Как фишеры используют тему коронавируса
Интернет-мошенники создают письма, которые выглядят как рассылка Центров по контролю и профилактике заболеваний (Centers for Disease Control and Prevention, CDC). Это реально существующая организация в США, которая действительно распространяет информацию о коронавирусе и рекомендации о том, как избежать заражения. Но, конечно, данная рассылка не имеет никакого отношения к CDC.
Интернет-мошенники создают письма, которые выглядят как рассылка Центров по контролю и профилактике заболеваний (Centers for Disease Control and Prevention, CDC). Это реально существующая организация в США, которая действительно распространяет информацию о коронавирусе и рекомендации о том, как избежать заражения. Но, конечно, данная рассылка не имеет никакого отношения к CDC.
Telegraph
Мошенники используют уханьский коронавирус как приманку, чтобы воровать учетные данные электронной почты.
Поддельные письма с информацией о коронавирусе — новая приманка фишеров Фишинговые письма от имени Центров по контролю и профилактике заболеваний в адресе отправителя содержат убедительный домен cdc-gov.org (настоящий домен CDC — cdc.gov). Не слишком внимательный…
Forwarded from Эшер II A+
⚡️⚡️⚡️ The Bell и «Медуза» пишут о том, что летом ФСБ рассылала официальные требования ОРИ (организаторам распространения информации) предоставления круглосуточного доступа к переписке, ключи шифрования и вот это вот всё. Есть треки почты:
https://meduza.io/feature/2020/02/11/fsb-potrebovala-klyuchi-dlya-deshifrovki-perepiski-u-avito-rutube-habrahabra-i-esche-desyatka-saytov-eto-proizoshlo-v-razgar-moskovskih-protestov
https://thebell.io/fsb-potrebovala-ot-internet-servisov-onlajn-dostup-k-dannym-i-perepiske-polzovatelej/
Отследили письма Mail.ru, Хабру, хостеру виртуалок vdsina…
«Интернету, который мы знали, пришел конец», — именно так оценил происходящие один из владельцев сервиса-организатора распространения информации (ОРИ), который прошлым летом получил от ФСБ письмо с требованием дать онлайн-доступ к серверам компании и сессионным ключам пользователей
‼️ Давайте расширю интигу: https://www.pochta.ru/tracking#11512736100078
Это Кех-коммерс. Листать вверх и вниз на примерно 50 итераций. Последний разряд контрольный. Реальный итеративный предпоследний
👉 А вот и само письмо, давно опубликованное в канале Зателеком:
https://news.1rj.ru/str/zatelecom/12870
👆 Законно ли это? Да, к моему ужасу. Закон об ОРИ — самый безумный закон регулирования интернет-сервисов. Именно с ним связана блокировка телеграм и последствия. Его положения несовместимо противоречат фундаментальным основам информационной безопасности. Это делает его практически неисполнимым с точки зрения безопасности и приватности. Обратите внимание, я не употребил слова «анонимность», «вседозволенность» и прочее
⚠️ Процедуры закона дают силовикам ускоренный и расширенный доступ к данным пользователей. Однако, и ранее им редко отказывали. Неизвестно, использовали ли данные переписки для оперативной разработки реальных преступлений. Зато на поток поставлена ловля сболтнувших лишнего. Владение ключами и сессионными ключами делает доступ к информации бесконтрольным, с возможностью вмешиваться
https://meduza.io/feature/2020/02/11/fsb-potrebovala-klyuchi-dlya-deshifrovki-perepiski-u-avito-rutube-habrahabra-i-esche-desyatka-saytov-eto-proizoshlo-v-razgar-moskovskih-protestov
https://thebell.io/fsb-potrebovala-ot-internet-servisov-onlajn-dostup-k-dannym-i-perepiske-polzovatelej/
Отследили письма Mail.ru, Хабру, хостеру виртуалок vdsina…
«Интернету, который мы знали, пришел конец», — именно так оценил происходящие один из владельцев сервиса-организатора распространения информации (ОРИ), который прошлым летом получил от ФСБ письмо с требованием дать онлайн-доступ к серверам компании и сессионным ключам пользователей
‼️ Давайте расширю интигу: https://www.pochta.ru/tracking#11512736100078
Это Кех-коммерс. Листать вверх и вниз на примерно 50 итераций. Последний разряд контрольный. Реальный итеративный предпоследний
👉 А вот и само письмо, давно опубликованное в канале Зателеком:
https://news.1rj.ru/str/zatelecom/12870
👆 Законно ли это? Да, к моему ужасу. Закон об ОРИ — самый безумный закон регулирования интернет-сервисов. Именно с ним связана блокировка телеграм и последствия. Его положения несовместимо противоречат фундаментальным основам информационной безопасности. Это делает его практически неисполнимым с точки зрения безопасности и приватности. Обратите внимание, я не употребил слова «анонимность», «вседозволенность» и прочее
⚠️ Процедуры закона дают силовикам ускоренный и расширенный доступ к данным пользователей. Однако, и ранее им редко отказывали. Неизвестно, использовали ли данные переписки для оперативной разработки реальных преступлений. Зато на поток поставлена ловля сболтнувших лишнего. Владение ключами и сессионными ключами делает доступ к информации бесконтрольным, с возможностью вмешиваться
Meduza
ФСБ потребовала ключи для дешифровки переписки у «Авито», Rutube, «Хабра» и еще десятка сайтов. Это произошло в разгар московских…
Как выяснила «Медуза», Федеральная служба безопасности летом 2019 года направила десятку российских интернет-сервисов, среди которых «Авито», «Хабр» и Rutube, письма с требованием передать спецслужбе ключи для дешифровки переписки пользователей, а также организовать…
👍1
Скрытый кейлоггинг
За последние годы было много попыток создания устройств для сбора нажатых клавиш. Самоделки изготавливаются в основном на базе устройств Raspberry Pi или плат Arduino. С другой стороны, крошечные девайсы KeyLogger PRO от компании Maltronics удивляют богатством возможностей, доступных для пользователей.
