Наталья Касперская: В России могут отключить все смартфоны
— Наталья Касперская предупредила о возможном отключении всех смартфонов на территории РФ.
— Если же до крайних мер дойдет в реальности, то их вполне можно пережить, считает эксперт. В качестве аналогов смартфонам Касперская предложила использовать ноутбук, кнопочный телефон или в крайнем случае обычную почту.
— Однако, эксперт рекомендует не допускать такой ситуации и предупредить ее, используя импортозамещение.
https://www.securitylab.ru/news/533405.php
— Наталья Касперская предупредила о возможном отключении всех смартфонов на территории РФ.
— Если же до крайних мер дойдет в реальности, то их вполне можно пережить, считает эксперт. В качестве аналогов смартфонам Касперская предложила использовать ноутбук, кнопочный телефон или в крайнем случае обычную почту.
— Однако, эксперт рекомендует не допускать такой ситуации и предупредить ее, используя импортозамещение.
https://www.securitylab.ru/news/533405.php
SecurityLab.ru
Касперская: В России могут отключить все смартфоны
Страны Запада обладают возможностью отключить все смартфоны в России.
🤡174👍29🤔13😁7🔥2😱2😢1
Даже идеальный исходный код (если бы такой существовал) — еще не гарантирует безопасность. Чтобы вовремя находить уязвимости и предотвращать реализацию недопустимых событий, важно проводить динамическое тестирование приложения и анализировать его поведение в среде использования
С DAST (Dynamic Application Security Testing) в России сейчас не все просто — зарубежные вендоры ушли, а решения с открытым кодом, представленные на рынке, не могут похвастаться высоким качеством сканирования.
🗓 23 августа в 14:00 Positive Technologies в онлайн-эфире представит динамический анализатор приложений PT BlackBox.
Зачем бизнесу нужен DAST? Как развивались технологии этого метода? Как устроен PT BlackBox? Обо всем этом расскажут команда PT BlackBox, а также гости — эксперты Swordfish Security и «Инфосистемы Джет».
Зарегистрироваться на онлайн-запуск можно по ссылке.
Среди участников будет разыгран мерч от Positive Technologies😉
С DAST (Dynamic Application Security Testing) в России сейчас не все просто — зарубежные вендоры ушли, а решения с открытым кодом, представленные на рынке, не могут похвастаться высоким качеством сканирования.
🗓 23 августа в 14:00 Positive Technologies в онлайн-эфире представит динамический анализатор приложений PT BlackBox.
Зачем бизнесу нужен DAST? Как развивались технологии этого метода? Как устроен PT BlackBox? Обо всем этом расскажут команда PT BlackBox, а также гости — эксперты Swordfish Security и «Инфосистемы Джет».
Зарегистрироваться на онлайн-запуск можно по ссылке.
Среди участников будет разыгран мерч от Positive Technologies😉
👍26🔥1
Минцифры создаст фонд для помощи пострадавшим от утечек данных
— На наполнение фонда в ведомстве предлагают направить средства, полученные из оборотных штрафов, наложенных на компании, которые допустили «утечки».
— В Минцифры подчеркнули, что сейчас рассматривают механизм осуществления выплат. «Нужно определить, как будет высчитываться объем, при каких условиях можно будет претендовать на выплаты, другие детали», — отметили в ведомстве.
— В мае, Минцифры согласовало законопроект, предполагающий введение штрафа в размере 1% от годовой выручки и увеличение его до 3%, если компания вовремя не сообщила об утечке Роскомнадзору.
https://www.securitylab.ru/news/533419.php
— На наполнение фонда в ведомстве предлагают направить средства, полученные из оборотных штрафов, наложенных на компании, которые допустили «утечки».
— В Минцифры подчеркнули, что сейчас рассматривают механизм осуществления выплат. «Нужно определить, как будет высчитываться объем, при каких условиях можно будет претендовать на выплаты, другие детали», — отметили в ведомстве.
— В мае, Минцифры согласовало законопроект, предполагающий введение штрафа в размере 1% от годовой выручки и увеличение его до 3%, если компания вовремя не сообщила об утечке Роскомнадзору.
https://www.securitylab.ru/news/533419.php
SecurityLab.ru
Минцифры создаст фонд для помощи пострадавшим от утечек данных
Наполнять фонд планируется средствами от штрафов допустивших утечки компаний.
