Для исправления уязвимостей и добавления новых функций в свою систему бесключевого доступа в автомобилях Tesla Model X компания Tesla использует обновления «по воздуху». Однако, по словам специалиста Левенского католического университета (Бельгия) Леннерта Ваутерса (Lennert Wouters), с помощью этого механизма доставки обновлений можно в считанные минуты угнать автомобиль.
https://www.securitylab.ru/news/514263.php
https://www.securitylab.ru/news/514263.php
t.me
Новая Bluetooth-атака позволяет в считанные минуты угнать Tesla Model X
В системе бесключевого доступа Tesla Model X обнаружен ряд уязвимостей.
Минцифры России сообщает о начале приема заявок на включение в перечень программного обеспечения, которое планируется к предварительной установке на электронных устройствах. Правила составления и ведения перечня закреплены в Постановлении Правительства РФ от 18 ноября 2020 года № 1867.
https://www.securitylab.ru/news/514267.php
https://www.securitylab.ru/news/514267.php
t.me
Минцифры России сообщило о начале приема заявок на включение в перечень предустановленного ПО
Отобранные программы будут установлены на смартфонах, планшетах, телевизорах с функцией Smart TV, ноутбуках и персональных компьютерах.
Google выдает при поиске сайты, доступ к которым ограничен на территории России, включая ресурсы с экстремистским, порнографическим и суицидальным контентом, утверждает Роскомнадзор. По подсчетам ведомства, поисковик не удаляет из своей выдачи до 30 процентов «опасного» контента.
https://www.securitylab.ru/news/514268.php
https://www.securitylab.ru/news/514268.php
t.me
Роскомнадзор возбудил административное дело в отношении Google
В поисковике нашли сайты с порнографическим, экстремистским и суицидальным содержанием.
Forwarded from Анонсы лучших ИБ мероприятий
Solar webProxy 3.4. Теперь с антивирусом
Не допустить вредоносное ПО на рабочие станции пользователей — важная задача, с которой достаточно успешно справляются антивирусы. Но еще важнее предотвратить доступ вредоносного ПО в сеть организации.
Для решения этой задачи предназначено Solar webProxy, решение класса Secure Web Gateway (SWG), оснащенное антивирусным модулем Dr.Web.
3 декабря Ольга Исаева — ведущий бизнес-аналитик «Ростелеком-Солар», расскажет о функциях Solar webProxy 3.4, призванных облегчить работу пользователям, а также совместно с Василием Севостьяновым, начальником отдела технического сопровождения продаж компании «Доктор Веб», обсудит выбор антивирусного модуля и его преимущества.
Вебинар будет интересен руководителям и специалистам ИБ- и ИТ-отделов ФОИВ и РОИВ, компаний финансовой сферы, а также компаний с территориально-распределенной структурой.
Программа вебинара:
1. Новинки в Solar webProxy 3.4
2. Антивирус Dr.Web. Особенности и преимущества
3. Solar webProxy. Планы на будущее
4. Ответы на вопросы
Общая длительность вебинара — примерно 1,5 часа.
Не допустить вредоносное ПО на рабочие станции пользователей — важная задача, с которой достаточно успешно справляются антивирусы. Но еще важнее предотвратить доступ вредоносного ПО в сеть организации.
Для решения этой задачи предназначено Solar webProxy, решение класса Secure Web Gateway (SWG), оснащенное антивирусным модулем Dr.Web.
3 декабря Ольга Исаева — ведущий бизнес-аналитик «Ростелеком-Солар», расскажет о функциях Solar webProxy 3.4, призванных облегчить работу пользователям, а также совместно с Василием Севостьяновым, начальником отдела технического сопровождения продаж компании «Доктор Веб», обсудит выбор антивирусного модуля и его преимущества.
Вебинар будет интересен руководителям и специалистам ИБ- и ИТ-отделов ФОИВ и РОИВ, компаний финансовой сферы, а также компаний с территориально-распределенной структурой.
Программа вебинара:
1. Новинки в Solar webProxy 3.4
2. Антивирус Dr.Web. Особенности и преимущества
3. Solar webProxy. Планы на будущее
4. Ответы на вопросы
Общая длительность вебинара — примерно 1,5 часа.