Далеко не каждый сможет сразу же обнаружить такое крошечное устройство, подключенное к компьютеру.
За последние годы было много попыток создания устройств для сбора нажатых клавиш. Самоделки изготавливаются в основном на базе устройств Raspberry Pi или плат Arduino. С другой стороны, крошечные девайсы KeyLogger PRO от компании Maltronics удивляют богатством возможностей, доступных для пользователей.
Далеко не каждый сможет сразу же обнаружить такое крошечное устройство, подключенное к компьютеру.
Telegraph
Скрытый кейлоггинг: обзор возможностей устройства KeyLogger PRO
Кейлоггером является любой компонент программного обеспечения или оборудования, который умеет перехватывать и записывать все манипуляции с клавиатурой компьютера. Нередко кейлоггер находится между клавиатурой и операционной системой и перехватывает все действия…
Кто, как и зачем нападает на сайты: самые значимые политические DDoS-атаки в истории интернета. Ч5
2008. Война в Грузии: DDoS как оружие
В ходе конфликта на территории Южной Осетии пророссийские хакеры вновь поддержали позицию официальной Москвы. Их грузинские коллеги не оставались в долгу — стороны пытались заглушать новости друг друга с помощью DDoS-атак. Пострадали и сайты властей — как грузинских, так и осетинских.
2011. Anonymous против всех: DDoS как новый мировой порядок и DDoS как удержание статус-кво
До начала Арабской весны акции анонимных хакеров, выходцев с легендарной имиджборды 4chan, были в меньшей степени политическими, а в большей — троллингом и хулиганством. Однако в 2011 году они стали представлять собой реальную политическую силу.
#DDoS
2008. Война в Грузии: DDoS как оружие
В ходе конфликта на территории Южной Осетии пророссийские хакеры вновь поддержали позицию официальной Москвы. Их грузинские коллеги не оставались в долгу — стороны пытались заглушать новости друг друга с помощью DDoS-атак. Пострадали и сайты властей — как грузинских, так и осетинских.
2011. Anonymous против всех: DDoS как новый мировой порядок и DDoS как удержание статус-кво
До начала Арабской весны акции анонимных хакеров, выходцев с легендарной имиджборды 4chan, были в меньшей степени политическими, а в большей — троллингом и хулиганством. Однако в 2011 году они стали представлять собой реальную политическую силу.
#DDoS
Telegraph
Кто, как и зачем нападает на сайты: самые значимые политические DDoS-атаки в истории интернета. Ч5
2008-2011 2008. Война в Грузии: DDoS как оружие Военный конфликт в Южной Осетии и Абхазии спровоцировал ожесточённые военные действия и в киберпространстве. Интернет-издания Осетии и Грузии начали подвергаться сериям взаимных DDoS-атак ещё в конце июля, за несколько…
Как происходит рендеринг кадра в GTA V
Серия игр Grand Theft Auto прошла долгий путь с момента своего первого релиза в 1997 году. Примерно 2 года назад Rockstar выпустила GTA V. Просто невероятный успех: за 24 часа игру купило 11 миллионов пользователей, побито 7 мировых рекордов подряд. Опробовав новинку на PS3, я был весьма впечатлен как общей картинкой, так и, собственно, техническими характеристиками игры.
В этой статье я расскажу о проведенном анализе кадра в версии для ПК в среде DirectX 11, которая съедает пару гигов как оперативки, так и графического процессора. Несмотря на то, что мой обзор идет со ссылкой на ПК, я уверен, что большинство пунктов применимо к PS4 и в определенной степени к PS3.
Серия игр Grand Theft Auto прошла долгий путь с момента своего первого релиза в 1997 году. Примерно 2 года назад Rockstar выпустила GTA V. Просто невероятный успех: за 24 часа игру купило 11 миллионов пользователей, побито 7 мировых рекордов подряд. Опробовав новинку на PS3, я был весьма впечатлен как общей картинкой, так и, собственно, техническими характеристиками игры.
В этой статье я расскажу о проведенном анализе кадра в версии для ПК в среде DirectX 11, которая съедает пару гигов как оперативки, так и графического процессора. Несмотря на то, что мой обзор идет со ссылкой на ПК, я уверен, что большинство пунктов применимо к PS4 и в определенной степени к PS3.
Telegraph
Как происходит рендеринг кадра в GTA V
Анализ кадра Итак, рассмотрим следующий кадр: Майкл на фоне любимого Rapid GT, на заднем плане прекрасный Лос-Сантос.
Новые требования ФСБ к интернет-сервисам
Онлайн-сервисы начали погружаться в новую реальность «закона Яровой», в которой уже давно живут операторы связи и интернет-провайдеры. Летом 2019 года ФСБ разослала российским сервисам, включенным в реестр операторов распространения информации (ОРИ), письма с требованием дать сотрудникам спецслужб круглосуточный доступ к их информационным системам и ключи для дешифровки переписки пользователей, выяснил The Bell. Объясняем, чем это грозит тем и другим.
#новости
Онлайн-сервисы начали погружаться в новую реальность «закона Яровой», в которой уже давно живут операторы связи и интернет-провайдеры. Летом 2019 года ФСБ разослала российским сервисам, включенным в реестр операторов распространения информации (ОРИ), письма с требованием дать сотрудникам спецслужб круглосуточный доступ к их информационным системам и ключи для дешифровки переписки пользователей, выяснил The Bell. Объясняем, чем это грозит тем и другим.
