Пока у всех праздники, у хакеров горячие деньки 🔥
Надо успеть отправить новогодний фишинг, продать фальшивые билеты на «Щелкунчика» и оформить фейковое бронирование гостиницы в Великом Устюге.
Чтобы злоумышленники проделывали все это зря, а ваш Новый год не был испорчен, следуйте советам Ирины Зиновкиной, руководителя направления аналитических исследований Positive Technologies.
Все подробности — в карточках, вы — в праздничном настроении и в кибербезопасности.
#PositiveЭксперты
@Positive_Technologies
Надо успеть отправить новогодний фишинг, продать фальшивые билеты на «Щелкунчика» и оформить фейковое бронирование гостиницы в Великом Устюге.
Чтобы злоумышленники проделывали все это зря, а ваш Новый год не был испорчен, следуйте советам Ирины Зиновкиной, руководителя направления аналитических исследований Positive Technologies.
Все подробности — в карточках, вы — в праздничном настроении и в кибербезопасности.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20❤11❤🔥7🥰2👏2👌2💯1
📲 Разработчики Mobile Security Framework (MobSF) исправили уязвимость, обнаруженную экспертом PT SWARM Олегом Сурниным
MobSF — это платформа, которая широко распространена среди разработчиков и исследователей безопасности. Инструмент входит в состав популярных дистрибутивов операционных систем для тестирования на проникновение, таких как, например, BlackArch.
Фреймворк также востребован в задачах, связанных с выстраиванием процесса безопасной разработки. MobSF используют как независимые эксперты, так и компании, специализирующиеся на создании мобильных приложений и проведении пентестов.
👾 Уязвимость CVE-2024-31215 (BDU:2024-03055) получила оценку 6,3 балла по шкале CVSS 3.1. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО: для устранения недостатка необходимо установить MobSF версии 3.9.8 или выше.
💡 В случае неустранения уязвимости для успешной атаки могло быть достаточно, чтобы пользователь загрузил в MobSF вредоносное мобильное приложение.
Это могло произойти, например, в ходе расследования инцидента: специалисты по ИБ c помощью MobSF проверяют используемые в компании программы, которые могут показаться им подозрительными и нести потенциальную угрозу.
Уязвимости такого вида, по словам Олега, возникают в тех случаях, когда в приложении не используются механизмы проверки легитимности ресурсов, к которым выполняется запрос.
#PositiveЭксперты
@Positive_Technologies
MobSF — это платформа, которая широко распространена среди разработчиков и исследователей безопасности. Инструмент входит в состав популярных дистрибутивов операционных систем для тестирования на проникновение, таких как, например, BlackArch.
Фреймворк также востребован в задачах, связанных с выстраиванием процесса безопасной разработки. MobSF используют как независимые эксперты, так и компании, специализирующиеся на создании мобильных приложений и проведении пентестов.
👾 Уязвимость CVE-2024-31215 (BDU:2024-03055) получила оценку 6,3 балла по шкале CVSS 3.1. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО: для устранения недостатка необходимо установить MobSF версии 3.9.8 или выше.
💡 В случае неустранения уязвимости для успешной атаки могло быть достаточно, чтобы пользователь загрузил в MobSF вредоносное мобильное приложение.
Это могло произойти, например, в ходе расследования инцидента: специалисты по ИБ c помощью MobSF проверяют используемые в компании программы, которые могут показаться им подозрительными и нести потенциальную угрозу.
Олег Сурнин, руководитель группы исследования безопасности мобильных приложений PT SWARM, отметил:
«В мобильных приложениях часто используются облачные базы данных Firebase, которые компания Google предоставляет по модели „бэкенд как услуга“. Система MobSF в процессе проверки безопасности приложения анализирует защищенность таких баз данных, например их доступность без авторизации.
Атакующий мог бы написать вредоносное приложение таким образом, чтобы анализатор MobSF вместо запроса к базам данных Firebase открывал специально подготовленную злоумышленником вредоносную ссылку, откуда могла идти переадресация к ресурсам внутри сетевого контура исследователя или его компании. В зависимости от того, какой софт находится внутри сетевого периметра, атака могла бы привести к исполнению кода, краже приватных данных или другим последствиям».
Уязвимости такого вида, по словам Олега, возникают в тех случаях, когда в приложении не используются механизмы проверки легитимности ресурсов, к которым выполняется запрос.
#PositiveЭксперты
@Positive_Technologies
👍16👏10❤9🤯2🐳1
This media is not supported in your browser
VIEW IN TELEGRAM
📞 Чаще разговаривать с
✉️ Получать в сообщениях
🔤 Придумывать только
🫂 Доверять
🛡
🏗 Строить
Хороших вам праздников и безопасного Нового года!