👍29😁14🤬5👏2🔥1🥰1
Искусственный интеллект от «Ростеха» поможет учителям оценить эмоциональное состояние учеников
— Новая разработка определяет психологическое и эмоциональное состояние ученика, а также оценивает влияние этих параметров на скорость и качество усвоения учебного материала.
— На основе полученных данных алгоритм дает преподавателю рекомендации, как найти подход к каждому подопечному и доработать учебный материал.
https://www.securitylab.ru/news/533438.php
— Новая разработка определяет психологическое и эмоциональное состояние ученика, а также оценивает влияние этих параметров на скорость и качество усвоения учебного материала.
— На основе полученных данных алгоритм дает преподавателю рекомендации, как найти подход к каждому подопечному и доработать учебный материал.
https://www.securitylab.ru/news/533438.php
SecurityLab.ru
Искусственный интеллект от «Ростеха» поможет учителям оценить эмоциональное состояние учеников
Комплекс способен определять психологическое и эмоциональное состояние ученика, оценивать влияние этих параметров на скорость и качество усвоения учебного материала.
😁16🤡13👍11🤔6🤬3🥱3🔥1😱1🙏1
Delivery Club оштрафовали на 80 тысяч рублей за утечку данных клиентов
— Delivery Club была присуждена не максимальная сумма штрафа. По статье об административном правонарушении Delivery Club мог получить штраф от 60 000 до 100 000 рублей.
— В мае 2022 года СМИ сообщили, что в открытый доступ попали файлы, содержащие более 1,2 млн строк, содержащих персональные данные курьеров сервисов «Яндекс.Еда» и Delivery Club.
— Среди утекших данных — имена, номера телефонов и адреса электронной почты работников сервисов.
https://www.securitylab.ru/news/533425.php
— Delivery Club была присуждена не максимальная сумма штрафа. По статье об административном правонарушении Delivery Club мог получить штраф от 60 000 до 100 000 рублей.
— В мае 2022 года СМИ сообщили, что в открытый доступ попали файлы, содержащие более 1,2 млн строк, содержащих персональные данные курьеров сервисов «Яндекс.Еда» и Delivery Club.
— Среди утекших данных — имена, номера телефонов и адреса электронной почты работников сервисов.
https://www.securitylab.ru/news/533425.php
SecurityLab.ru
Delivery Club оштрафовали на 80 тысяч рублей за утечку данных клиентов
Максимальный штраф для юридических лиц по этой статье - 100 тысяч рублей.
😁50🤬23👍4❤1🔥1
У вас есть право на приватность, на защиту своих персональных данных и право оставаться анонимным в интернете. В России об этом мало кто говорит, а защищают такие права и вовсе единицы.
Роскомсвобода – первая и одна из немногих в России организаций, которая борется с незаконной слежкой и защищает цифровые права граждан в интернете и офлайн.
🔹Как обходить интернет-цензуру и читать заблокированные медиа;
🔹Как высказывать своё мнение в интернете, чтобы никого не «дискредитировать»;
🔹Как защитить свои персональные данные от мошенников;
Подписывайтесь на @roskomsvoboda и берегите своё право на приватность.
Роскомсвобода – первая и одна из немногих в России организаций, которая борется с незаконной слежкой и защищает цифровые права граждан в интернете и офлайн.
🔹Как обходить интернет-цензуру и читать заблокированные медиа;
🔹Как высказывать своё мнение в интернете, чтобы никого не «дискредитировать»;
🔹Как защитить свои персональные данные от мошенников;
Подписывайтесь на @roskomsvoboda и берегите своё право на приватность.
Telegram
Roskomsvoboda
Новости, аналитика, мониторинг реестров
18+
23.12.2022г Минюст включил Роскомсвободу в реестр иноагентов. Мы не согласны с этим и обжалуем это в суде
18+
23.12.2022г Минюст включил Роскомсвободу в реестр иноагентов. Мы не согласны с этим и обжалуем это в суде
👍25🥱11🤬6❤4🤯3🔥1😁1🙏1
Это фиаско: 12 грандиозных неудач на миллиарды долларов
Невозможно представить разработку новых технологий со стопроцентным успехом. Инвестиции в развитие требуют больших затрат, как и процесс выпуска конечного продукта в руки потребителей. Когда на кону стоят миллиарды долларов, вложенных в запуск проекта, могут произойти разные ситуации, которые всё разрушат.
