Падение стоимости криптовалюты вызвало кризис в дарквебе

— Согласно исследованию ИБ-компании Cybersixgill , киберпреступники стремятся защитить свои украденные средства, переводя их с криптовалют на фиатные валюты, что приводит к банкротству многих подпольных бирж.

— Поскольку цены на криптовалюты упали, киберпреступники меняют их на фиат в обменных пунктах дарквеба. У площадок быстро закончились долларовые резервы (или их операторы также опасались убытков от покупки большего количества криптовалюты), и они прекратили свою деятельность

— Заменить обанкротившиеся биржи будет сложно, особенно с учетом того, что цены на криптовалюту продолжают снижаться.
https://www.securitylab.ru/news/532798.php

Google выпустила ChromeOS Flex

— Chrome OS Flex предназначена для установки на устаревшие ПК под управлением Windows и macOS.

— Системные требования: процессор Intel или AMD x86-64, 4 гигабайта оперативной памяти, накопитель емкостью не менее 16 гигабайт, интегрированная графика и поддержка загрузки с USB-накопителя.

— ChromeOS Flex могут установить все желающие, но особенно полезен данный инструмент будет для предприятий или школ - позволит расширить возможности старого оборудования.

https://www.securitylab.ru/news/532818.php?r=1

Предлагаем ознакомиться с самыми крупными и интересными проектами в Telegram в сфере информационной безопасности:

📌 @SecAtor — руки-ножницы российского инфосека. Расскажем про войны спецслужб в киберпространстве, про активность вымогателей и коммерческих хакерских групп, про свежие уязвимости в ПО, а также инсайды отрасли ИБ. Все, о чем Вы хотели узнать, но боялись спросить.

👁 @Data1eaks — канал про утечки баз данных. Будь в курсе всех сливов и отслеживай, есть ли твой телефон в утечках.

🔥 @black_triangle_tg — крупнейший ресурс посвященный движению за свободу программного обеспечения и изобличающий истинное лицо проприетарных технических гигантов.

👨🏻‍💻 @Social_Engineering — один из самых крупных ресурсов в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.

Сбербанк рассказал о новых схемах телефонных мошенников

— Мошенники продолжают активно использовать для обмана россиян схемы «найма на работу» и «звонков от правоохранительных органов», при этом новые схемы в основном сосредотачиваются вокруг новостной повестки

— Представитель Сбера отметил, что в процессе «лженайма» мошенники просят жертв предоставить им документы с персональной и платежной информацией, долго общаются и даже могут прислать псевдоприказ о приеме на работу.

— Мошенники изучают новостные сводки, которые затем активно используют при общении со своими жертвами.

https://www.securitylab.ru/news/532819.php

Обнаружены уязвимости в хранилище отпечатков пальцев и криптокошельках

— Исследователи разработали новую технологию фаззинга, которая позволила обнаружить многие ранее неизвестные проблемы безопасности.

— Были затронуты все протестированные экспертами драйверы отпечатков пальцев, а также кошельки для хранения криптовалюты.

— Злоумышленники могут использовать данные уязвимости для считывания биометрических данных или кражи всего остатка хранимой криптовалюты.

https://www.securitylab.ru/news/532823.php?r=1

ИИ помогает создать атаки с усилением DNS

— Исследователи, подтвердили ненадежность методов глубокого обучения для обнаружения DDoS-атак с усилением DNS и их уязвимость к атакам со стороны противника.

— Исследователи разработали два алгоритма, EAD и TextAttack, и использовали их для создания состязательного патча, из-за которого данные неправильно распознавались нейросетью.

— Нейросеть для обнаружения DDoS-атак с усилением DNS удалось обмануть в 100% и 67,63% случаях соответственно.

https://www.securitylab.ru/news/532824.php

Срываем маски: новая кэш-атака по сторонним каналам позволяет деанонимизировать пользователей

— По словам ученых, новая атака позволяет обойти защитные меры, обеспечивающие анонимность и идентифицировать посетителей сайта, который частично или полностью находится под контролем злоумышленника.