#новости
Telegraph
ФСБ читает соцсети, ЦРУ шпионит за всем миром, а Huawei платит за кражу секретов
Кто под ударом Письма, подписанные главой Центра оперативно-технических мероприятий ФСБ Михаилом Михайловым, получили участники реестра операторов распространения информации (ОРИ), который Роскомнадзор ведет с 2015 года. Сейчас в реестре 202 участника, от…
Привет!
Дима на связи, сегодня я расскажу о том, как проходил одно из заданий курса по информационной безопасности Pentestit.
Суть задания в том, чтобы изучить работу веб-приложения (сайта) и найти файл с токеном, который находится где-то на сервере сайта.
Я заметил, что при переходе по ссылкам сайт использует необычный параметр – название файла, в котором лежит код отображаемой страницы. Чаще всего это означает то, что веб-сервер настроен неправильно и возможно можно прочитать содержимое и других файлов. Я проверил passwd файл и оказался прав. Когда я подставил его адрес в параметр, содержимое файла отобразилось у меня на экране!
Затем я попробовал получить доступ к логам веб сервера. Там хранится информация обо всех посещениях сайта: IP адрес, информация о браузере и т.п. Информацию о браузере очень легко подменить и подставив туда payload вместо реальных данных, мне удалось получить доступ к файлам сервера.
Как я уже говорил ранее, прохождение заданий – интересный и увлекательный квест, а в случае затруднений у вас будет возможность попросить совет у наставника, который наведет на правильный путь, а не слепо выдаст ответ.
В следующем посте я подведу итоги обучения и расскажу о том, стало ли оно полезным для меня. До скорого!
#pentest
Дима на связи, сегодня я расскажу о том, как проходил одно из заданий курса по информационной безопасности Pentestit.
Суть задания в том, чтобы изучить работу веб-приложения (сайта) и найти файл с токеном, который находится где-то на сервере сайта.
Я заметил, что при переходе по ссылкам сайт использует необычный параметр – название файла, в котором лежит код отображаемой страницы. Чаще всего это означает то, что веб-сервер настроен неправильно и возможно можно прочитать содержимое и других файлов. Я проверил passwd файл и оказался прав. Когда я подставил его адрес в параметр, содержимое файла отобразилось у меня на экране!
Затем я попробовал получить доступ к логам веб сервера. Там хранится информация обо всех посещениях сайта: IP адрес, информация о браузере и т.п. Информацию о браузере очень легко подменить и подставив туда payload вместо реальных данных, мне удалось получить доступ к файлам сервера.
Как я уже говорил ранее, прохождение заданий – интересный и увлекательный квест, а в случае затруднений у вас будет возможность попросить совет у наставника, который наведет на правильный путь, а не слепо выдаст ответ.
В следующем посте я подведу итоги обучения и расскажу о том, стало ли оно полезным для меня. До скорого!
#pentest
Топ-4 самых опасных типа вложенных файлов
Спамеры ежедневно рассылают многие миллионы писем. Львиную долю составляет банальная реклама — назойливая, но в основном безвредная. Но иногда к письмам прикрепляют вредоносные файлы.
Чтобы заинтересовать получателя и заставить его открыть опасный файл, его обычно маскируют подо что-нибудь интересное, полезное или важное — рабочий документ, какое-нибудь невероятно выгодное предложение, поздравительную открытку с подарком от имени известной компании и так далее.
Рассказываем, в каких файлах злоумышленники чаще всего прячут вирусы — и как себя правильно вести, чтобы не заразиться.
Спамеры ежедневно рассылают многие миллионы писем. Львиную долю составляет банальная реклама — назойливая, но в основном безвредная. Но иногда к письмам прикрепляют вредоносные файлы.
Чтобы заинтересовать получателя и заставить его открыть опасный файл, его обычно маскируют подо что-нибудь интересное, полезное или важное — рабочий документ, какое-нибудь невероятно выгодное предложение, поздравительную открытку с подарком от имени известной компании и так далее.
Рассказываем, в каких файлах злоумышленники чаще всего прячут вирусы — и как себя правильно вести, чтобы не заразиться.
Telegraph
Топ-4 самых опасных типа вложенных файлов
У распространителей вирусов есть форматы-«любимчики». Рассказываем, в каких файлах вредоносные программы чаще всего скрываются в том году. 1. ZIP- и RAR-архивы Киберпреступники очень любят прятать зловредов в архивы. Например, ZIP-файлы с интригующим названием…
Не рано ли тебе, сынок, в такие игры играть?
Все дети играют, в том числе — на компьютере и телефоне. Само по себе это нормально, но игры бывают разные. Не зря же на коробках с дисками и в онлайн-магазинах указывают возрастные ограничения для некоторых из них. Нужно ли бить тревогу, например, если ваш десятилетний ребенок увлекся Fortnite с рейтингом 12+? Давайте разберемся, кто и как определяет, с какого возраста можно играть в ту или иную игру, и насколько строги эти требования.
Все дети играют, в том числе — на компьютере и телефоне. Само по себе это нормально, но игры бывают разные. Не зря же на коробках с дисками и в онлайн-магазинах указывают возрастные ограничения для некоторых из них. Нужно ли бить тревогу, например, если ваш десятилетний ребенок увлекся Fortnite с рейтингом 12+? Давайте разберемся, кто и как определяет, с какого возраста можно играть в ту или иную игру, и насколько строги эти требования.
