Как спрятать любые данные в PNG / Хабр
https://habr.com/ru/articles/861932/
https://habr.com/ru/articles/861932/
Хабр
Как спрятать любые данные в PNG
Настало время открыть Америку! Меня действительно удивило предельно малое кол-во информации на данную тему. Будем исправлять. И так, сразу к делу! Что нам нужно знать, чтобы спрятать что-то внутри PNG...
👍2
Но этот, лучше
https://fuzzinglabs.com/security-trainings/
Главное есть про WebAssembly. Что это? Это Wasm. То, что должно быть мэйнстримом в скором времени (как обещает Google), а это - Бинарь. Который выполняется на уровне пользователя с помощью Браузера. А там где бинарь - там уязвимости (с).
https://fuzzinglabs.com/security-trainings/
Главное есть про WebAssembly. Что это? Это Wasm. То, что должно быть мэйнстримом в скором времени (как обещает Google), а это - Бинарь. Который выполняется на уровне пользователя с помощью Браузера. А там где бинарь - там уязвимости (с).
Fuzzing Labs
Trainings | FuzzingLabs
Explore hands-on cybersecurity training in fuzzing, reverse engineering, OSINT, Rust security, and more to master real-world security skills.
Forwarded from Deleted Account
Проверка файлов на вирусы / вредоносный код
https://www.virustotal.com/gui - анализа подозрительных файлов и ссылок (+60 антивирусных движков).
https://virustest.gov.ru - национальный Мультисканер.
https://virusdesk.kaspersky.ru - анализ файла в Лаборатории Касперского.
https://vms.drweb.ru/scan_file/ - проверить файл Dr.Web.
https://analyze.intezer.com - до 16MB анализирует файлы на вредоносы.
https://app.any.run - песочница для проверки на вредоносное ПО.
https://www.hybrid-analysis.com/?lang=ru - песочница от Crowdstrike.
https://malcat.fr/index.html - утилита для анализа вредоносного ПО.
https://antiscan.me - проверка на вирусы.
https://cuckoo.cert.ee - песочника для анализа файлов.
https://payload-wizard.vercel.app/ - анализ PayLoad c помощью GPT.
Источник: xpen
https://www.virustotal.com/gui - анализа подозрительных файлов и ссылок (+60 антивирусных движков).
https://virustest.gov.ru - национальный Мультисканер.
https://virusdesk.kaspersky.ru - анализ файла в Лаборатории Касперского.
https://vms.drweb.ru/scan_file/ - проверить файл Dr.Web.
https://analyze.intezer.com - до 16MB анализирует файлы на вредоносы.
https://app.any.run - песочница для проверки на вредоносное ПО.
https://www.hybrid-analysis.com/?lang=ru - песочница от Crowdstrike.
https://malcat.fr/index.html - утилита для анализа вредоносного ПО.
https://antiscan.me - проверка на вирусы.
https://cuckoo.cert.ee - песочника для анализа файлов.
https://payload-wizard.vercel.app/ - анализ PayLoad c помощью GPT.
Источник: xpen
Kaspersky
Kaspersky Threat Intelligence Portal
Kaspersky Threat Intelligence Portal allows you to scan files, domains, IP addresses, and URLs for threats, malware, viruses
👍1
Forwarded from Echelon Eyes
NIST обновил гайд по созданию надежных паролей
Национальный институт стандартов и технологий (NIST) в новых рекомендациях отбрасывает устаревшие практики по выбору паролей в пользу более эффективной защиты. Он выделяет шесть ключевых принципов, которыми должны руководствоваться пользователи.
1. Длина пароля превыше «сложности»
Очень часто длинные пароли оказываются весьма предсказуемыми и шаблонными. Пользователи, как правило, при смене начинают новый пароль с заглавной буквы (например, welcome456 становится Welcome456) или заканчивают цифрой или символом. Другая распространенная ошибка – поменять один символ (например, WelcomeToXYZCorp становится W3lcomeToXYZCorp). Визуально такой пароль кажется сложным, но с учетом того, как выглядел предшествующий, его легко взломать.