— Атака может быть использована против настольных и мобильных систем с различными процессорами и браузерами.

— Стоит отметить, что деанонимизировать жертву можно только в том случае, если она входила в другие учетные записи до того, как попала на вредоносный сайт.

https://www.securitylab.ru/news/532825.php

Минцифры собирается легализовать белых хакеров

— Минцифры думает над тем, чтобы ввести в России схему Bug Bounty и легализовать выплаты белым хакерам за нахождение уязвимостей в системах.

— После легализации правоохранительные органы не смогут привлекать белых хакеров к уголовной ответственности за неправомерный доступ к компьютерной информации

— Введение понятия bug bounty в правое поле позволит запустить бонусную программу для тестировщиков уязвимостей в информационных государственных системах.

https://www.securitylab.ru/news/532829.php

Hacker starter pack: теперь вы можете взломать систему на ходу

— Давиде Маркетти из компании Bag Builds упаковал Raspberry Pi и несколько дополнительных аксессуаров внутри рюкзака .

— По словам разработчика, со своей серией рюкзаков на основе Pi он готов ко всем видам «активности на открытом воздухе».

— Raspberry Pi Backpack включает в себя множество инструментов, начиная от звуковой системы и заканчивая устройством HackRF.

https://www.securitylab.ru/news/532836.php

Московский суд оштрафовал Google на 21 млрд рублей

— Компания оштрафована за систематический отказ удалять информацию, признанную в России запрещенной.

— Сумма наложенного штрафа составляет 10 % от выручки Google и его аффилированных лиц, зарегистрированных в налоговой в России.

— В декабре 2021 года московский суд назначил российской «дочке» Google минимальный размер оборотного штрафа, 5% от годовой выручки за 2020 год.

— В мае текущего года российское подразделение Google начало процесс банкротства.

https://www.securitylab.ru/news/532841.php

Хакеры угоняют автомобили Honda, новый неуловимый Linux-вредонос Orbit. Security-новости #68 | 12+

Хонду можно открыть и завести, используя уязвимость в системе доступа без ключа, вредонос OrBit дает удаленный доступ к Linux-системам и позволяет похищать учетные данные, сложная фишинговая атака угрожает даже тем, кто использует многофакторку, а оскорбленный хакер отомстил Диснейленду, взломав аккаунт парка.

Decentral Bank исправил баг в смарт-контракте, который привел к созданию токенов на $10 трлн, Crema Finance пришлось выплатить $1,76 млн хакеру, похитившему криптовалюту на $9 млн, а Microsoft без предупреждения вернула запуск макросов по умолчанию. В Канаде крупный сбой связи нарушил работу всех финансовых институтов, а в Китае армия через посредников закупает современные чипы Intel, AMD и Nvidia.

В России дропперам может грозить срок от 4 до 7 лет лишения свободы, Минцифры РФ поручено разработать механизм оценки перехода госсектора на отечественное офисное ПО, а интернет-шатдауны обошлись стране в 2022 году в $8,77 млрд.

В шестьдесят восьмом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю.

https://www.youtube.com/watch?v=3y5zhMY7574

Google надеется на честность разработчиков

— Корпорация предоставляет разработчикам право самостоятельно указывать, какие данные пользователя собирает приложение.

— Google больше не будет отображать список разрешений, который автоматически собирается из каждого приложения. Корпорация доверяет разработчикам предоставлять правдивую информацию о данных, которые собирают их приложения .

— С запуском раздела «Защита данных» в Google Play, который через неделю станет обязательным для всех приложений, список разрешений для приложений исчезнет из Google Play

https://www.securitylab.ru/news/532830.php

Tor неостановим: последнее крупное обновление открыло новые возможности по обходу интернет-цензуры

— Разработчики представили новые функции, которые должны помочь пользователям обходить блокировки сайтов и технологии Tor.

— Самой важной из новых функций стала “Connection Assist”, которая автоматически подбирает оптимальную конфигурацию моста, учитывая местоположение пользователя.