Telegraph
Не рано ли тебе, сынок, в такие игры играть?
Кто задает возрастные ограничения для игр В мире есть примерно пара десятков возрастных классификаций для игр. Так, большая часть Европы подчиняется стандарту Pan European Game Information (PEGI), а в США, Канаде и Мексике за рейтинги отвечает организация Entertainment…
Можно ли прочитать зашифрованный PDF-файл?
Формат файлов PDF, согласно спецификациям, поддерживает шифрование. В нем используется алгоритм AES с режимом Cipher Block Chaining. Так что в теории человек или компания, защитившие файл, могут быть уверены, что содержимое документа станет известно кому-либо только в том случае, если он знает пароль.
Исследователь Фабиан Айзинг на Chaos Communications Congress показал, насколько надежно шифрование в PDF-файлах.
Формат файлов PDF, согласно спецификациям, поддерживает шифрование. В нем используется алгоритм AES с режимом Cipher Block Chaining. Так что в теории человек или компания, защитившие файл, могут быть уверены, что содержимое документа станет известно кому-либо только в том случае, если он знает пароль.
Исследователь Фабиан Айзинг на Chaos Communications Congress показал, насколько надежно шифрование в PDF-файлах.
Telegraph
Можно ли прочитать зашифрованный PDF-файл?
В теории зашифрованные PDF-файлы нужны для передачи данных через незащищенный канал или канал, которому нельзя доверять. Представьте, что кто-то загружает файл в облачное хранилище, доступ к которому имеют многие. Исследователь решил найти способ модификации…
Вымирание компьютерных файлов
Я люблю файлы. Мне нравится переименовывать их, перемещать, сортировать, изменять способ отображения в папке, создавать резервные копии, выгружать их в интернет, восстанавливать, копировать и даже дефрагментировать их. Как метафора способа хранения информационного блока, я думаю, они великолепны. Мне нравится файл как единое целое. Если мне нужно написать статью, она окажется в файле. Если мне нужно выдать в свет изображение, оно будет в файле. Новомодные технологические сервисы меняют наши интернет-привычки.
Я люблю файлы. Мне нравится переименовывать их, перемещать, сортировать, изменять способ отображения в папке, создавать резервные копии, выгружать их в интернет, восстанавливать, копировать и даже дефрагментировать их. Как метафора способа хранения информационного блока, я думаю, они великолепны. Мне нравится файл как единое целое. Если мне нужно написать статью, она окажется в файле. Если мне нужно выдать в свет изображение, оно будет в файле. Новомодные технологические сервисы меняют наши интернет-привычки.
Telegraph
Вымирание компьютерных файлов
Ода файлам .doc
Все файлы — скевоморфны. Скевоморфизм это модное слово означает, отражение физического объекта в цифровом виде. Например, документ Word — это как лист бумаги, который лежит на вашем рабочем столе (экране). Файл .JPEG похож на картину, и так…
Все файлы — скевоморфны. Скевоморфизм это модное слово означает, отражение физического объекта в цифровом виде. Например, документ Word — это как лист бумаги, который лежит на вашем рабочем столе (экране). Файл .JPEG похож на картину, и так…
Сбербанк идет в киберспорт
Mail.Ru Group ищет покупателя на киберспортивный холдинг ESforce. Долю в нем может купить Сбербанк. Пять лет назад, когда Алишер Усманов вложил в ESforce $100 млн, казалось, что он угадал с новой перспективной нишей — как до этого с соцсетями.
Интересны такие новости?
#новости
Mail.Ru Group ищет покупателя на киберспортивный холдинг ESforce. Долю в нем может купить Сбербанк. Пять лет назад, когда Алишер Усманов вложил в ESforce $100 млн, казалось, что он угадал с новой перспективной нишей — как до этого с соцсетями.
Интересны такие новости?
#новости
Telegraph
Убыточный киберспорт для Сбербанка, своя «Яндекс.Лавка» для Mail.Ru Group, раскол разработчиков ИИ
Откуда взялся ESforce
ESforce — киберспортивный холдинг, созданный на базе одной из старейших российских команд Virtus.pro. В 2010 году она могла распасться, но ее спас молодой предприниматель Антон Черепенников, который сам когда-то играл за несколько клубов.…
ESforce — киберспортивный холдинг, созданный на базе одной из старейших российских команд Virtus.pro. В 2010 году она могла распасться, но ее спас молодой предприниматель Антон Черепенников, который сам когда-то играл за несколько клубов.…
Тестирование на проникновение.
В 2019 году эксперты Positive Technologies провели десятки тестирований на проникновение («пентестов») корпоративных информационных систем организаций из разных отраслей . Для данного исследования были выбраны 18 проектов (8 внешних тестирований и 10 внутренних), выполненных для организаций кредитно-финансового сектора, в которых заказчики работ не вводили существенных ограничений на перечень тестируемых сетей и систем. Различие в выборках для двух типов работ объясняется тем, что каждая компания могла проводить отдельно внешний или внутренний пентест либо и тот, и другой в комплексе.
Основной целью пентестера при проведении внешнего тестирования было проникновение из интернета в локальную корпоративную сеть организации, а при внутреннем — получение максимально возможных привилегий в корпоративной инфраструктуре (компрометация контроллеров доменов, получение привилегий администраторов доменов или леса доменов 2). В отдельных пентестах руководство организации ставило задачу продемонстрировать возможность получения контроля над критически важными системами (например, системами управления банкоматами, SWIFT, АРМ КБР, рабочими станциями топ-менеджеров).