NIST рекомендует усилить длину пароля вместо его сложности, причем вместо случайной комбинации символов можно придумать длинную парольную фразу типа «llama-shoehorn-trumpet7», которую будет легко вспомнить самому пользователю, но сложно угадать злоумышленнику.
2. Надежность пароля возрастает вместе с его длиной. Тем, кто отдает приоритет максимальной безопасности, стоит установить кодовое слово размером до 64 символов.
3. Многофакторная аутентификация – обязательная мера защиты.
4. Необходимо избегать частой смены паролей. Не так давно NIST призывал отказаться этой меры, если нет доказательства взлома. Специалисты института уверены, что частая смена паролей часто приводит к ослаблению безопасности, поскольку пользователи прибегают к минимальным изменениям пароля.
5. Нельзя использовать уже взломанные пароли.
6. Подсказки для пароля и другие способы восстановления на основе знаний помогают не только самому пользователю, но и злоумышленнику. Как звали вашего первого питомца? Каким был ваш школьный талисман? Какова девичья фамилия вашей матери? Ответы на эти вопросы могут быть известны гораздо большему кругу лиц, чем кажется.
Источник: https://specopssoft.com/blog/nist-password-guidelines/
#пароли
Национальный институт стандартов и технологий (NIST) в новых рекомендациях отбрасывает устаревшие практики по выбору паролей в пользу более эффективной защиты. Он выделяет шесть ключевых принципов, которыми должны руководствоваться пользователи.
1. Длина пароля превыше «сложности»
Очень часто длинные пароли оказываются весьма предсказуемыми и шаблонными. Пользователи, как правило, при смене начинают новый пароль с заглавной буквы (например, welcome456 становится Welcome456) или заканчивают цифрой или символом. Другая распространенная ошибка – поменять один символ (например, WelcomeToXYZCorp становится W3lcomeToXYZCorp). Визуально такой пароль кажется сложным, но с учетом того, как выглядел предшествующий, его легко взломать.
NIST рекомендует усилить длину пароля вместо его сложности, причем вместо случайной комбинации символов можно придумать длинную парольную фразу типа «llama-shoehorn-trumpet7», которую будет легко вспомнить самому пользователю, но сложно угадать злоумышленнику.
2. Надежность пароля возрастает вместе с его длиной. Тем, кто отдает приоритет максимальной безопасности, стоит установить кодовое слово размером до 64 символов.
3. Многофакторная аутентификация – обязательная мера защиты.
4. Необходимо избегать частой смены паролей. Не так давно NIST призывал отказаться этой меры, если нет доказательства взлома. Специалисты института уверены, что частая смена паролей часто приводит к ослаблению безопасности, поскольку пользователи прибегают к минимальным изменениям пароля.
5. Нельзя использовать уже взломанные пароли.
6. Подсказки для пароля и другие способы восстановления на основе знаний помогают не только самому пользователю, но и злоумышленнику. Как звали вашего первого питомца? Каким был ваш школьный талисман? Какова девичья фамилия вашей матери? Ответы на эти вопросы могут быть известны гораздо большему кругу лиц, чем кажется.
Источник: https://specopssoft.com/blog/nist-password-guidelines/
#пароли
Specops Software
NIST password guidelines: Full guide to NIST password compliance
New NIST password guidelines explained - including hhecklist for aligning with NIST’s new password guidance. Check your compliance now!
👍1
Forwarded from GitHub Community
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AlexRedSec
CWE Top 25 и Top Routinely Exploited Vulnerabilities🔝
Пока был в отпуске, MITRE представила обновленный топ-25 наиболее опасных дефектов программного обеспечения за 2024 год, а CISA&Co выкатили топ регулярно эксплуатируемых уязвимостей за 2023 год.