— Внимания заслуживает и другая новая функция, активная по умолчанию – HTTPS-Only Mode, благодаря которой браузер будет подключаться к веб-ресурсам только через те каналы, которые защищены протоколом HTTPS.

https://www.securitylab.ru/news/532843.php

Оценка для отечественного оборудования

— Для телекоммуникационного оборудования может быть введена балльная система, согласно которой оно будет признаваться отечественным.

— Речь идет, к примеру, о базовых станциях, коммутаторах, системах интернета вещей.

— Чтобы такое оборудование признали российским и оно получило доступ на рынок госзакупок, его производитель должен иметь права на конструкторскую и технологическую документацию, на товарный знак и исходный код софта. Компания должна также иметь в России свою или контрактную производственную базу и сервисные центры для гарантийного обслуживания.

https://www.securitylab.ru/news/532849.php

Найден чит-код для мозга: просто играйте в видеоигры

— Согласно недавно проведенным исследованиям, мозг геймеров показывает повышенную активность в ключевых областях.

— По словам исследователей, использовавших функциональную магнитно-резонансную томографию, видеоигры могут стать полезным инструментом для обучения принятию решений.

— Испытуемых помещали в томограф с зеркалом, показывающий сигнал, за которым сразу же показ движущихся точек. Участников опыта просили нажать на кнопку в правой или левой руке, чтобы указать направление движения точек, или не нажимать ничего, если движения не было.

https://www.securitylab.ru/news/532853.php

Из-за высоких цен на бензин американцы воруют топливо

— После резкого скачка цен в марте полиция арестовала минимум 22 человека по всей стране за цифровое манипулирование системой управления бензоколонками и за установку самодельных устройств для снижения стоимости топлива.

— Первый метод использует дистанционное управление колонки фирмы Wayne, позволяющее владельцам АЗС и операторам легко получить доступ к насосу. Однако, многие пульты ДУ можно купить в Интернете. По словам Дентона, колонка Wayne требует код для доступа к элементам управления, но многие владельцы станций никогда не меняют его по умолчанию.

— Второй метод используется против насосов Gilbarco. Злоумышленник обманом заставляет насос подавать гораздо больше бензина, чем установлено. Топливные насосы полагаются на «импульсный генератор», который измеряет, сколько бензина выходит из насоса, и сообщает общую стоимость топлива. Воры используют самодельные устройства, чтобы замедлить импульсный генератор. Так он будет регистрировать только часть выдаваемого топлива.


https://www.securitylab.ru/news/532857.php?r=6

Парадокс нехватки специалистов в области кибербезопасности

— "Заработки" преступников опережают зарплаты в сфере кибербезопасности. По данным компании Arkose Labs, занимающейся борьбой с мошенничеством, новички-мошенники начинают с 20 000 долларов, в то время как опытные злоумышленники "зарабатывают" до 600 000 долларов в месяц.

— По данным опроса 4 753 специалистов по кибербезопасности, проведенного в 2021 году (ISC), средняя зарплата до уплаты налогов в 2021 году составила более 90 000 долларов. В Северной Америке средняя зарплата до вычета налогов равна $119 000, в Латинской Америке - $32 000, в Европе - $78 000, а в АТР - $61 000.

— Из-за нехватки квалифицированного персонала и автоматизации многие сотрудники работают чуть ли не круглосуточно 7 дней в неделю. При нынешнем ландшафте угроз, включая продолжающуюся кибервойну, давление, вероятно, будет только нарастать.

https://www.securitylab.ru/news/532864.php

Роскомнадзор принял меры в отношении Wikimedia Foundation

— Поисковые системы обязаны информировать что компания нарушает законодательство РФ.

— Принятые меры в отношении интернет-компании будут действовать до полного устранения иностранным лицом нарушений российского законодательства.

— На интернет-ресурсе Wikipedia (принадлежит Wikimedia Foundation, Inc.) остается неудаленным ряд материалов, признанных запрещенными.

https://www.securitylab.ru/news/532869.php