Компания Microsoft впервые за всю историю приоткрыла завесу над тем, как она классифицирует уязвимости в Windows. В понедельник, 10 сентября, Центр реагирования на проблемы безопасности Microsoft (Microsoft Security Response Center, MSRC) опубликовал два документа, в которых описываются внутренние процедуры, использующиеся сотрудниками компании для классификации и приоритизации уязвимостей.
Microsoft объяснила свой принцип классификации уязвимостей

Компания Positive Technologies приглашает принять участие в вебинаре «Рынок киберпреступности в цифрах», который состоится 20 сентября 2018 года, с 14:00 до 15:00 (по Московскому времени).


Positive Technologies приглашает на вебинар «Рынок киберпреступности в цифрах»

Специалисты Левенского католического университета в Бельгии разработали метод удаленного взлома брелока от электрокара Tesla Model S, весь процесс занимает менее двух секунд.
Эксперты взломали брелок от электрокара Tesla Model S менее чем за 2 секунды

С момента публикации эксплоита для уязвимости CVE-2018-14847 в маршрутизаторах MikroTik злоумышленники активно проводят кампании, направленные на уязвимые устройства. В настоящее время тысячи непропатченных устройств эксплуатируются в целях добычи криптовалюты. Хотя производитель выпустил корректирующий патч в апреле нынешнего года, многие пользователи все еще не обновили свои маршрутизаторы, чем и пользуются киберпреступники.
Злоумышленники продолжают атаковать уязвимые маршрутизаторы MikroTik

Компания Ice Qube выпустила новую версию платформы по управлению температурой Thermal Management Center, устраняющую две опасные уязвимости, позволяющие получить неавторизованный доступ к конфигурационным файлам или похитить важные данные.
Ice Qube исправила опасные уязвимости в решении Thermal Management Center

22 сентября в Москве пройдет CIF-5, практическая конференция, во время которой IT-специалисты, юристы, общественные деятели, предприниматели и участники обсуждают все самое важное и актуальное, что происходит сейчас в Рунете (и не только).


Пятая международная конференция CryptoInstallFest 2018 состоится в Москве

В недавней утечке данных клиентов British Airways, затронувшей порядка 380 тыс. человек, виновата киберпреступная группировка MageCart, специализирующаяся на кражах данных платежных карт. Злоумышленники компрометируют уязвимые сторонние сервисы и внедряют скрипт, действующий по принципу физических скиммеров, устанавливаемых в банкоматы. Таким образом злоумышленники получают доступ к сотням web-сайтов.
Взлом сайта British Airways оказался делом рук группировки MageCart

На портале Microsoft TechNet обнаружено более 3 тыс. страниц, используемых мошенниками для продвижения поддельных сервисов. Причина, по которой киберпреступники избрали для своей деятельности портал Microsoft, весьма проста – сыграть на репутации домена microsoft.com. Размещение рекламы сервисов на этом сайте позволяет ей выше подниматься в поисковой выдаче, чем если бы она размещалась на другом хостинге.
Мошенники размещают на Microsoft TechNet рекламу поддельных сервисов

12-13 октября в центре Digital October (г. Москва) в 14-й раз состоится научно-практическая конференция «Software Engineering Conference Russia» – знаковое событие для ИТ-отрасли в России.


12-13 октября в центре Digital October состоится научно-практическая конференция «Software Engineering Conference Russia»

Банковский троян Kronos, также известный как «отец Zeus», является мощным вредоносным ПО и просто так не исчезнет с андеграудной сцены. Впервые он был замечен в 2014 году на русскоязычных хакерских форумах, и в настоящее время его стоимость составляет $7 тыс. (недельный пробный период обойдется в $1 тыс.). За эти деньги продавцы Kronos обещают регулярную поддержку, исправление уязвимостей и добавление новых модулей.
Обнаружен новый «отпрыск» банковского трояна Kronos

