Forwarded from CyberSecurityTechnologies (-CST-)
NIST_SP_800_218A.pdf
635.4 KB
#MLSecOps
#Infosec_Standards
NIST SP 800-218A:
"Secure Software Development Practices for Generative AI and Dual-Use Foundation Models", July 2024.
#Infosec_Standards
NIST SP 800-218A:
"Secure Software Development Practices for Generative AI and Dual-Use Foundation Models", July 2024.
Forwarded from Task No Face
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 3side кибербезопасности
Я тебя найду и позвоню
Вышла очень важная статья на Хабре о торговле за копейки нашими данным.
Не об утечках! О легальных сервисах позволяющих за 1 звонок без снятия трубки раскрыть данные о ваших перемещениях, посещаемые сайты и метаданные ваших телефонных переговоров!
Очень прошу помочь с репостами, такой легальный пробив не должен существовать.
Вышла очень важная статья на Хабре о торговле за копейки нашими данным.
Не об утечках! О легальных сервисах позволяющих за 1 звонок без снятия трубки раскрыть данные о ваших перемещениях, посещаемые сайты и метаданные ваших телефонных переговоров!
Очень прошу помочь с репостами, такой легальный пробив не должен существовать.
Хабр
Я тебя найду и позвоню
Абсолютно легальные инструменты за смешные деньги могут позволить вам звонить всем активным клиентам ваших конкурентов, построить десяток эффективных мошеннических схем или даже позвонить...
🤯3
Как спрятать любые данные в PNG / Хабр
https://habr.com/ru/articles/861932/
https://habr.com/ru/articles/861932/
Хабр
Как спрятать любые данные в PNG
Настало время открыть Америку! Меня действительно удивило предельно малое кол-во информации на данную тему. Будем исправлять. И так, сразу к делу! Что нам нужно знать, чтобы спрятать что-то внутри PNG...
👍2
Но этот, лучше
https://fuzzinglabs.com/security-trainings/
Главное есть про WebAssembly. Что это? Это Wasm. То, что должно быть мэйнстримом в скором времени (как обещает Google), а это - Бинарь. Который выполняется на уровне пользователя с помощью Браузера. А там где бинарь - там уязвимости (с).
https://fuzzinglabs.com/security-trainings/
Главное есть про WebAssembly. Что это? Это Wasm. То, что должно быть мэйнстримом в скором времени (как обещает Google), а это - Бинарь. Который выполняется на уровне пользователя с помощью Браузера. А там где бинарь - там уязвимости (с).
Fuzzing Labs
Trainings | FuzzingLabs
Explore hands-on cybersecurity training in fuzzing, reverse engineering, OSINT, Rust security, and more to master real-world security skills.
Forwarded from Deleted Account
Проверка файлов на вирусы / вредоносный код
https://www.virustotal.com/gui - анализа подозрительных файлов и ссылок (+60 антивирусных движков).
https://virustest.gov.ru - национальный Мультисканер.
https://virusdesk.kaspersky.ru - анализ файла в Лаборатории Касперского.
https://vms.drweb.ru/scan_file/ - проверить файл Dr.Web.
https://analyze.intezer.com - до 16MB анализирует файлы на вредоносы.
https://app.any.run - песочница для проверки на вредоносное ПО.
https://www.hybrid-analysis.com/?lang=ru - песочница от Crowdstrike.
https://malcat.fr/index.html - утилита для анализа вредоносного ПО.
https://antiscan.me - проверка на вирусы.
https://cuckoo.cert.ee - песочника для анализа файлов.
https://payload-wizard.vercel.app/ - анализ PayLoad c помощью GPT.
Источник: xpen
https://www.virustotal.com/gui - анализа подозрительных файлов и ссылок (+60 антивирусных движков).
https://virustest.gov.ru - национальный Мультисканер.
https://virusdesk.kaspersky.ru - анализ файла в Лаборатории Касперского.
https://vms.drweb.ru/scan_file/ - проверить файл Dr.Web.
https://analyze.intezer.com - до 16MB анализирует файлы на вредоносы.
https://app.any.run - песочница для проверки на вредоносное ПО.
https://www.hybrid-analysis.com/?lang=ru - песочница от Crowdstrike.
https://malcat.fr/index.html - утилита для анализа вредоносного ПО.
https://antiscan.me - проверка на вирусы.
https://cuckoo.cert.ee - песочника для анализа файлов.
https://payload-wizard.vercel.app/ - анализ PayLoad c помощью GPT.