Ключевые результаты
• Внешний злоумышленник может проникнуть из интернета в локальную сеть семи из восьми протестированных компаний. Общий уровень защищенности сетевого периметра шести финансовых организаций был оценен как крайне низкий (6 — крайне низкий, 1 — низкий; 1 — выше среднего).
• Для проникновения во внутреннюю сеть банка в среднем требуется пять дней.
• Во всех 10 организациях, где проводился внутренний пентест, удалось получить максимальные привилегии в корпоративной инфраструктуре.Причем в семи проектах полный контроль был получен в результате продолжения успешной внешней атаки из интернета. В трех проектах стояла дополнительная цель — продемонстрировать возможность хищения денежных средств банка потенциальным злоумышленником, и во всех трех проектах удалось продемонстрировать такую возможность.
• Для получения полного контроля над инфраструктурой банка внутреннему злоумышленнику потребуется в среднем два дня.
• Общий уровень защищенности корпоративной инфраструктуры большинства финансовых организаций от внутренних атак оценивается как крайне низкий (8 — крайне низкий, 2 — низкий).
• В рамках трех внешних пентестов и в двух внутренних были выявлены и успешно применены шесть уязвимостей нулевого дня в известном ПО.
Подробнее тут.
В 2019 году эксперты Positive Technologies провели десятки тестирований на проникновение («пентестов») корпоративных информационных систем организаций из разных отраслей . Для данного исследования были выбраны 18 проектов (8 внешних тестирований и 10 внутренних), выполненных для организаций кредитно-финансового сектора, в которых заказчики работ не вводили существенных ограничений на перечень тестируемых сетей и систем. Различие в выборках для двух типов работ объясняется тем, что каждая компания могла проводить отдельно внешний или внутренний пентест либо и тот, и другой в комплексе.
Основной целью пентестера при проведении внешнего тестирования было проникновение из интернета в локальную корпоративную сеть организации, а при внутреннем — получение максимально возможных привилегий в корпоративной инфраструктуре (компрометация контроллеров доменов, получение привилегий администраторов доменов или леса доменов 2). В отдельных пентестах руководство организации ставило задачу продемонстрировать возможность получения контроля над критически важными системами (например, системами управления банкоматами, SWIFT, АРМ КБР, рабочими станциями топ-менеджеров).
Ключевые результаты
• Внешний злоумышленник может проникнуть из интернета в локальную сеть семи из восьми протестированных компаний. Общий уровень защищенности сетевого периметра шести финансовых организаций был оценен как крайне низкий (6 — крайне низкий, 1 — низкий; 1 — выше среднего).
• Для проникновения во внутреннюю сеть банка в среднем требуется пять дней.
• Во всех 10 организациях, где проводился внутренний пентест, удалось получить максимальные привилегии в корпоративной инфраструктуре.Причем в семи проектах полный контроль был получен в результате продолжения успешной внешней атаки из интернета. В трех проектах стояла дополнительная цель — продемонстрировать возможность хищения денежных средств банка потенциальным злоумышленником, и во всех трех проектах удалось продемонстрировать такую возможность.
• Для получения полного контроля над инфраструктурой банка внутреннему злоумышленнику потребуется в среднем два дня.
• Общий уровень защищенности корпоративной инфраструктуры большинства финансовых организаций от внутренних атак оценивается как крайне низкий (8 — крайне низкий, 2 — низкий).
• В рамках трех внешних пентестов и в двух внутренних были выявлены и успешно применены шесть уязвимостей нулевого дня в известном ПО.
Подробнее тут.
Telegraph
Тестирование на проникновение в организациях кредитно-финансового сектора
Векторы проникновения в локальную сеть Злоумышленник может использовать различные способы проникновения в локальную сеть банков. Максимальное количество разных векторов проникновения, которые были обнаружены в рамках одного проекта — пять; минимальное — один.…
Отчёт Malwarebytes о кибератаках, выход PyTorch3D, запуск сервиса GeForce Now и другие новости ИТ за февраль
• HackerOne провела четвёртое ежегодное исследование хакерской экосистемы. В отчёте говорится, что за 2019 год по баг-баунти программам белые хакеры получили $40 млн — почти столько же, сколько за все предыдущие годы в сумме.
• Google открыла доступ к первой превью-версии Android 11 для разработчиков. Среди нововведений отмечают улучшенную поддержку 5G и «водопадных» дисплеев, а в шторке уведомлений появится новый раздел для переписок.
• Google выпустила новую стабильную версию IDE Android Studio 3.6. Релиз содержит улучшения, которые делают более удобным процесс редактирования и отладки кода.
• Опубликован отчёт HackerRank Developer Skills Report. Самым распространённым языком по-прежнему остаётся JavaScript, за ним следуют Java, C, Python и С++. В рейтинге фреймворков произошли перестановки, но тройка лидеров не изменилась: AngularJS, React и Spring.
• Microsoft выпустит мобильные версии антивируса Defender для Android и iOS. Мобильный Defender не даст пользователям открыть потенциально небезопасные ресурсы, а также будет предотвращать фишинговые атаки и проникновение вредоносов на их устройства.
• В среде разработки Xcode от Apple с версией 11.4 beta появилась поддержка «универсальных покупок» приложений для macOS и других платформ. То есть Apple позволит разработчикам продавать приложения для macOS и iOS в одном наборе.
• Пользователи Reddit заметили новую заявку Google в Бюро по патентам и товарным знакам США на регистрацию торговой марки Pigweed. Судя по описанию, она предназначена для операционной системы компании.
• Nvidia анонсировала запуск игрового сервиса GeForce Now. Пользователям будут доступны игры, приобретённые на сторонних платформах, в том числе через аккаунты Steam, Epic и Battle.net.
