apache Commons Text;
🔒 как утилита в PT Application Inspector может обнаружить эту уязвимость и есть ли патч;
❗️И самое главное ― эксперты дали пошаговый алгоритм действий для защиты от атак на эту уязвимость.
🌐 Подробнее читайте в нашем материале
#статьи
Хабр
Из-за чего весь сыр-бор: про уязвимость Text4Shell
За последнюю неделю в сфере инфобеза стали появляться новости о втором пришествии уязвимости Log4Shell, получившей название Text4Shell . Первым об уязвимости сообщил Alvaro Muñoz, который рассказал о...
🔥14👍4