Иногда внешние факторы, такие как погода и нестабильные рыночные условия, могут сорвать проект. А в других случаях некомпетентность основателей стартапов и отсутствие должной осмотрительности инвесторов могут уничтожить продукт. Возможности разбогатеть продолжают существовать так же, как и возможности мгновенно потерять весь свой капитал.
В этой статье мы расскажем о 12 случаях, когда ошибки, обман и отсутствие необходимых знаний привели к потере миллионов долларов.
https://www.securitylab.ru/analytics/533108.php
Невозможно представить разработку новых технологий со стопроцентным успехом. Инвестиции в развитие требуют больших затрат, как и процесс выпуска конечного продукта в руки потребителей. Когда на кону стоят миллиарды долларов, вложенных в запуск проекта, могут произойти разные ситуации, которые всё разрушат.
Иногда внешние факторы, такие как погода и нестабильные рыночные условия, могут сорвать проект. А в других случаях некомпетентность основателей стартапов и отсутствие должной осмотрительности инвесторов могут уничтожить продукт. Возможности разбогатеть продолжают существовать так же, как и возможности мгновенно потерять весь свой капитал.
В этой статье мы расскажем о 12 случаях, когда ошибки, обман и отсутствие необходимых знаний привели к потере миллионов долларов.
https://www.securitylab.ru/analytics/533108.php
SecurityLab.ru
Это фиаско: 12 грандиозных неудач на миллиарды долларов
Невозможно представить разработку новых технологий со стопроцентным успехом. Инвестиции в развитие требуют больших затрат, как и процесс выпуска конечного продукта в руки потребителей. Когда на кону стоят миллиарды долларов, вложенных в запуск проекта, могут…
👍22🍌4🔥1
Telegram, TikTok и Zoom получили «черную метку» Роскомнадзора
— Роскомнадзор обязал поисковики информировать пользователей о нарушении закона со стороны TikTok, Telegram, Zoom, Discord и Pinterest.
— Меры понуждения введены в связи с тем, что вышеуказанные ИТ-компании не соблюдают требования законодательства РФ.
— Меры будут действовать до полного устранения компаниями нарушений.
https://www.securitylab.ru/news/533470.php
— Роскомнадзор обязал поисковики информировать пользователей о нарушении закона со стороны TikTok, Telegram, Zoom, Discord и Pinterest.
— Меры понуждения введены в связи с тем, что вышеуказанные ИТ-компании не соблюдают требования законодательства РФ.
— Меры будут действовать до полного устранения компаниями нарушений.
https://www.securitylab.ru/news/533470.php
SecurityLab.ru
Telegram, TikTok и Zoom получили «черную метку» Роскомнадзора
РКН обязал поисковики информировать пользователей о нарушении закона со стороны TikTok, Telegram, Zoom, Discord и Pinterest.
🤬39👍24😁13🤔4👏2🔥1😢1
Бесплатный VPN-сервис создан для шпионажа за пользователями
— 7 июля исследователь Cybernews Арас Назаровас обнаружил открытый экземпляр ElasticSearch, содержащий 626 ГБ журналов VPN-подключений с 5,7 млрд. записей пользователей бесплатного VPN-приложения Airplane Accelerates
— Утечка данных может быть использована для деанонимизации и отслеживания пользователей этого приложения. Анализ приложения для Android также показывает, что оно способно работать как шпионское ПО и имеет возможности удаленного выполнения кода.
— Согласно расследованию, приложение Airplane запрашивало большое количество разрешений, начиная от доступа к камере и записи звука и заканчивая чтением и изменением контактов, подключением внешнего хранилища и установкой пакетов. По словам Назароваса, количество запрашиваемых разрешений предполагает, что часть собираемой информации хранится в другой базе данных.
https://www.securitylab.ru/news/533447.php?r=2
— 7 июля исследователь Cybernews Арас Назаровас обнаружил открытый экземпляр ElasticSearch, содержащий 626 ГБ журналов VPN-подключений с 5,7 млрд. записей пользователей бесплатного VPN-приложения Airplane Accelerates
— Утечка данных может быть использована для деанонимизации и отслеживания пользователей этого приложения. Анализ приложения для Android также показывает, что оно способно работать как шпионское ПО и имеет возможности удаленного выполнения кода.