Команда @Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍51🐳25🎉24❤🔥12❤11🥰3👏2😱2💯2👌1🤨1
🐟 Рыба, муха, перо… Нет, это не египетская письменность, а новый конкурс.
Завели себе традицию — дарить свежие номера Positive Research за разгаданные в новогодние каникулы загадки.
В этот раз вам предстоит расшифровать ребусы, нарисованные младшим поколением Positive Technologies — детьми наших коллег. Спасибо всем, кто в этом участвовал, вы —🔥
Спойлер:это значит, что у журнала появилась новая рубрика — о детской кибербезопасности, но тссс, мы вам ничего не говорили 🤫
Чтобы вам проще было отгадывать, будем давать неочевидные подсказки. Например, практически все мы в детстве занимались тем, что подразумевает сегодняшнее слово.
Уже знаете ответ? Скорее пишите его в комментариях. Журнал (после того, как он выйдет) отправим тому, кто успеет первым.
Удачи!
#PositiveResearch
@Positive_Technologies
Завели себе традицию — дарить свежие номера Positive Research за разгаданные в новогодние каникулы загадки.
В этот раз вам предстоит расшифровать ребусы, нарисованные младшим поколением Positive Technologies — детьми наших коллег. Спасибо всем, кто в этом участвовал, вы —
Спойлер:
Чтобы вам проще было отгадывать, будем давать неочевидные подсказки. Например, практически все мы в детстве занимались тем, что подразумевает сегодняшнее слово.
Уже знаете ответ? Скорее пишите его в комментариях. Журнал (после того, как он выйдет) отправим тому, кто успеет первым.
Удачи!
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🐳15🔥10❤6👍1
😎 За чем-то, что связано с этим словом, гоняются шпионы и суперагенты в кино и книгах.
Это — подсказка к сегодняшнему ребусу, картинки для которого рисовали дети сотрудников нашей компании (❤️ ).
Сумеете угадать слово и первым написать ответ в комментарии — получите первый посленовогодний выпуск журнала Positive Research.
На старт, внимание, марш!
#PositiveResearch
@Positive_Technologies
Это — подсказка к сегодняшнему ребусу, картинки для которого рисовали дети сотрудников нашей компании (
Сумеете угадать слово и первым написать ответ в комментарии — получите первый посленовогодний выпуск журнала Positive Research.
На старт, внимание, марш!
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
😁14👍10🐳4❤2
Тому, кто первым напишет в комментариях, какое слово из области ИБ мы зашифровали в сегодняшнем, отправим свежий номер Positive Research сразу после его выпуска.
Угадали? Ждем ваш ответ.
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥3😱1
🎅 Казалось бы, при чем тут дед, но он отчасти связан с нашей сегодняшней загадкой-ребусом.
В ней зашифровано еще одно слово из мира кибербезопасности. Если уже знаете какое — скорее пишите в комментариях. Первому отгадавшему подарим свежий бумажный номер Positive Research с новой детской рубрикой.
Ребусы, в основу которых легли рисунки маленьких художников, чьи родители работают в Positive Technologies, создавались именно для нее. Но мы решили опубликовать некоторые заранее, чтобы порадовать вас на каникулах.
👍 Порадуйте и вы нас — верным ответом.
#PositiveResearch
@Positive_Technologies
В ней зашифровано еще одно слово из мира кибербезопасности. Если уже знаете какое — скорее пишите в комментариях. Первому отгадавшему подарим свежий бумажный номер Positive Research с новой детской рубрикой.
Ребусы, в основу которых легли рисунки маленьких художников, чьи родители работают в Positive Technologies, создавались именно для нее. Но мы решили опубликовать некоторые заранее, чтобы порадовать вас на каникулах.
👍 Порадуйте и вы нас — верным ответом.
#PositiveResearch
@Positive_Technologies
👍8❤5🔥4
Подсказки сегодня в эмодзи: 👥🐟 0️⃣3️⃣2️⃣0️⃣2️⃣3️⃣
Сможете узнать, что скрывается в ребусе? За первый правильный ответ в комментариях вручим вам свеженький послепраздничный номер Positive Research.
А уже завтра мы опубликуем все правильные ответы и назовем имена победителей. Не пропустите новый пост!
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤2🔥1
Не переживаем по этому поводу, ведь впереди столько интересного.
Кстати об этом: обещали опубликовать правильные ответы на ребусы — публикуем.
Благодарим всех за участие и поздравляем тех, кто первыми все разгадали ❤️
Вскоре свяжемся с вами, чтобы узнать, куда отправить призы.
Хорошей всем первой короткой рабочей недели и красочного года!
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥24❤11🥰10😁3👏2👍1
This media is not supported in your browser
VIEW IN TELEGRAM
Можно посмотреть в стеклянном шаре, разложить Таро или послушать, что об этом говорят эксперты по кибербезопасности.