Источник: xpen
Kaspersky
Kaspersky Threat Intelligence Portal
Kaspersky Threat Intelligence Portal allows you to scan files, domains, IP addresses, and URLs for threats, malware, viruses
👍1
Forwarded from Echelon Eyes
NIST обновил гайд по созданию надежных паролей
Национальный институт стандартов и технологий (NIST) в новых рекомендациях отбрасывает устаревшие практики по выбору паролей в пользу более эффективной защиты. Он выделяет шесть ключевых принципов, которыми должны руководствоваться пользователи.
1. Длина пароля превыше «сложности»
Очень часто длинные пароли оказываются весьма предсказуемыми и шаблонными. Пользователи, как правило, при смене начинают новый пароль с заглавной буквы (например, welcome456 становится Welcome456) или заканчивают цифрой или символом. Другая распространенная ошибка – поменять один символ (например, WelcomeToXYZCorp становится W3lcomeToXYZCorp). Визуально такой пароль кажется сложным, но с учетом того, как выглядел предшествующий, его легко взломать.
NIST рекомендует усилить длину пароля вместо его сложности, причем вместо случайной комбинации символов можно придумать длинную парольную фразу типа «llama-shoehorn-trumpet7», которую будет легко вспомнить самому пользователю, но сложно угадать злоумышленнику.
2. Надежность пароля возрастает вместе с его длиной. Тем, кто отдает приоритет максимальной безопасности, стоит установить кодовое слово размером до 64 символов.
3. Многофакторная аутентификация – обязательная мера защиты.
4. Необходимо избегать частой смены паролей. Не так давно NIST призывал отказаться этой меры, если нет доказательства взлома. Специалисты института уверены, что частая смена паролей часто приводит к ослаблению безопасности, поскольку пользователи прибегают к минимальным изменениям пароля.
5. Нельзя использовать уже взломанные пароли.
6. Подсказки для пароля и другие способы восстановления на основе знаний помогают не только самому пользователю, но и злоумышленнику. Как звали вашего первого питомца? Каким был ваш школьный талисман? Какова девичья фамилия вашей матери? Ответы на эти вопросы могут быть известны гораздо большему кругу лиц, чем кажется.
Источник: https://specopssoft.com/blog/nist-password-guidelines/
#пароли
Национальный институт стандартов и технологий (NIST) в новых рекомендациях отбрасывает устаревшие практики по выбору паролей в пользу более эффективной защиты. Он выделяет шесть ключевых принципов, которыми должны руководствоваться пользователи.
1. Длина пароля превыше «сложности»
Очень часто длинные пароли оказываются весьма предсказуемыми и шаблонными. Пользователи, как правило, при смене начинают новый пароль с заглавной буквы (например, welcome456 становится Welcome456) или заканчивают цифрой или символом. Другая распространенная ошибка – поменять один символ (например, WelcomeToXYZCorp становится W3lcomeToXYZCorp). Визуально такой пароль кажется сложным, но с учетом того, как выглядел предшествующий, его легко взломать.
NIST рекомендует усилить длину пароля вместо его сложности, причем вместо случайной комбинации символов можно придумать длинную парольную фразу типа «llama-shoehorn-trumpet7», которую будет легко вспомнить самому пользователю, но сложно угадать злоумышленнику.
2. Надежность пароля возрастает вместе с его длиной. Тем, кто отдает приоритет максимальной безопасности, стоит установить кодовое слово размером до 64 символов.
3. Многофакторная аутентификация – обязательная мера защиты.
4. Необходимо избегать частой смены паролей. Не так давно NIST призывал отказаться этой меры, если нет доказательства взлома. Специалисты института уверены, что частая смена паролей часто приводит к ослаблению безопасности, поскольку пользователи прибегают к минимальным изменениям пароля.
5. Нельзя использовать уже взломанные пароли.
6. Подсказки для пароля и другие способы восстановления на основе знаний помогают не только самому пользователю, но и злоумышленнику. Как звали вашего первого питомца? Каким был ваш школьный талисман? Какова девичья фамилия вашей матери? Ответы на эти вопросы могут быть известны гораздо большему кругу лиц, чем кажется.