— Согласно расследованию, приложение Airplane запрашивало большое количество разрешений, начиная от доступа к камере и записи звука и заканчивая чтением и изменением контактов, подключением внешнего хранилища и установкой пакетов. По словам Назароваса, количество запрашиваемых разрешений предполагает, что часть собираемой информации хранится в другой базе данных.
https://www.securitylab.ru/news/533447.php?r=2
SecurityLab.ru
Бесплатный VPN-сервис создан для шпионажа за пользователями
В открытом доступе оказалась база данных размеров 626 ГБ с данными пользователей, которые стали жертвами шпионского ПО.
🤬25👍17😁7🔥4🤔3🥰2
Google отразил крупнейшую DDoS-атаку в истории
— Сервис Google Cloud 18 августа заявил , что заблокировала DDoS-атаку, которая достигла пика в 46 млн. запросов в секунду (RPS), что сделало эту атаку крупнейшей из зарегистрированных на сегодняшний день.
— По словам Google Cloud, эта DDoS-атака сравнима с тем, что получать все ежедневные запросы к Википедии (одному из 10 самых посещаемых сайтов в мире) всего за 10 секунд.
— Географическое распределение и типы незащищенных сервисов, используемых для проведения атаки, соответствуют ботнету Mēris, который в сентябре 2021 года провел DDoS-атаку на Яндекс с более 20 млн. RPS .
https://www.securitylab.ru/news/533452.php
— Сервис Google Cloud 18 августа заявил , что заблокировала DDoS-атаку, которая достигла пика в 46 млн. запросов в секунду (RPS), что сделало эту атаку крупнейшей из зарегистрированных на сегодняшний день.
— По словам Google Cloud, эта DDoS-атака сравнима с тем, что получать все ежедневные запросы к Википедии (одному из 10 самых посещаемых сайтов в мире) всего за 10 секунд.
— Географическое распределение и типы незащищенных сервисов, используемых для проведения атаки, соответствуют ботнету Mēris, который в сентябре 2021 года провел DDoS-атаку на Яндекс с более 20 млн. RPS .
https://www.securitylab.ru/news/533452.php
SecurityLab.ru
Google отразил крупнейшую DDoS-атаку в истории
46 млн. запросов в секунду больше часа атаковали клиента Google Cloud Armor.
👍31🤯18🤔2🔥1
Иностранные книги, фильмы, игры и музыка могут вернуться в Россию
— Депутат партии «Справедливая Россия — Патриоты — За правду» Дмитрий Кузнецов предложил Госдуме принудительно лицензировать объекты авторского права из недружественных стран.
— Условием для выдачи лицензии будет полная недоступность контента в России из-за отказа производителя.
— По мнению парламентария, данный законопроект поможет не только обеспечить доступ россиян к «культурным ценностям», но и бороться с пиратством.
https://www.securitylab.ru/news/533471.php
— Депутат партии «Справедливая Россия — Патриоты — За правду» Дмитрий Кузнецов предложил Госдуме принудительно лицензировать объекты авторского права из недружественных стран.
— Условием для выдачи лицензии будет полная недоступность контента в России из-за отказа производителя.
— По мнению парламентария, данный законопроект поможет не только обеспечить доступ россиян к «культурным ценностям», но и бороться с пиратством.
https://www.securitylab.ru/news/533471.php
SecurityLab.ru
Госдума хочет разрешить принудительно лицензировать зарубежные фильмы и книги
По мнению законодателей, такие меры должны вернуть «доступ народа к мировой культуре».
👍38😁26🤬7🔥1🤔1🤯1😢1
Instagram, Snapchat и TikTok обвиняют в негативном влиянии на детей и подростков. Против компаний подано три новых иска.
— Истцы утверждают, что компании намеренно стараются привлечь малолетних пользователей, даже зная о вреде, который они несут.
— Контент социальных сети провоцируют психические расстройства у пользователей-подростков, например, расстройства пищевого поведения, тревожность и даже самоубийства.
— Отличительной особенностью платформ является отсутствие родительского контроля. При этом платформы намеренно не проверяют подлинность учетных записей.
— Социальные сети также обвиняются в фактическом отсутствии запретов на открытие нескольких аккаунтов, чтобы стимулировать рост посещаемости.
https://www.securitylab.ru/news/533474.php
— Истцы утверждают, что компании намеренно стараются привлечь малолетних пользователей, даже зная о вреде, который они несут.
— Контент социальных сети провоцируют психические расстройства у пользователей-подростков, например, расстройства пищевого поведения, тревожность и даже самоубийства.
