Компания Google предупредила владельцев ноутбуков Chromebook об опасной уязвимости в экспериментальной функции Chrome OS под названием «встроенный ключ безопасности», выполняющей процедуры универсальной двухфакторной аутентификации (Universal 2nd Factor, U2F). Данная функция позволяет использовать устройство Chromebook аналогично аппаратному ключу безопасности USB/NFC/Bluetooth.
Google предупредила об уязвимости во «встроенном ключе безопасности» Chrome OS

Управление по борьбе с наркотиками США не покупает инструменты для взлома у известной компании NSO Group по одной простой причине – слишком дорого. Об этом говорится в электронной переписке между регулятором и израильской компанией, пишет Motherboard.
Вредоносное ПО Pegasus оказалось не по карману Управлению по борьбе с наркотиками США

Предприимчивый житель Северной Осетии, отбывающий наказание в исправительной колонии строго режима, нашел способ «заработать», не покидая собственной камеры. Как сообщает прокуратура РСО-Алания, заключенный разработал план хищения средств с банковских счетов граждан и с помощью сообщника успешно воплощал его в жизнь.
Отбывающий наказание осетин похитил 2 млн руб., не покидая камеры

Узнайте как и в каком виде средства защиты автоматически получают информацию о новых атаках хакеров. Узнайте как и в каком виде средства защиты автоматически получают информацию о новых атаках хакеров.
https://www.securitylab.ru/news/501065.php

В июле нынешнего года в Госдуму РФ был внесен законопроект об обязательной предустановке на смартфоны, компьютеры и смарт-телевизоры отечественного ПО, однако в первом чтении инициативу поддержали не все. Комитет Госдумы по информационной политике поддержал проект, а вот Минкомсвязи и правовое управление Госдумы имеет к нему ряд претензий.
Правовое управление и Минкомсвязи не поддержали законопроект о предустановке отечественного ПО

Исследователи из Лаборатории компьютерных наук и искусственного интеллекта Массачусетского технологического института (Massachusetts Institute of Technology's Computer Science and Artificial Intelligence Laboratory, MIT CSAIL) изобрели новую форму аппаратного криптовалютного кошелька, защищенного от «целых классов» уязвимостей.
Новый криптокошелек Notary защитит от «целых классов» уязвимостей

Бывший сотрудник Агентства национальной безопасности (АНБ) США Эдвард Сноуден, получивший политическое убежище в России, сообщил о готовности вернутся в США. Он готов предстать перед судом только в том случае, если судебный процесс будет справедливым и объективным, и если ему позволят рассказать о причинах передачи секретной информации. Присяжные также должны получить доступ к информации, получившую огласку, и оценить правильность его поступка.
Сноуден готов вернутся в США на своих условиях

Компания Trustwave представила облачную платформу Trustwave Fusion, предназначенную для обеспечения кибербезопасности компаний и правительственных организаций. Решение предоставляет доступ к сервисам и продуктам Trustwave. Ключевые особенности платформы: единая панель, отображающая информацию об угрозах, уязвимостях и рисках; поддержка различных сред, включая публичные и частные облачные среды, а также сконцентрированные на безопасности облачные среды технологических компаний; доступ к данным об угрозах; поддержка сторонних продуктов и данных и пр.
Новые ИБ-решения недели: 13 сентября 2019 года

Криптомайнинговый ботнет WatchBog задействует web-приложение Pastebin для C&C-операций. Данный ботнет еще с 2018 года сосредоточен на использовании Linux-систем для майнинга криптовалюты Monero, однако в июле нынешнего года во вредоносное ПО был добавлен код для сканирования на предмет уязвимости BlueKeep в Windows. Ботнет в основном эксплуатирует такие известные уязвимости, как CVE-2018-1000861 (в Jenkins), CVE-2019-11581 (Jira), CVE-2019-10149 (Exim) и CVE-2019-0192 (Sol).
Криптомайнинговый ботнет WatchBog использует Pastebin как C&C-сервер

Редакция портала SecurityLab поздравляет всех программистов с их профессиональным праздником, который, как известно, ежегодно приходится на 256 день с начала года.


SecurityLab поздравляет всех читателей с Днем программиста!

