Работая над автоматизацией сетевой инфраструктуры (а эта проблема рано или поздно возникает у любой растущей компанией), перед ИТ-отделом постоянно с разных ракурсов появляется вопрос обеспечения безопасности. Один из наиболее чувствительных и трудно автоматизируемых элементов ИБ является управление доступом и контроль проверки подлинности. Отдельных программных инструментов на рынке достаточно, а вот легко интегрируемых в существующие платформы автоматизации сетей - очень мало.


Сеть как средство контроля без необходимости использования Layer2 и Spanning Tree

Исследователи безопасности из компании Qualys обнаружили четыре уязвимости в свободной многоплатформенной операционной системе OpenBSD. Их эксплуатация позволяет повысить привилегии и обойти авторизацию в сетевых протоколах.
В OpenBSD обнаружены четыре опасные уязвимсоти

В индустриальной точке беспроводного доступа MOXA AWK-3121 обнаружено 14 уязвимостей. Их эксплуатация позволяет злоумышленнику просмотреть важную информацию, вызвать сбой в работе устройства и удаленно выполнить код.
В оборудовании Moxa обнаружено более десяти уязвимостей

Совет по стандартам безопасности индустрии платежных карт (PCI SSC) опубликовал новый стандарт безопасности данных для решений, позволяющих продавцам принимать бесконтактные платежи с помощью мобильных COTS-устройств (смартфонов и планшетов, предназначенных для массового рынка) с поддержкой технологии NFC.
CPoC – новый стандарт безопасности для бесконтактных платежей

Премьер-министр РФ Дмитрий Медведев считает реальной угрозу отключения России от глобального интернета. По словам Медведева, цель законопроекта о суверенном интернете заключается в том, чтобы Россию не отключили от мировой сети по чьему-нибудь приказу.


Отключение РФ от глобального интернета может стать реальной угрозой

Правоохранительные органы США и Великобритании намерены обнародовать обвинение против двух россиян, подозреваемых в компьютерном мошенничестве и отмывании денег. Максим Я. и Игорь Т. обвиняются в сговоре с целью похищения денежных средств и другой собственности с помощью вредоносного ПО.
Власти США и Великобритании обнародуют обвинение против двух россиян

Рекомендуем подписаться на канал РосКомСвободы - @roskomsvoboda, чтобы получать актуальную новостную и аналитическую информацию в области защиты наших с вами цифровых прав, следить за актуальными трендами в сфере кибербезопасности, а также узнавать, как развивается интернет в России и мире:
➡️ https://news.1rj.ru/str/roskomsvoboda

Эксперты Positive Technologies проанализировали деятельность двадцати двух APT-группировок, атакующих российские организации на протяжении последних двух лет, и выяснили, что больше половины из них нацелены на государственные организации, а 87% атакующих госучреждения APT-группировок начинают атаки с фишинга.


Positive Technologies: больше половины APT-группировок нацелены на госучреждения

Специалисты компании Comparitech изучили 50 стран на предмет использования и защиты персональных данных. В частности, их интересовал вопрос, где собираются биометрические данные, для чего и как хранятся. На основании этого каждой стране присуждалось соответствующее количество баллов (максимум 25). Чем выше балл – тем обширнее и агрессивнее ведется сбор биометрических данных в этой стране. Низкие же баллы наоборот свидетельствуют о больших ограничениях и контроле в сфере сбора биометрии и правительственного надзора.
Представлен рейтинг стран по использованию биометрии

Исследователь безопасности Алекс Сеймур (Alex Seymour) из Immersive Labs обнаружил серьезную уязвимость в корпоративном клиенте Aviatrix VPN. Ее эксплуатация позволяет злоумышленнику повышать пользовательские привилегии.
Обнаружена опасная уязвимость в Aviatrix VPN

Вечером в четверг, 5 декабря, власти США и Великобритании обнародовали обвинения, выдвинутые против москвича (а в прошлом жителя Украины) Максима Якубца и жителя Йошкар-Олы Игоря Турашева. По данным американских правоохранительных органов, они являются лидерами киберпреступной группы, называющей себя Evil Corp. Эта группа, более известная как Dridex, «проворачивала» масштабные мошеннические схемы по всему миру, принесшие ей более $100 млн.


США ввели санкции против создателей Dridex из России

Кибермошенники похитили у китайской венчурной компании $1 млн с помощью мошенничества с электронными письмами.
Необычная MiTM-атака позволила мошенникам похитить $1 млн

Компания Facebook подала в суд на двух граждан Китая и рекламную фирму из Гонконга, которые использовали платформу социальной сети для распространения вредоносных программ и рекламы с целью заработать деньги.
Facebook обвинила двух граждан Китая во взломе аккаунтов и распространении рекламы

Специалисты из передового центра НАТО по вопросам стратегических коммуникаций (NATO StratCom COE) совместно с компанией Singularex выпустили доклад о борьбе соцсетей с бот-фермами — частными и государственными организациями, манипулирующими показателями вовлеченности аудитории.
Российские бот-фермы названы главными поставщиками фейковых лайков в соцсетях

Специалисты Университета Нью-Мексико обнародовали информацию об уязвимости, затрагивающей Ubuntu, Fedora, Debian, FreeBSD, OpenBSD, macOS, iOS, Android и другие ОС на основе Unix. Проблема позволяет прослушивать и перехватывать VPN-соединения, а также внедрять произвольные данные в IPv4 и IPv6 TCP потоки.


Опасная уязвимость позволяет перехват VPN-подключений

Компания Apple, наконец, решила пояснить владельцам iPhone 11 и iPhone 11 Pro, почему их устройства собирают данные о местоположении, даже если в настройках приложений и системных служб функция сбора данных отключена.
Apple пояснила сбор данных новыми моделями iPhone

Команда исследователей безопасности из компании Microsoft проверила миллиарды учетных записей Microsoft и обнаружила, что 44 млн пользователей использовали логины и пароли, попавшие в Сеть из-за утечек данных в других online-службах. Анализ охватывает период с января по март 2019 года.
44 млн пользователей сервисов Microsoft повторно используют пароли

Житель Краснодарского края взломал внутриведомственную сеть РЖД и выложил в Сети несколько сотен тысяч фотографий и данные о руководстве компании.


Краснодарец взломал сеть РЖД и опубликовал личные данные сотрудников

Компания NVIDIA выпустила исправления для шести высокоопасных уязвимостей в пакете Tegra Linux Driver (L4T), предназначенного для Jetson AGX Xavier, TK1, TX1, TX2 и чипов Nano, используемых в информационно-развлекательной системе Mercedes-Benz MBUX и компьютерных системах автопилота Bosch. Уязвимые чипы также используется в хромбуках HP и Acer, Android-планшетах, игровых консолях Nintendo Switch и виртуальных ретинальных дисплеях Magic Leap One.
NVIDIA исправила высокоопасные уязвимости в Tegra Linux Driver (L4T)

Собеседование – первый шаг в получении работы вашей мечты. Интервью могут быть вызывать стресс, но в то же время являются прекрасной возможностью узнать подробнее, чем вы будете заниматься и познакомиться с людьми, которые через некоторое время могут стать вашими коллегами. https://www.securitylab.ru/analytics/503231.php

Французским ученым удалось взломать самый длинный и сложный ключ шифрования, существующий на сегодняшний день. Для этого они использовали несколько одновременно работающих кластеров компьютеров во Франции, Германии и США, сократив таким образом требуемое на взлом время с 35 млн до нескольких тысяч вычислительных часов.


Ученые взломали самый длинный и сложный ключ шифрования