— Отличительной особенностью платформ является отсутствие родительского контроля. При этом платформы намеренно не проверяют подлинность учетных записей.
— Социальные сети также обвиняются в фактическом отсутствии запретов на открытие нескольких аккаунтов, чтобы стимулировать рост посещаемости.
https://www.securitylab.ru/news/533474.php
SecurityLab.ru
Instagram*, Snapchat и TikTok обвиняют в негативном влиянии на детей и подростков
Против Instagram*, Snapchat и TikTok подано три новых иска.
👍63😁8🕊6🔥2🙏2❤1
Хакеры вскрывают биткоин-банкоматы General Bуtes по всему миру
— 18 августа General Bytes опубликовала сообщение, в котором признала существование 0-day уязвимости, активно эксплуатируемой хакерами в дикой природе.
— Злоумышленники использовали уязвимость в ПО для упpaвлeния paбoтoй aппapaтнoгo oбecпeчeния сервера криптоприложений (CAS) для создания фальшивой учетной записи администратора.
— Изменив нужные настройки, хакеры заставили банкоматы пересылать всю криптовалюту клиентов на своих кошельки. Специалисты пока не могут точно сказать, сколько серверов взломано и криптовалюты украдено.
https://www.securitylab.ru/news/533473.php
— 18 августа General Bytes опубликовала сообщение, в котором признала существование 0-day уязвимости, активно эксплуатируемой хакерами в дикой природе.
— Злоумышленники использовали уязвимость в ПО для упpaвлeния paбoтoй aппapaтнoгo oбecпeчeния сервера криптоприложений (CAS) для создания фальшивой учетной записи администратора.
— Изменив нужные настройки, хакеры заставили банкоматы пересылать всю криптовалюту клиентов на своих кошельки. Специалисты пока не могут точно сказать, сколько серверов взломано и криптовалюты украдено.
https://www.securitylab.ru/news/533473.php
SecurityLab.ru
Хакеры вскрывают биткоин-банкоматы General Bуtes по всему миру
В своих атаках злоумышленники использовали 0-day уязвимость в CAS биткоин-банкоматов General Bytes.
👍35🌭7🤔2🔥1
Forwarded from Анонсы лучших ИБ мероприятий (webinars)
Твой ковер у нас, Лебовски!👀
Cможешь забрать его 23 августа после того, как рандомайзер выберет тебя в качестве победителя среди участников онлайн-запуска PT BlackBox, динамического анализатора приложений от Positive Technologies.
Зачем?
На ковре опасные уязвимости, сможешь вытирать о них ноги, ведь в твоем приложении их нет. Или есть?
Тогда тебе точно нужно быть 23 августа в 14:00 на онлайн-запуске российского динамического анализатора — PT BlackBox.
Больше нет времени объяснять. Регистрируйся и смотри презентацию PT BlackBox!💥
Cможешь забрать его 23 августа после того, как рандомайзер выберет тебя в качестве победителя среди участников онлайн-запуска PT BlackBox, динамического анализатора приложений от Positive Technologies.
Зачем?
На ковре опасные уязвимости, сможешь вытирать о них ноги, ведь в твоем приложении их нет. Или есть?
Тогда тебе точно нужно быть 23 августа в 14:00 на онлайн-запуске российского динамического анализатора — PT BlackBox.
Больше нет времени объяснять. Регистрируйся и смотри презентацию PT BlackBox!💥
👍16🌚6🤡4🐳2🔥1🤬1
Зашифрованный ZIP-архив может иметь два правильных пароля
— Исследователь кибербезопасности Positive Technologies Арсений Шароглазов поделился экспериментом, в ходе которого он создал защищенный паролем ZIP-файл под названием «x.zip». Для ZIP-файла Шароглазов установил пароль, который повторяет слова знаменитой песни: «Nev1r-G0nna-G2ve-Y8u-Up-N5v1r-G1nna-Let-Y4u-D1wn-N8v4r-G5nna-D0sert-You».
— Эксперт продемонстрировал , что при распаковке «x.zip» с другим паролем он не получил сообщение об ошибке. Фактически, использование другого пароля «pkH8a0AqNbHcdw8GrmSp» привело к успешному извлечению ZIP-файла с неповрежденным исходным содержимым.