Злоумышленники из киберпреступной группировки Electrum вызвавшие перебои в подаче электроэнергии на Украине в 2016 году, возможно, надеялись нанести гораздо больший ущерб. К такому мнению пришли исследователи из ИБ-компании Dragos.
Ущерб от атаки на киевскую электростанцию в 2016 году мог быть намного больше

34-летний украинец Федор Гладыр (Хладыр) признал себя виновным в участии в нашумевшей киберпреступной группировке FIN7, похитившей порядка $1 млрд по всему миру.
Один из «главарей» FIN7 признал свою вину

🔥 Подборка самых интересных каналов про IT, хакинг и безопасность.

CyberYozh - бесплатный курс по анонимности и безопасности в сети. Истории ошибок и арестов известных киберпреступников, тайные технологии защиты информации, ловушки для хакеров и многое другое.

@dataleak - канал, публикующий информацию об утечках данных по всему миру. Это один из базовых каналов, на который должен быть подписан специалист в сфере IT-безопасности.

@webware - хакинг от новичка до профи. Только свежая и эксклюзивная информация. Offensive, Defensive, Penetration test, CTF…

@vschannel - канал Дмитрия Момота, известного в сети под псевдонимом VektorT13. Он пишет про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы.

@exploitex - DDoS атаки и вирусы, обзоры хакерских девайсов и жучков, гайды по взлому и секреты анонимности в интернете.

Пожары, возникшие в субботу, 14 сентября, на двух заводах национальной нефтяной компании Саудовской Аравии Saudi Aramco стали следствием атаки с использованием беспилотных летательных аппаратов.
https://www.securitylab.ru/news/501104.php

За восемь дней до выхода финальной сборки iOS 13 исследователь безопасности Хосе Родригес (Jose Rodriguez) обнаружил в ней уязвимость, позволяющую обойти код безопасности и просматривать контакты на заблокированном устройстве.
Уязвимость в iOS 13 позволяет просматривать контакты на заблокированном iPhone

В фильме режиссера Оливера Стоуна «Сноуден» присутствует момент, когда бывший подрядчик АНБ США выносит из агентства секретные документы на миниатюрной флэш-карте, спрятанной в кубик Рубика. Было ли это на самом деле, сам Эдвард Сноуден не говорит, поскольку рано или поздно ему все равно придется давать показания на суде. Тем не менее, в новом интервью изданию The Guardian он рассказал о моменте, когда его план обнародовать секретные документы АНБ оказался на волосок от провала.
Сноуден рассказал, как его чуть не поймали «на горячем»

Компания Microsoft отклонила правительственные запросы на доступ к программному обеспечению для распознавания лиц. Корпорация хочет избежать их неправомерного использования и не хочет продавать данную технологию для наблюдения за пользователями.


Microsoft не станет продавать властям программы для распознавания лиц

Сквозное шифрование не обеспечивает стопроцентной защиты конфиденциальности данных, и приложения WhatsApp и Telegram не являются исключением. Об этом в интервью изданию France Inter сообщил бывший подрядчик АНБ США Эдвард Сноуден.
Сноуден предостерег от использования WhatsApp и Telegram

Банк России зафиксировал серьезную кибератаку, направленную на российские банки из Бразилии. В общей сложности нападению подверглись восемь банков. Атака началась в апреле нынешнего года и продолжалась несколько месяцев, остановить ее удалось лишь после вмешательства центробанков РФ и Бразилии, пишет «КоммерсантЪ».
В ЦБ рассказали об атаках из Бразилии на российские банки

Разработчики менеджера паролей LastPass на прошлой неделе исправили уязвимость, раскрывающую пароли от ранее посещенных сайтов. Проблему обнаружил исследователь безопасности Тэвис Орманди (Tavis Ormandy), подробно описавший ее после того, как разработчики LastPass выпустили исправление.


Уязвимость в LastPass раскрывает пароли от ранее посещенных сайтов

В Айове задержаны два ИБ-специалиста, нанятые для проведения тестирования безопасности здания. Причина задержания – несанкционированное проникновение в здание, где проводилось тестирование.


Тестировщиков систем безопасности здания арестовали за проникновение