Исследователи безопасности проанализировали 11 недорогих видеодомофонов, продаваемых на торговых online-площадках, таких как Amazon и eBay, и выявили множество уязвимостей в каждом устройстве. Самой опасной проблемой оказалась практика некоторых устройств отправлять названия сети Wi-Fi, пароли, информацию о местоположении, фотографии, видео, электронную почту и другие данные производителю без какой-либо очевидной причины.
https://www.securitylab.ru/news/514272.php
https://www.securitylab.ru/news/514272.php
t.me
Недорогие видеодомофоны отправляют производителям пользовательские данные
11 протестированных устройств имели одну или несколько опасных уязвимостей, а также слабые, легко угадываемые встроенные пароли.
Киберпреступники нацелились на пользователей музыкального сервиса Spotify, используя атаки с подстановкой учетных данных (credential stuffing).
https://www.securitylab.ru/news/514276.php
https://www.securitylab.ru/news/514276.php
t.me
Киберпреступники атакуют пользователей Spotify с помощью подстановки учетных данных
В открытом доступе обнаружена база данных пользователей Spotify, использующаяся хакерами для атак credential stuffing.
В магазинах приложений App Store и Google Play Store стало доступно для скачивания приложение «Госуслуги.COVID трекер», позволяющее отслеживать контакты с больными коронавирусной инфекцией (COVID-19).
https://www.securitylab.ru/news/514277.php
https://www.securitylab.ru/news/514277.php
t.me
Минцифры запустило приложение для отслеживания контактов с больными COVID-19
Приложение использует технологию Exposure Notification, разработанную компаниями Apple и Google.
В Государственную думу РФ внесен законопроект о штрафах для операторов связи, которые не применили оборудование для устойчивой работы интернета на территории России. Законопроект внесли глава комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн и его первый заместитель Сергей Боярский.
https://www.securitylab.ru/news/514281.php
https://www.securitylab.ru/news/514281.php
t.me
В Госдуме предложили ввести штрафы за нарушение закона об устойчивом интернете
За повторное нарушение суммы штрафов для юридических лиц могут составить от 60 тыс. до 1 млн руб.
Разработчики китайского приложения TikTok исправили две уязвимости, эксплуатация которых могла позволить злоумышленникам перехватить контроль над учетными записями одним щелчком мыши.
Немецкий исследователь безопасности Мухаммед Таскиран обнаружил уязвимость отраженного межсайтового выполнения сценариев (XSS) в параметре URL-адреса TikTok, отражающем его значение без надлежащей очистки. Проблема также могла привести к утечке данных во время фаззинга доменов компании tiktok.com и m.tiktok.com.
Эксперт также обнаружил, что конечная точка API TikTok уязвима к атакам с подделкой межсайтовых запросов (CSRF), которые позволяют изменять пароли учетных записей пользователей, зарегистрированных с помощью сторонних приложений.
https://www.securitylab.ru/news/514308.php
Немецкий исследователь безопасности Мухаммед Таскиран обнаружил уязвимость отраженного межсайтового выполнения сценариев (XSS) в параметре URL-адреса TikTok, отражающем его значение без надлежащей очистки. Проблема также могла привести к утечке данных во время фаззинга доменов компании tiktok.com и m.tiktok.com.
Эксперт также обнаружил, что конечная точка API TikTok уязвима к атакам с подделкой межсайтовых запросов (CSRF), которые позволяют изменять пароли учетных записей пользователей, зарегистрированных с помощью сторонних приложений.
https://www.securitylab.ru/news/514308.php
SecurityLab.ru
Уязвимости в TikTok позволяли взламывать аккаунты одним щелчком мыши
Проблема также могла привести к утечке данных во время фаззинга доменов компании TikTok.
Общение машины и человека всегда происходило без юмора. Однако это правило в скором времени перестанет действовать. Китайские специалисты разработали новую технологию, благодаря которой искусственный интеллект научится распознавать сарказм в высказываниях людей.