— Один из пользователей Twitter под именем «Unblvr» написал, почему так происходит . По его словам, при создании защищенных паролем ZIP-архивов с включенным режимом AES-256 формат ZIP использует алгоритм PBKDF2 и хэширует пароль, если он слишком длинный (длиннее 64 символов). Вместо введенного пароля вычисленный хэш становится фактическим паролем к файлу.
https://www.securitylab.ru/news/533476.php
— Исследователь кибербезопасности Positive Technologies Арсений Шароглазов поделился экспериментом, в ходе которого он создал защищенный паролем ZIP-файл под названием «x.zip». Для ZIP-файла Шароглазов установил пароль, который повторяет слова знаменитой песни: «Nev1r-G0nna-G2ve-Y8u-Up-N5v1r-G1nna-Let-Y4u-D1wn-N8v4r-G5nna-D0sert-You».
— Эксперт продемонстрировал , что при распаковке «x.zip» с другим паролем он не получил сообщение об ошибке. Фактически, использование другого пароля «pkH8a0AqNbHcdw8GrmSp» привело к успешному извлечению ZIP-файла с неповрежденным исходным содержимым.
— Один из пользователей Twitter под именем «Unblvr» написал, почему так происходит . По его словам, при создании защищенных паролем ZIP-архивов с включенным режимом AES-256 формат ZIP использует алгоритм PBKDF2 и хэширует пароль, если он слишком длинный (длиннее 64 символов). Вместо введенного пароля вычисленный хэш становится фактическим паролем к файлу.
https://www.securitylab.ru/news/533476.php
SecurityLab.ru
Зашифрованный ZIP-архив может иметь два правильных пароля
Используя технические особенности формата ZIP, можно получить доступ к запароленному архиву.
👍54🤔27👏6🤯5🔥3
Инструмент GitHub Copilot поможет студентам списывать на экзаменах по программированию
— Профессор компьютерных наук Массачусетского университета Эмери Бергер предупредил преподавателей о том , инструмент GitHub Copilot для предложения кода может решить любые задачи на экзаменах по программированию.
— Copilot может решить любое задание по программированию, используя требуемые преподавателем инструменты. Студенту достаточно начать писать код, и Copilot напишет дальнейшее решение. Нужно только описать желаемый результат и нажать клавишу Tab, чтобы Copilot написал правильный код.
— Бергер предложил сдавать экзамены в среде, где студенты не могут использовать Copilot. Возможно, придется сдавать экзамены на бумаге или устно. Также он рассказал, что можно использовать ранее заблокированные компьютеры, чтобы студенты сдавали экзамены в контролируемой обстановке.
https://www.securitylab.ru/news/533482.php
— Профессор компьютерных наук Массачусетского университета Эмери Бергер предупредил преподавателей о том , инструмент GitHub Copilot для предложения кода может решить любые задачи на экзаменах по программированию.
— Copilot может решить любое задание по программированию, используя требуемые преподавателем инструменты. Студенту достаточно начать писать код, и Copilot напишет дальнейшее решение. Нужно только описать желаемый результат и нажать клавишу Tab, чтобы Copilot написал правильный код.
— Бергер предложил сдавать экзамены в среде, где студенты не могут использовать Copilot. Возможно, придется сдавать экзамены на бумаге или устно. Также он рассказал, что можно использовать ранее заблокированные компьютеры, чтобы студенты сдавали экзамены в контролируемой обстановке.
https://www.securitylab.ru/news/533482.php
SecurityLab.ru
Инструмент GitHub Copilot поможет студентам списывать на экзаменах по программированию
Copilot специально обучали всем вводным заданиям по программированию.
👍36🔥5😢5😁4🤯2🐳2
Программист уличил Google в слежке за пользователями
— Разработчик создал программу, которая издает звуковой сигнал при каждой передаче данных пользователя на сервер компании Google
— Еще на этапе ввода запроса в адресную строку программа стала без перерыва сигнализировать о передаче данных: каждый введенный символ попадал на сервера Google. На самом сайте звук сопровождал каждый клик по ссылкам и активным элементам страницы.
— Некоторые пользователи раскритиковали Хуберта, найдя вполне логичным то, что браузер Chrome постоянно "общается" с серверами Google. Тогда разработчик повторил опыт для Firefox. При этом результат оказался практически таким же.
https://www.securitylab.ru/news/533498.php
— Разработчик создал программу, которая издает звуковой сигнал при каждой передаче данных пользователя на сервер компании Google
— Еще на этапе ввода запроса в адресную строку программа стала без перерыва сигнализировать о передаче данных: каждый введенный символ попадал на сервера Google. На самом сайте звук сопровождал каждый клик по ссылкам и активным элементам страницы.