• В Южной Корее благодаря технологии виртуальной реальности мать смогла «увидеться» со своей умершей семилетней дочерью. Парк, где состоялась «встреча», был воссоздан на основе места, где семья часто проводила время.
• Telegram опубликовал на сайте своей блокчейн-платформы инструкцию по созданию сайтов в децентрализованной сети TON. Технически они будут похожи на обычные сайты, но доступ к ним будет осуществляться через сеть TON.
• YouTube, Twitter и другие компании потребовали от Clearview AI перестать собирать изображения пользователей для распознавания лиц. Стартап продавал доступ к базе с 3 млрд фотографий полиции и спецслужбам.
• По данным ежегодного отчёта Malwarebytes о ситуации в области кибератак, количество обнаруженных угроз на macOS растёт быстрее, чем на Windows. Количество угроз для Mac за год увеличилось на 400% в сравнении с 2018 годом.
• Facebook опубликовала библиотеку PyTorch3D для обучения нейросетей на 3D-данных. По словам разработчиков, библиотека может применяться, например, для улучшения навигации роботов в пространстве, распознавания объектов самоуправляемыми авто или же для повышения реалистичности VR и качества обработки 2D-изображений.
• Microsoft выпустила первую версию Windows 10X для двойных экранов. В системе будет поддержка классических приложений и разные варианты работы с контентом, а обновляться она должна быстрее, чем настольная версия.
• Подразделение Microsoft AI & Research представило крупнейшую в мире модель синтеза речи на основе нейронной архитектуры Transformer. Она содержит 17 млрд параметров.
#новости revolt
• HackerOne провела четвёртое ежегодное исследование хакерской экосистемы. В отчёте говорится, что за 2019 год по баг-баунти программам белые хакеры получили $40 млн — почти столько же, сколько за все предыдущие годы в сумме.
• Google открыла доступ к первой превью-версии Android 11 для разработчиков. Среди нововведений отмечают улучшенную поддержку 5G и «водопадных» дисплеев, а в шторке уведомлений появится новый раздел для переписок.
• Google выпустила новую стабильную версию IDE Android Studio 3.6. Релиз содержит улучшения, которые делают более удобным процесс редактирования и отладки кода.
• Опубликован отчёт HackerRank Developer Skills Report. Самым распространённым языком по-прежнему остаётся JavaScript, за ним следуют Java, C, Python и С++. В рейтинге фреймворков произошли перестановки, но тройка лидеров не изменилась: AngularJS, React и Spring.
• Microsoft выпустит мобильные версии антивируса Defender для Android и iOS. Мобильный Defender не даст пользователям открыть потенциально небезопасные ресурсы, а также будет предотвращать фишинговые атаки и проникновение вредоносов на их устройства.
• В среде разработки Xcode от Apple с версией 11.4 beta появилась поддержка «универсальных покупок» приложений для macOS и других платформ. То есть Apple позволит разработчикам продавать приложения для macOS и iOS в одном наборе.
• Пользователи Reddit заметили новую заявку Google в Бюро по патентам и товарным знакам США на регистрацию торговой марки Pigweed. Судя по описанию, она предназначена для операционной системы компании.
• Nvidia анонсировала запуск игрового сервиса GeForce Now. Пользователям будут доступны игры, приобретённые на сторонних платформах, в том числе через аккаунты Steam, Epic и Battle.net.
• В Южной Корее благодаря технологии виртуальной реальности мать смогла «увидеться» со своей умершей семилетней дочерью. Парк, где состоялась «встреча», был воссоздан на основе места, где семья часто проводила время.
• Telegram опубликовал на сайте своей блокчейн-платформы инструкцию по созданию сайтов в децентрализованной сети TON. Технически они будут похожи на обычные сайты, но доступ к ним будет осуществляться через сеть TON.
• YouTube, Twitter и другие компании потребовали от Clearview AI перестать собирать изображения пользователей для распознавания лиц. Стартап продавал доступ к базе с 3 млрд фотографий полиции и спецслужбам.
• По данным ежегодного отчёта Malwarebytes о ситуации в области кибератак, количество обнаруженных угроз на macOS растёт быстрее, чем на Windows. Количество угроз для Mac за год увеличилось на 400% в сравнении с 2018 годом.
• Facebook опубликовала библиотеку PyTorch3D для обучения нейросетей на 3D-данных. По словам разработчиков, библиотека может применяться, например, для улучшения навигации роботов в пространстве, распознавания объектов самоуправляемыми авто или же для повышения реалистичности VR и качества обработки 2D-изображений.
• Microsoft выпустила первую версию Windows 10X для двойных экранов. В системе будет поддержка классических приложений и разные варианты работы с контентом, а обновляться она должна быстрее, чем настольная версия.
• Подразделение Microsoft AI & Research представило крупнейшую в мире модель синтеза речи на основе нейронной архитектуры Transformer. Она содержит 17 млрд параметров.
#новости revolt
Горящие билеты — мошенники пытаются нажиться на Burning Man
Каждый год в конце августа или начале сентября десятки тысяч людей собираются в пустыне Блэк-Рок в американском штате Невада на арт-фестиваль Burning Man. На восемь дней это место становится центром притяжения творческих людей со всего мира. Монументальные инсталляции, поражающие воображение перфомансы и особая атмосфера фестиваля привлекают огромное количество посетителей.
Каждый год в конце августа или начале сентября десятки тысяч людей собираются в пустыне Блэк-Рок в американском штате Невада на арт-фестиваль Burning Man. На восемь дней это место становится центром притяжения творческих людей со всего мира. Монументальные инсталляции, поражающие воображение перфомансы и особая атмосфера фестиваля привлекают огромное количество посетителей.