Во вторник, 11 сентября, компания Microsoft выпустила плановые ежемесячные обновления для своих программных продуктов, в том числе для Windows, Microsoft Office и Edge. Сентябрьские обновления безопасности исправляют в общей сложности 62 известные уязвимости.
Microsoft исправила 17 критических уязвимостей в своих продуктах

В январе 2018 года компания Advantech выпустила обновление (8.3) программного пакета HMI/SCADA WebAccess, устраняющее множественные уязвимости, в том числе CVE-2017-16720, позволявшую удаленное выполнение команд с привилегиями администратора. Как выяснили специалисты Tenable, компании так и не удалось исправить вышеуказанную уязвимость, более того эксплоит для нее доступен в Сети уже более шести месяцев.
Критическая уязвимость в ПО Advantech WebAccess все еще актуальна, несмотря на патч

Во вторник, 11 сентября, организация OpenSSL Project анонсировала выход OpenSSL 1.1.1 – новой версии библиотеки с продолжительным сроком поддержки (Long Term Support, LTS).
Новая версия OpenSSL получила поддержку TLS 1.3

Министерство обороны США вложит $10 млн в разработку новой системы телекоммуникации Molar Mic. Беспроводной «зубной микрофон» размещается во рту и обеспечивает двустороннюю связь, используя костную проводимость звуков.
Пентагон заинтересовался «внутричерепной» системой связи

Международный союз электросвязи (International Telecommunications Union, ITU) опубликовал «Руководство по разработке стратегий национальной кибербезопасности» (National Cybersecurity Strategy Guide), призванное оказать помощь государствам в создании и реализации стратегий национальной кибербезопасности, в том числе механизмов готовности и противостояния кибератакам.
МСЭ опубликовал руководство по обеспечению национальной кибербезопасности

Автор языка программирования Python Гвидо ван Россум (Guido van Rossum) прекратил дискуссию, возникшую среди разработчиков Python из-за предложения убрать из кода термины «master» и «slave» («ведущий»/ «ведомый»). С такой инициативой выступил сотрудник Red Hat и один из ключевых разработчиков Python Виктор Стиннер (Victor Stinner). По его мнению, данные термины являются неполиткорректными и ассоциируются с рабством и неравноправием.
Проект Python откажется от использования терминов «master» и «slave»

По данным
за II квартал, количество инцидентов выросло на 47% по сравнению с прошлогодним. При этом доля целевых атак превысила долю массовых и составила 54%.


Positive Technologies: каждая четвертая кибератака нацелена на частных лиц

Компания Veeam Software, специализирующася на разработке решений для управления виртуальной инфраструкторой и защиты данных, допустила утечку 445 млн записей своих клиентов. База данных объемом в 200 ГБ хранилась на открытом для общего доступа сервере MongoDB в инфраструктуре Amazon.
445 млн записей клиентов компании Veeam оказались в открытом доступе

Киберпреступники активно сканируют интернет на предмет сайтов на WordPress, использующих уязвимые версии плагина Duplicator, с помощью которого они могли бы перехватить контроль над ресурсом. По имеющимся данным, плагин установлен на более чем 1 млн сайтов, в том числе занимающих верхние строчки в рейтинге Alexa.
Злоумышленники активно сканируют сайты на WordPress в поисках уязвимых плагинов Duplicator

ФСБ опубликовала перечень информации для предоставления в ГосСОПКА и порядок обмена данными о кибератаках между субъектами критический информационной инфраструктуры (КИИ), а также между субъектами КИИ и уполномоченными органами иностранных государств, CERT и другими организациями. Соответствующие приказы опубликованы на официальном портале правовой информации.
ФСБ установила перечень данных для внесения в ГосСОПКА

Исследователь безопасности Боб Дяченко обнаружил новую вредоносную кампанию Mongo Lock, нацеленную на доступные через интернет незащищенные базы данных MongoDB. Злоумышленники стирают данные и требуют выкуп за их восстановление. Хотя новая кампания получила собственное название, киберпреступники уже давно взяли себе на вооружение подобный способ заработка.
Новая вредоносная кампания нацелена на MongoDB