— Некоторые пользователи раскритиковали Хуберта, найдя вполне логичным то, что браузер Chrome постоянно "общается" с серверами Google. Тогда разработчик повторил опыт для Firefox. При этом результат оказался практически таким же.
https://www.securitylab.ru/news/533498.php
SecurityLab.ru
Программист уличил Google в слежке за пользователями
Разработчик создал программу, которая издает звуковой сигнал при каждой передаче данных пользователя на сервер компании Google
😁50👍20😱11🤬2🔥1🤔1
Россиянину-участнику группы Ryuk грозит до 20 лет тюрьмы в США
— Нью-йоркский адвокат Дубникова Аркадий Бух сообщил, что его клиент «не признает себя виновным», поскольку ему ничего не известно о том, что кто-то занимается преступной деятельностью».
— 29-летний Денис Дубников предположительно отмыл более $400 000, полученных с выкупов жертв. Основными жертвами Ryuk являются больницы. Осенью 2020 года киберпреступники устроили серию вымогательских атак на IT-системы сотен медицинских центров США, что стало одной из крупнейших кибератак на сектор здравоохранения.
— По состоянию на 2021 год операторы Ryuk и их аффилированные лица использовали как минимум 61 криптовалютный кошелек, в которых хранилась криптовалюта на сумму более $150 млн.
https://www.securitylab.ru/news/533500.php
— Нью-йоркский адвокат Дубникова Аркадий Бух сообщил, что его клиент «не признает себя виновным», поскольку ему ничего не известно о том, что кто-то занимается преступной деятельностью».
— 29-летний Денис Дубников предположительно отмыл более $400 000, полученных с выкупов жертв. Основными жертвами Ryuk являются больницы. Осенью 2020 года киберпреступники устроили серию вымогательских атак на IT-системы сотен медицинских центров США, что стало одной из крупнейших кибератак на сектор здравоохранения.
— По состоянию на 2021 год операторы Ryuk и их аффилированные лица использовали как минимум 61 криптовалютный кошелек, в которых хранилась криптовалюта на сумму более $150 млн.
https://www.securitylab.ru/news/533500.php
SecurityLab.ru
Россиянину-участнику группы Ryuk грозит до 20 лет тюрьмы в США
Россиянин отрицает свою вину в отмывании более $400 тыс.
👍26🤔9🔥2👏2😁2😢1💩1
Forwarded from Анонсы лучших ИБ мероприятий (webinars)
⚡️ The Standoff Talks начался
Программа митапа
11:00 Интро от организаторов
11:20 Виктор Зварыкин — Не делайте так, как мы
12:10 Артём Кадушко — Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff
13:20 Роман Максимов — Абузим Zabbix заказчика, или Как бедолаге стать хозяином подконтрольных узлов
14:15 Константин Полишин — RedTeam страдания SOC'а
16:10 Денис Рыбин — О том как Privacy Sandbox веб сломал, но обещал починить
16:55 Вадим Шелест и Михаил Дрягунов — Breaking Red
18:20 Илья Шапошников — MSSQL: dump linked passwords
19:10 Магама́ Базаров — Cisco Nightmare. Дьявольский пентест сетей Cisco
Смотреть прямую трансляцию
Программа митапа
11:00 Интро от организаторов
11:20 Виктор Зварыкин — Не делайте так, как мы
12:10 Артём Кадушко — Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff
13:20 Роман Максимов — Абузим Zabbix заказчика, или Как бедолаге стать хозяином подконтрольных узлов
14:15 Константин Полишин — RedTeam страдания SOC'а
16:10 Денис Рыбин — О том как Privacy Sandbox веб сломал, но обещал починить
16:55 Вадим Шелест и Михаил Дрягунов — Breaking Red
18:20 Илья Шапошников — MSSQL: dump linked passwords
19:10 Магама́ Базаров — Cisco Nightmare. Дьявольский пентест сетей Cisco
Смотреть прямую трансляцию
YouTube
The Standoff Talks
Митап для энтузиастов и профессионалов Offensive/Defensive Security.