Источник: https://specopssoft.com/blog/nist-password-guidelines/
#пароли
Specops Software
NIST password guidelines: Full guide to NIST password compliance
New NIST password guidelines explained - including hhecklist for aligning with NIST’s new password guidance. Check your compliance now!
👍1
Forwarded from GitHub Community
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AlexRedSec
CWE Top 25 и Top Routinely Exploited Vulnerabilities🔝
Пока был в отпуске, MITRE представила обновленный топ-25 наиболее опасных дефектов программного обеспечения за 2024 год, а CISA&Co выкатили топ регулярно эксплуатируемых уязвимостей за 2023 год.
2024 CWE Top 25
В топе дефектов программного обеспечения довольно много изменений по сравнению с 2023 годом. В первую очередь это может быть связано с изменением методологии анализа. В то же время авторы подчеркивают, что проблемы с наполнением базы NVD и ошибки при определении конечного дефекта CWE, явившегося причиной появления уязвимости, могут влиять на точность представленного топа, но "скорее всего, всё в рамках допустимой погрешности"😅
Подробнее про основные выводы можно почитать здесь, а ещё советую посмотреть аналогичную аналитику от компании DogeSec, которую они провели в конце октября (их топ на втором скрине) — есть отличия от топа MITRE, но несущественные.
Для себя выделил попадание в топы дефектов "Раскрытие конфиденциальной информации неавторизованному лицу" (CWE-200) и "Неконтролируемое потребление ресурсов" (CWE-400), которые могут приводить к утечкам и DoS-атакам соответственно😑
2023 Top Routinely Exploited Vulnerabilities
В топе регулярно/"повседневно" эксплуатируемых уязвимостей в этот раз 15+32 уязвимостей.
Из интересного:
➡️ В топ-15 только одна уязвимость, обнаруженная в ПО с открытым исходным кодом (log4j).
Здесь не следует делать вывод о том, что опенсорсное ПО более безопасно — скорее, чаще атакуют богатые компании, где используется проприетарное ПО и оборудование.
В то же время наличие уязвимости 2021 года в топе 2023 года также говорит о том, что во многих организациях до сих пор стоит дырявая версия log4j и есть проблемы с обновлением зависимостей🥲
➡️ Треть уязвимостей не имеет "публичного" кода эксплойта (в MetaSploit/Nuclei).
➡️ Больше трети уязвимостей из основного топа — это уязвимости в сетевом оборудовании.
Подробную информацию об уязвимостях из топа можно посмотреть ещё в этом репозитории.
#vm #cve #mitre #cisa #cwe #vulnerability
Пока был в отпуске, MITRE представила обновленный топ-25 наиболее опасных дефектов программного обеспечения за 2024 год, а CISA&Co выкатили топ регулярно эксплуатируемых уязвимостей за 2023 год.
2024 CWE Top 25
В топе дефектов программного обеспечения довольно много изменений по сравнению с 2023 годом. В первую очередь это может быть связано с изменением методологии анализа. В то же время авторы подчеркивают, что проблемы с наполнением базы NVD и ошибки при определении конечного дефекта CWE, явившегося причиной появления уязвимости, могут влиять на точность представленного топа, но "скорее всего, всё в рамках допустимой погрешности"
Подробнее про основные выводы можно почитать здесь, а ещё советую посмотреть аналогичную аналитику от компании DogeSec, которую они провели в конце октября (их топ на втором скрине) — есть отличия от топа MITRE, но несущественные.
Для себя выделил попадание в топы дефектов "Раскрытие конфиденциальной информации неавторизованному лицу" (CWE-200) и "Неконтролируемое потребление ресурсов" (CWE-400), которые могут приводить к утечкам и DoS-атакам соответственно
2023 Top Routinely Exploited Vulnerabilities
В топе регулярно/"повседневно" эксплуатируемых уязвимостей в этот раз 15+32 уязвимостей.
Из интересного:
Здесь не следует делать вывод о том, что опенсорсное ПО более безопасно — скорее, чаще атакуют богатые компании, где используется проприетарное ПО и оборудование.
В то же время наличие уязвимости 2021 года в топе 2023 года также говорит о том, что во многих организациях до сих пор стоит дырявая версия log4j и есть проблемы с обновлением зависимостей
Подробную информацию об уязвимостях из топа можно посмотреть ещё в этом репозитории.
#vm #cve #mitre #cisa #cwe #vulnerability
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1