Cарказм — одна из самых сложных форм человеческого самовыражения и, следовательно, одна из самых сложных для обучения системам. Ученые смогли обнаружить эту уникальную человеческую лингвистическую черту в устной или письменной беседе.
https://www.securitylab.ru/news/514318.php
Cарказм — одна из самых сложных форм человеческого самовыражения и, следовательно, одна из самых сложных для обучения системам. Ученые смогли обнаружить эту уникальную человеческую лингвистическую черту в устной или письменной беседе.
https://www.securitylab.ru/news/514318.php
t.me
Искусственный интеллект научился распознавать сарказм в человеческой речи
Распознавание саркастических высказываний позволит искусственному интеллекту не зацикливаться на прописанных программистом алгоритмов
Окружная прокуратура округа Санта-Клара (штат Калифорния) сообщила, что большое жюри предъявило обвинение во взяточничестве руководителю службы безопасности Apple Томасу Мойеру и двум помощникам шерифа.
https://www.securitylab.ru/news/514322.php
https://www.securitylab.ru/news/514322.php
t.me
Глава службы безопасности Apple заплатил взятку продукцией компании
Топ-менеджер Apple договорился об «обмене» четырех лицензий на скрытое ношение оружия с офисом шерифа Санта-Клары на 200 новых планшетов Apple iPad.
Мэрия Москвы разработает систему, которая будет собирать детальный «цифровой профиль» пользователей всех городских услуг и сможет изучать активность москвичей в отдельно взятых районах и на «городских объектах». «Обогащённый профиль» пользователя будет включать в себя данные о задолженности и штрафах, информацию о проездном документе и соцкарте, система будет сопоставлять это с информацией из общественных точек доступа к Wi-Fi и от операторов, отслеживать «территориальные запреты» и «медицинские нарушения», а также учитывать данные соцопросов в разрезе отдельных районов города.
Объявленный тендер подразумевает масштабное расширение возможностей сбора информации о жителях, следует из закупочной документации. Заявленной целью доработки является «создание инструментов непрерывного мониторинга активности пользователей на территориях и объектах города Москвы», включая разработку «профилей активности по направлениям деятельности», «оперативное выявление возникающих трендов», «получение детальной аналитики и интегральных показателей по различным сферам деятельности пользователей» и «возможность оперативного реагирования на изменения ситуации в городе». Как подчёркивается в документации, все собираемые данные являются обезличенными и привязываются к уникальному идентификатору профиля, не содержащему такие данные как Ф. И.О. или место рождения.
Модуль «обогащения данных» должен будет обеспечивать «сопоставление и привязку» данных базовых профилей москвичей с данными Wi-Fi сессий в общественном транспорте, разрешений в части доступа к территории или объектам, обращений и результатов соцопросов по вопросам здравоохранения, образования, ЖКХ и работы общественного транспорта, а также обращений, связанных с личным автотранспортом и участием в городских событиях.
https://www.securitylab.ru/news/514323.php
Объявленный тендер подразумевает масштабное расширение возможностей сбора информации о жителях, следует из закупочной документации. Заявленной целью доработки является «создание инструментов непрерывного мониторинга активности пользователей на территориях и объектах города Москвы», включая разработку «профилей активности по направлениям деятельности», «оперативное выявление возникающих трендов», «получение детальной аналитики и интегральных показателей по различным сферам деятельности пользователей» и «возможность оперативного реагирования на изменения ситуации в городе». Как подчёркивается в документации, все собираемые данные являются обезличенными и привязываются к уникальному идентификатору профиля, не содержащему такие данные как Ф. И.О. или место рождения.
Модуль «обогащения данных» должен будет обеспечивать «сопоставление и привязку» данных базовых профилей москвичей с данными Wi-Fi сессий в общественном транспорте, разрешений в части доступа к территории или объектам, обращений и результатов соцопросов по вопросам здравоохранения, образования, ЖКХ и работы общественного транспорта, а также обращений, связанных с личным автотранспортом и участием в городских событиях.
https://www.securitylab.ru/news/514323.php
SecurityLab.ru
Мэрия заказала расширенное цифровое досье на москвичей
Будут отслеживаться «лояльность», долги и болезни.
Исследователи безопасности ИБ-компании Digital Defense обнаружили серьезную уязвимость в ПО для управления сайтами cPanel, пользующемся большой популярностью у хостинговых компаний. С ее помощью злоумышленник может обойти реализованный в cPanel механизм двухфакторной аутентификации для защиты учетных записей.
https://www.securitylab.ru/news/514325.php
https://www.securitylab.ru/news/514325.php
t.me
Двухфакторную аутентификацию в cPanel можно обойти
В ПО cPanel исправлена опасная уязвимость, помогающая злоумышленникам взломать управляемые с его помощью сайты.
В приложениях Baidu Maps и Baidu Search Box обнаружена проблема, связанная со сбором конфиденциальных данных.
https://www.securitylab.ru/news/514326.php
https://www.securitylab.ru/news/514326.php
t.me
Приложения Baidu для Android собирают конфиденциальную информацию
Код позволял программам собирать информацию о модели телефона, MAC-адресе, операторе связи и номере IMSI.