Россия без Revolut
Британский Revolut — один из самых успешных (оценка — $5,5 млрд) и модных финтех-стартапов в мире. В 2015 году его основали выходец из России Николай Сторонский и украинец Влад Яценко. Из-за происхождения Сторонского Revolut в России особенно ждали. О планах стартапа вот-вот запуститься в России сам Сторонский рассказал еще в 2018 году. Теперь, как выяснил The Bell, эти планы заморожены на неопределенный срок. Почему Revolut так ждали?
#новости
Британский Revolut — один из самых успешных (оценка — $5,5 млрд) и модных финтех-стартапов в мире. В 2015 году его основали выходец из России Николай Сторонский и украинец Влад Яценко. Из-за происхождения Сторонского Revolut в России особенно ждали. О планах стартапа вот-вот запуститься в России сам Сторонский рассказал еще в 2018 году. Теперь, как выяснил The Bell, эти планы заморожены на неопределенный срок. Почему Revolut так ждали?
#новости
Привет, это снова Дима!
Вот я и прошел курс по информационной безопасности от Pentestit. Хочу подвести итоги, как это было и поделиться своими впечатленями.
Это был интересный опыт, который безусловно дал мне новые знаний в области пентеста, проникновения. Мне понравился формат курса – большая часть была направлена на практические задания, но, не смотря на это, теории тоже было уделено достаточно внимания, а отдельные темы были детально рассмотрены на видеолекциях.
Я и ранее увлекался пентест лабораториями, а курс дал мне возможность углубиться в эту тему. Думаю, что именно задания такого типа способны прокачать скиллы в этой области. Спасибо Pentestit за интересные задания! :)
Pentestit проводит этот и иные, боллее продвинутые курсы регулярно, если заинтересовались, подробности можно узнать на их сайте.
Спасибо, что читали мой цикл статей про курс, надеюсь, что он оказался полезным. На связи!
#pentest
Вот я и прошел курс по информационной безопасности от Pentestit. Хочу подвести итоги, как это было и поделиться своими впечатленями.
Это был интересный опыт, который безусловно дал мне новые знаний в области пентеста, проникновения. Мне понравился формат курса – большая часть была направлена на практические задания, но, не смотря на это, теории тоже было уделено достаточно внимания, а отдельные темы были детально рассмотрены на видеолекциях.
Я и ранее увлекался пентест лабораториями, а курс дал мне возможность углубиться в эту тему. Думаю, что именно задания такого типа способны прокачать скиллы в этой области. Спасибо Pentestit за интересные задания! :)
Pentestit проводит этот и иные, боллее продвинутые курсы регулярно, если заинтересовались, подробности можно узнать на их сайте.
Спасибо, что читали мой цикл статей про курс, надеюсь, что он оказался полезным. На связи!
#pentest
Pentestit | Информационная безопасность
WebSecOps - практическая подготовка в области веб-безопасности
WebSecOps - практическая подготовка в области безопасности веб-приложений
👍1
Троян Ginp: вам SMS от банка, подтвердите платеж
Мобильные банковские трояны, проникнув на телефон, как правило, пытаются получить доступ к SMS. Им это нужно для того, чтобы перехватывать одноразовые коды подтверждения операций, которые отправляют банки. Получив такой код, владельцы зловреда могут незаметно для жертвы что-нибудь оплатить или перевести деньги на свой счет. Многие мобильные трояны заодно используют SMS, чтобы заразить побольше устройств, рассылая ссылку на скачивание себя по всему списку контактов жертвы.
Некоторые вредоносные приложения пользуются правом на отправку SMS более креативно — например, устраивают массовую рассылку с оскорблениями. А зловред Ginp умеет создавать на телефоне жертвы входящие SMS, которых на самом деле вообще никто не посылал. И не только SMS! Но давайте начнем с начала.
Мобильные банковские трояны, проникнув на телефон, как правило, пытаются получить доступ к SMS. Им это нужно для того, чтобы перехватывать одноразовые коды подтверждения операций, которые отправляют банки. Получив такой код, владельцы зловреда могут незаметно для жертвы что-нибудь оплатить или перевести деньги на свой счет. Многие мобильные трояны заодно используют SMS, чтобы заразить побольше устройств, рассылая ссылку на скачивание себя по всему списку контактов жертвы.
Некоторые вредоносные приложения пользуются правом на отправку SMS более креативно — например, устраивают массовую рассылку с оскорблениями. А зловред Ginp умеет создавать на телефоне жертвы входящие SMS, которых на самом деле вообще никто не посылал. И не только SMS! Но давайте начнем с начала.
Релиз Kuberflow 1.0, отмена Google I/O, выход рейтинга языков RedMonk и другие новости ИТ за неделю
• Google отменила ежегодную конференцию для разработчиков I/O из-за вспышки коронавируса Covid-19. Компания планирует рассказать участникам о продуктах без их личного присутствия.
• Alphabet показала систему для распознавания и отслеживания рыбы на фермах. Технология поможет фермерам оптимизировать работу и сократить потребление дикой рыбы, рассчитывают в компании.
• Corellium представила бета-версию проекта Project Sandcastle, благодаря которому можно установить Android на iPhone 7, 7 Plus и iPod Touch. Пока проект находится на ранней стадии и производители не знают, как он влияет на производительность или работу аккумулятора устройств.
• Google выпустила стабильную версию операционной системы Chrome OS 80. Сборка доступна для большинства актуальных моделей Chromebook.
• Опубликован релиз открытой ML-платформы Kubeflow 1.0. Она упрощает развёртывание, масштабирование и управление контейнеризованными приложениями в среде Kubernetes.