Например, Алексей Новиков, управляющий директор Positive Technologies, считает, что:
⬆️ размеры выкупов за расшифровку и непубликацию похищенной информации существенно возрастут;
👥 при этом злоумышленники могут работать в коллаборации и сливать скомпилированные данные, из-за чего расследовать утечки станет сложнее.
Как индустрия может ответить на эти вызовы и что Алексей Новиков
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22👍16❤8🤨6❤🔥2👌2💯2😁1
Следуйте за котиком 🐈⬛
В нашем блоге на Хабре наши авторы регулярно публикуют много полезных и интересных статей. Мы благодарны всем, кто их комментирует и ставит свои стрелочки вверх (а с недавних пор еще и эмоциональных мозговых слизней😍 ).
Специально для вас к новому году мы подготовили небольшой квест по нашему блогу — уверены, вам понравится поломать голову и поискать ответы на вопросы. А бонусом — первым трем ответившим на все максимально полно мы подарим классные призы🎁
Ждем ваших ответов — в комментариях на Хабре!
Спойлер:загадки вас ждут даже на картинке к квесту 🔍
@Positive_Technologies
В нашем блоге на Хабре наши авторы регулярно публикуют много полезных и интересных статей. Мы благодарны всем, кто их комментирует и ставит свои стрелочки вверх (а с недавних пор еще и эмоциональных мозговых слизней
Специально для вас к новому году мы подготовили небольшой квест по нашему блогу — уверены, вам понравится поломать голову и поискать ответы на вопросы. А бонусом — первым трем ответившим на все максимально полно мы подарим классные призы
Ждем ваших ответов — в комментариях на Хабре!
Спойлер:
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18❤7👏5
Как безопасность стала ключевым критерием качества приложений 👌
Сегодня красивый интерфейс, удачно расположенные кнопки, полезные функции и быстрая работа еще не означают, что приложение — качественное. По данным нашего исследования, каждая пятая утечка на рынке связана с уязвимостями приложений, а взломанное ПО вместе с деньгами и репутацией быстро теряет клиентов.
Поэтому для заказчиков, разработчиков и пользователей на фоне роста кибератак стало очевидно, что если приложение не киберустойчивое, то оно не может быть качественным. Об этом в интервью изданию PRODELO рассказала Светлана Газизова, руководитель направления построения процессов безопасной разработки в Positive Technologies.
🧐 Чтобы избежать критических последствий, сегодня о защите приложения нужно задумываться задолго до его запуска.
А для этого важно:
1️⃣ Внедрять инструменты, которые проверяют код на уязвимости и слабые места на стадии разработки. Без них сейчас едва ли можно создать безопасное приложение.
2️⃣ Когда инструменты указывают на недостатки, их нужно оперативно устранять — от самых критичных до менее важных. Для этого важно, чтобы разработчики и специалисты по кибербезопасности знали, как работать с этими инструментами.
3️⃣ Быть готовым проверить безопасность приложения с помощью багбаунти.
📲 Подробнее о том, как подготовить приложение к неизбежным кибератакам, читайте в интервью Светланы на сайте PRODELO.
#PositiveЭксперты
@Positive_Technologies
Сегодня красивый интерфейс, удачно расположенные кнопки, полезные функции и быстрая работа еще не означают, что приложение — качественное. По данным нашего исследования, каждая пятая утечка на рынке связана с уязвимостями приложений, а взломанное ПО вместе с деньгами и репутацией быстро теряет клиентов.
Поэтому для заказчиков, разработчиков и пользователей на фоне роста кибератак стало очевидно, что если приложение не киберустойчивое, то оно не может быть качественным. Об этом в интервью изданию PRODELO рассказала Светлана Газизова, руководитель направления построения процессов безопасной разработки в Positive Technologies.
А для этого важно:
1️⃣ Внедрять инструменты, которые проверяют код на уязвимости и слабые места на стадии разработки. Без них сейчас едва ли можно создать безопасное приложение.
2️⃣ Когда инструменты указывают на недостатки, их нужно оперативно устранять — от самых критичных до менее важных. Для этого важно, чтобы разработчики и специалисты по кибербезопасности знали, как работать с этими инструментами.
3️⃣ Быть готовым проверить безопасность приложения с помощью багбаунти.
📲 Подробнее о том, как подготовить приложение к неизбежным кибератакам, читайте в интервью Светланы на сайте PRODELO.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19❤11👏6❤🔥1🥰1
Метод такой: берем самые прорывные технологии и смотрим, какие кибератаки можно будет проводить как на них, так и с их помощью.
Что получилось, подробно рассказываем в нашем новом исследовании, а чуть менее подробно — на карточках.
Делитесь в комментариях вашими версиями прогнозов, а в конце года посмотрим, что сбылось, а что нет 😉
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20❤10👏6❤🔥4🤯3🔥2😁1