Отчет Hi-Tech Crime Trends 2020-2021 исследует разные аспекты функционирования киберкриминальной индустрии, анализирует атаки и прогнозирует изменение ладшафта угроз для различных отраслей экономики: финансовой, телекоммуникационной, ретейла, производства, энергетики. Также авторы отчета анализируют кампании, развернутые против объектов критической инфраструктуры, которые все чаще становятся целью для спецслужб разных государств.
https://www.securitylab.ru/news/514328.php
https://www.securitylab.ru/news/514328.php
t.me
Group-IB: свыше 1 млрд долларов — суммарный ущерб от «шифровальщиков»
Итогом тяжелого периода для мировых экономик стал расцвет рынка продажи доступов в скомпрометированные сети компаний.
В ходе киберучений, проводимых НАТО в Эстонии 16-20 ноября, специалисты упражнялись в поимке финансируемых правительствами хакеров с помощью специально расставленных ловушек.
https://www.securitylab.ru/news/514329.php
https://www.securitylab.ru/news/514329.php
t.me
НАТО экспериментирует с обманными техниками для борьбы с русскими хакерами
В недавних киберучениях специалисты НАТО учились работать с ханипотами для изучения противников.
Forwarded from Анонсы лучших ИБ мероприятий
Интенсив-практикум «CyberSecurity: Level 0»
Приглашаем познакомиться с работой команды защиты на интенсиве «CyberSecurity: Level 0»
За 3 дня видеоконференций с опытным ИБ-специалистом вы:
— Разберетесь в основных задачах Blue Team и настроите собственную систему для выявления инцидентов
— Узнаете, как успешно применять в работе навыки построения системы безопасности
— Познакомитесь с экспертами и компанией HackerU
— Пройдёте первые лабы и тесты, оценив свои силы уже для старта большой программы
Стоимость интенсива с экспертом в декабре — всего 2300 RUB
Успейте попасть в группу и записывайтесьпрямо сейчас.
Приглашаем познакомиться с работой команды защиты на интенсиве «CyberSecurity: Level 0»
За 3 дня видеоконференций с опытным ИБ-специалистом вы:
— Разберетесь в основных задачах Blue Team и настроите собственную систему для выявления инцидентов
— Узнаете, как успешно применять в работе навыки построения системы безопасности
— Познакомитесь с экспертами и компанией HackerU
— Пройдёте первые лабы и тесты, оценив свои силы уже для старта большой программы
Стоимость интенсива с экспертом в декабре — всего 2300 RUB
Успейте попасть в группу и записывайтесьпрямо сейчас.
Сотрудники Московского уголовного розыска совместно с коллегами из Центрального округа столицы пресекли деятельность группы, удаленно похищавшей денежные средства со счетов граждан с помощью социальной инженерии.
Как сообщает пресс-служба МВД РФ, злоумышленники действовали следующим образом: звонили клиентам банков и, представившись сотрудниками службы безопасности финансово-кредитной организации, сообщали им, будто их банковские карты были взломаны. Затем мошенники предлагали заблокировать ее, и просили продиктовать для этого номер карты и коды, которые приходили в SMS-сообщениях. Получив все нужные данные, злоумышленники регистрировали чужие карты в системе бесконтактной оплаты на свои мобильные телефоны и пользовались денежными средствами. В общей сложности мошенники причинили ущерб на сумму, превышающую 12 млн руб.
https://www.securitylab.ru/news/514354.php
Как сообщает пресс-служба МВД РФ, злоумышленники действовали следующим образом: звонили клиентам банков и, представившись сотрудниками службы безопасности финансово-кредитной организации, сообщали им, будто их банковские карты были взломаны. Затем мошенники предлагали заблокировать ее, и просили продиктовать для этого номер карты и коды, которые приходили в SMS-сообщениях. Получив все нужные данные, злоумышленники регистрировали чужие карты в системе бесконтактной оплаты на свои мобильные телефоны и пользовались денежными средствами. В общей сложности мошенники причинили ущерб на сумму, превышающую 12 млн руб.
https://www.securitylab.ru/news/514354.php
SecurityLab.ru
В Московском регионе задержаны подозреваемые в кражах со счетов граждан
Под видом сотрудников банков мошенники выманивали у жертв номера банковских карт и проверочные коды.