• RedMonk опубликовала свежий рейтинг языков программирования. Самым популярным остаётся JavaScript, второе место поделили Java и Python. Источниками данных служат GitHub (использование в разработке) и StackOverflow (количество обсуждений).
• Ватикан создал свод нравственных и этических принципов для разработчиков искусственного интеллекта и других современных технологий. Вместе с IBM и Microsoft он призывает разработчиков думать не только о технологиях, но и о том, что они должны нести благо для человечества и окружающего мира.
• Apache Software Foundation представила интегрированную среду разработки Apache NetBeans 11.3. Ожидаемая в версии 11.3 интеграция поддержки языков C/C++ из переданной компанией Oracle кодовой базы в очередной раз перенесена на следующий выпуск.
• Доступен релиз прослойки JPype 0.7.2, которая позволяет организовать полный доступ Python-приложений к библиотекам классов на Java. При помощи JPype из Python можно использовать специфичные для Java библиотеки, создавая гибридные приложения.
• Microsoft представила выпуск командной оболочки PowerShell 7.0, исходные тексты которой были открыты в 2016 году под лицензией MIT. Новый выпуск оболочки подготовлен для Windows, Linux и macOS.
• Google переводит ОС Fuchsia на стадию финального внутреннего тестирования на сотрудниках, не занимающихся разработкой. Fuchsia должна стать универсальной операционной системой, способной работать на любых типах устройств.
#новости revolt
• Google отменила ежегодную конференцию для разработчиков I/O из-за вспышки коронавируса Covid-19. Компания планирует рассказать участникам о продуктах без их личного присутствия.
• Alphabet показала систему для распознавания и отслеживания рыбы на фермах. Технология поможет фермерам оптимизировать работу и сократить потребление дикой рыбы, рассчитывают в компании.
• Corellium представила бета-версию проекта Project Sandcastle, благодаря которому можно установить Android на iPhone 7, 7 Plus и iPod Touch. Пока проект находится на ранней стадии и производители не знают, как он влияет на производительность или работу аккумулятора устройств.
• Google выпустила стабильную версию операционной системы Chrome OS 80. Сборка доступна для большинства актуальных моделей Chromebook.
• Опубликован релиз открытой ML-платформы Kubeflow 1.0. Она упрощает развёртывание, масштабирование и управление контейнеризованными приложениями в среде Kubernetes.
• RedMonk опубликовала свежий рейтинг языков программирования. Самым популярным остаётся JavaScript, второе место поделили Java и Python. Источниками данных служат GitHub (использование в разработке) и StackOverflow (количество обсуждений).
• Ватикан создал свод нравственных и этических принципов для разработчиков искусственного интеллекта и других современных технологий. Вместе с IBM и Microsoft он призывает разработчиков думать не только о технологиях, но и о том, что они должны нести благо для человечества и окружающего мира.
• Apache Software Foundation представила интегрированную среду разработки Apache NetBeans 11.3. Ожидаемая в версии 11.3 интеграция поддержки языков C/C++ из переданной компанией Oracle кодовой базы в очередной раз перенесена на следующий выпуск.
• Доступен релиз прослойки JPype 0.7.2, которая позволяет организовать полный доступ Python-приложений к библиотекам классов на Java. При помощи JPype из Python можно использовать специфичные для Java библиотеки, создавая гибридные приложения.
• Microsoft представила выпуск командной оболочки PowerShell 7.0, исходные тексты которой были открыты в 2016 году под лицензией MIT. Новый выпуск оболочки подготовлен для Windows, Linux и macOS.
• Google переводит ОС Fuchsia на стадию финального внутреннего тестирования на сотрудниках, не занимающихся разработкой. Fuchsia должна стать универсальной операционной системой, способной работать на любых типах устройств.
#новости revolt
Как силовики получают любые наши данные по одному запросу
На этой неделе в соцсетях разгорелся новый спор про персональные данные: сервис «Яндекс.Такси» по одному письму с указанием номера выдал полиции данные о поездках пользователя. Им оказался журналист Иван Голунов. Благодаря этой информации он в итоге и был задержан по сфабрикованному уголовному делу о наркотиках. Многих удивило, как просто компания рассталась с данными о своем пользователе, но для российских интернет-сервисов и соцсетей это нормальная практика. The Bell объясняет, как это работает.
На этой неделе в соцсетях разгорелся новый спор про персональные данные: сервис «Яндекс.Такси» по одному письму с указанием номера выдал полиции данные о поездках пользователя. Им оказался журналист Иван Голунов. Благодаря этой информации он в итоге и был задержан по сфабрикованному уголовному делу о наркотиках. Многих удивило, как просто компания рассталась с данными о своем пользователе, но для российских интернет-сервисов и соцсетей это нормальная практика. The Bell объясняет, как это работает.
Medium
Законы против персональных данных, лихие 90-е на рынке хостинга и новые инвесторы TON
Какие наши данные и на каких основаниях интернет-сервисы обязаны передавать силовикам?
Ошибочное понимание ИТ-безопасности: пароли
Поговорим о том, как придумывать и запоминать надежные пароли. Все знают, как важно пользоваться надежными паролями. Но все ли понимают, какие пароли можно называть по-настоящему надежными?
#пароль
Поговорим о том, как придумывать и запоминать надежные пароли. Все знают, как важно пользоваться надежными паролями. Но все ли понимают, какие пароли можно называть по-настоящему надежными?
#пароль
Medium
Какие пароли можно называть надежными?
Практически любой согласится: да, надежный пароль действительно важен, но в то же время его так сложно запомнить! Поэтому многие даже не…