Программа
11.00 Интро от организаторов
11.20 Виктор Зварыкин — Не делайте так, как мы
12.10 Артём Кадушко — Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff…
Программа
11.00 Интро от организаторов
11.20 Виктор Зварыкин — Не делайте так, как мы
12.10 Артём Кадушко — Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff…
👍21🔥1
Поддельные Android-смартфоны содержат бэкдоры для взлома учетных записей WhatsApp
— Бюджетные Android-смартфоны содержат множество троянов, предназначенных для компрометации WhatsApp и WhatsApp Business.
— Опасность бэкдоров заключается в том, что они фактически становятся частью целевых приложений. В результате они получают доступ к файлам приложений и могут читать сообщения, рассылать спам, перехватывать и прослушивать телефонные звонки и выполнять другие вредоносные действия в зависимости от функциональности загружаемых модулей.
— Чтобы избежать таких вредоносных атак, пользователям рекомендуется приобретать мобильные устройства только в официальных магазинах и у законных дистрибьюторов.
https://www.securitylab.ru/news/533501.php
— Бюджетные Android-смартфоны содержат множество троянов, предназначенных для компрометации WhatsApp и WhatsApp Business.
— Опасность бэкдоров заключается в том, что они фактически становятся частью целевых приложений. В результате они получают доступ к файлам приложений и могут читать сообщения, рассылать спам, перехватывать и прослушивать телефонные звонки и выполнять другие вредоносные действия в зависимости от функциональности загружаемых модулей.
— Чтобы избежать таких вредоносных атак, пользователям рекомендуется приобретать мобильные устройства только в официальных магазинах и у законных дистрибьюторов.
https://www.securitylab.ru/news/533501.php
SecurityLab.ru
Поддельные Android-смартфоны содержат бэкдоры для взлома учетных записей WhatsApp
Смартфоны с Android 4.4.2 действуют как приемник для загрузки вредоносного и шпионского ПО.
😁25👍9🤯6🔥3
Forwarded from SecAtor
В первую декаду августа прошла конференция по безопасности Black Hat, на которой была раскрыта уязвимость в ядре Linux под названием Dirty Cred.
Об уязвимости поведали пытливые умы из Университета Нортуэстерн, которые работали над печально известной багой Dirty Pipe и обнаружили ошибку восьмилетней давности, с помощью которой злоумышленник может повысить свои права до максимального уровня.
Как подчеркнули сами исследователи, DirtyCred представляет собой концепцию эксплуатации на уровне ядра, позволяющую повысить права в результате замены непривилегированных учетных данных на привилегированные.
Для повышения привилегий DirtyCred использует ранее неизвестную уязвимость, отслеживаемую как CVE-2022-2588. Недостаток в связан с проблемой использования после освобождения, которая находится в route4_change при реализации фильтра net/sched/cls_route.c в ядре Linux.
Уязвимость позволяет локальному привилегированному злоумышленнику вывести систему из строя, что может привести к повышению локальных привилегий.
Эксперты отмечают, что эксплойты, написанные с помощью DirtyCred, будут работать с разными ядрами и архитектурами, что наглядно продемонстрировали у себя на странице.
Причем специалисты описали подход, который можно применять и для Android.
Кстати, POC доступен на GitHub.
Об уязвимости поведали пытливые умы из Университета Нортуэстерн, которые работали над печально известной багой Dirty Pipe и обнаружили ошибку восьмилетней давности, с помощью которой злоумышленник может повысить свои права до максимального уровня.
Как подчеркнули сами исследователи, DirtyCred представляет собой концепцию эксплуатации на уровне ядра, позволяющую повысить права в результате замены непривилегированных учетных данных на привилегированные.
Для повышения привилегий DirtyCred использует ранее неизвестную уязвимость, отслеживаемую как CVE-2022-2588. Недостаток в связан с проблемой использования после освобождения, которая находится в route4_change при реализации фильтра net/sched/cls_route.c в ядре Linux.
Уязвимость позволяет локальному привилегированному злоумышленнику вывести систему из строя, что может привести к повышению локальных привилегий.
Эксперты отмечают, что эксплойты, написанные с помощью DirtyCred, будут работать с разными ядрами и архитектурами, что наглядно продемонстрировали у себя на странице.
Причем специалисты описали подход, который можно применять и для Android.
Кстати, POC доступен на GitHub.
YouTube
"DirtyCred" Gives Hackers Full Control of Linux and Android Systems
In this video I discuss the dirty cred vulnerability that allows for an unprivileged user to escalate privileges to root on the Linux kernel (all architectures) the bug is also believe to present in the android kernel and docker images using the Linux kernel.…
👍20😱4👏3🔥2