Национальную квантовую лабораторию в рамках реализации федерального проекта, направленного на развитие квантовых технологий, построят в России, заявил руководитель проектного офиса по квантовым технологиям госкорпорации «Росатом» Руслан Юнусов 25 ноября на пресс-конференции журналистам.
Новая структура объединит усилия и ресурсы ключевых университетов, научных центров, технологических компаний, финансовых организаций, стартапов и команд-разработчиков в области создания квантовых компьютеров. Участники создаваемого консорциума займутся развитием необходимой инфраструктуры для проведения работ в области квантовых вычислений, а также обеспечат подготовку кадров.
https://www.securitylab.ru/news/514355.php
Новая структура объединит усилия и ресурсы ключевых университетов, научных центров, технологических компаний, финансовых организаций, стартапов и команд-разработчиков в области создания квантовых компьютеров. Участники создаваемого консорциума займутся развитием необходимой инфраструктуры для проведения работ в области квантовых вычислений, а также обеспечат подготовку кадров.
https://www.securitylab.ru/news/514355.php
SecurityLab.ru
В России создают Национальную квантовую лабораторию
Лаборатория поможет российским ученым к 2024 году создать квантовый компьютер из 30−100 кубитов.
Forwarded from Анонсы лучших ИБ мероприятий
Solar inRights 3.0 Работа с SOD-конфликтами
Разделение обязанностей сотрудников (Segregation of Duties, SOD) — это для бизнеса один из ключевых элементов правильного управления рисками и внутреннего контроля. Смысл такого подхода заключается в распределении высококритичных процессов и функций между несколькими лицами или подразделениями, чтобы у персонала при выполнении служебных обязанностей не было возможности совершить и скрыть ошибки или мошенничество.
Тем не менее на практике в силу ряда причин не всегда удается избежать конфликтов полномочий. В таком случае для устойчивой работы компании особенно важны механизмы раннего оповещения о возникновении конфликтов и своевременного и правильного реагирования на них.
8 декабря эксперты «Ростелеком-Солар» расскажут и покажут на практике, как Solar inRights контролирует SOD-конфликты, обеспечивая безопасность бизнес-процессов организации.
Вебинар будет интересен специалистам ИБ- и ИТ-отделов компаний из отраслей онлайн-ретейла, финансовых услуг, логистики, производства, добычи и обработки полезных ископаемых.
Программа вебинара:
1. Обзор подходов к разделению обязанностей сотрудников.
2. Обзор рисков SOD-конфликтов.
3. Демонстрация работы с SOD-конфликтами IGA-системы Solar inRights.
4. Ответы на вопросы.
На ваши вопросы ответят:
• Виктор Еремин — руководитель отдела внедрения Solar inRights.
• Людмила Севастьянова — менеджер по продвижению Solar inRights.
Общая длительность вебинара — примерно 1 час.
Ждем вас на вебинаре!
Разделение обязанностей сотрудников (Segregation of Duties, SOD) — это для бизнеса один из ключевых элементов правильного управления рисками и внутреннего контроля. Смысл такого подхода заключается в распределении высококритичных процессов и функций между несколькими лицами или подразделениями, чтобы у персонала при выполнении служебных обязанностей не было возможности совершить и скрыть ошибки или мошенничество.
Тем не менее на практике в силу ряда причин не всегда удается избежать конфликтов полномочий. В таком случае для устойчивой работы компании особенно важны механизмы раннего оповещения о возникновении конфликтов и своевременного и правильного реагирования на них.
8 декабря эксперты «Ростелеком-Солар» расскажут и покажут на практике, как Solar inRights контролирует SOD-конфликты, обеспечивая безопасность бизнес-процессов организации.
Вебинар будет интересен специалистам ИБ- и ИТ-отделов компаний из отраслей онлайн-ретейла, финансовых услуг, логистики, производства, добычи и обработки полезных ископаемых.
Программа вебинара:
1. Обзор подходов к разделению обязанностей сотрудников.
2. Обзор рисков SOD-конфликтов.
3. Демонстрация работы с SOD-конфликтами IGA-системы Solar inRights.
4. Ответы на вопросы.
На ваши вопросы ответят:
• Виктор Еремин — руководитель отдела внедрения Solar inRights.
• Людмила Севастьянова — менеджер по продвижению Solar inRights.
Общая длительность вебинара — примерно 1 час.
Ждем вас на вебинаре!