2024 CWE Top 25
В топе дефектов программного обеспечения довольно много изменений по сравнению с 2023 годом. В первую очередь это может быть связано с изменением методологии анализа. В то же время авторы подчеркивают, что проблемы с наполнением базы NVD и ошибки при определении конечного дефекта CWE, явившегося причиной появления уязвимости, могут влиять на точность представленного топа, но "скорее всего, всё в рамках допустимой погрешности"😅
Подробнее про основные выводы можно почитать здесь, а ещё советую посмотреть аналогичную аналитику от компании DogeSec, которую они провели в конце октября (их топ на втором скрине) — есть отличия от топа MITRE, но несущественные.
Для себя выделил попадание в топы дефектов "Раскрытие конфиденциальной информации неавторизованному лицу" (CWE-200) и "Неконтролируемое потребление ресурсов" (CWE-400), которые могут приводить к утечкам и DoS-атакам соответственно😑
2023 Top Routinely Exploited Vulnerabilities
В топе регулярно/"повседневно" эксплуатируемых уязвимостей в этот раз 15+32 уязвимостей.
Из интересного:
➡️ В топ-15 только одна уязвимость, обнаруженная в ПО с открытым исходным кодом (log4j).
Здесь не следует делать вывод о том, что опенсорсное ПО более безопасно — скорее, чаще атакуют богатые компании, где используется проприетарное ПО и оборудование.
В то же время наличие уязвимости 2021 года в топе 2023 года также говорит о том, что во многих организациях до сих пор стоит дырявая версия log4j и есть проблемы с обновлением зависимостей🥲
➡️ Треть уязвимостей не имеет "публичного" кода эксплойта (в MetaSploit/Nuclei).
➡️ Больше трети уязвимостей из основного топа — это уязвимости в сетевом оборудовании.
Подробную информацию об уязвимостях из топа можно посмотреть ещё в этом репозитории.
#vm #cve #mitre #cisa #cwe #vulnerability
Пока был в отпуске, MITRE представила обновленный топ-25 наиболее опасных дефектов программного обеспечения за 2024 год, а CISA&Co выкатили топ регулярно эксплуатируемых уязвимостей за 2023 год.
2024 CWE Top 25
В топе дефектов программного обеспечения довольно много изменений по сравнению с 2023 годом. В первую очередь это может быть связано с изменением методологии анализа. В то же время авторы подчеркивают, что проблемы с наполнением базы NVD и ошибки при определении конечного дефекта CWE, явившегося причиной появления уязвимости, могут влиять на точность представленного топа, но "скорее всего, всё в рамках допустимой погрешности"
Подробнее про основные выводы можно почитать здесь, а ещё советую посмотреть аналогичную аналитику от компании DogeSec, которую они провели в конце октября (их топ на втором скрине) — есть отличия от топа MITRE, но несущественные.
Для себя выделил попадание в топы дефектов "Раскрытие конфиденциальной информации неавторизованному лицу" (CWE-200) и "Неконтролируемое потребление ресурсов" (CWE-400), которые могут приводить к утечкам и DoS-атакам соответственно
2023 Top Routinely Exploited Vulnerabilities
В топе регулярно/"повседневно" эксплуатируемых уязвимостей в этот раз 15+32 уязвимостей.
Из интересного:
Здесь не следует делать вывод о том, что опенсорсное ПО более безопасно — скорее, чаще атакуют богатые компании, где используется проприетарное ПО и оборудование.
В то же время наличие уязвимости 2021 года в топе 2023 года также говорит о том, что во многих организациях до сих пор стоит дырявая версия log4j и есть проблемы с обновлением зависимостей
Подробную информацию об уязвимостях из топа можно посмотреть ещё в этом репозитории.
#vm #cve #mitre #cisa #cwe #vulnerability
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Forwarded from DigitalRussia (D-Russia.ru)
Опубликованы национальные стандарты в области ИИ:
🔸ГОСТ Р 71476-2024 Искусственный интеллект. Концепции и терминология искусственного интеллекта
🔸ГОСТ Р 71539-2024 Искусственный интеллект. Процессы жизненного цикла системы искусственного интеллекта
🔸ГОСТ Р 71540-2024 Искусственный интеллект. Эталонная архитектура инженерии знаний
🔸ГОСТ Р ИСО/МЭК 24029-2-2024 Искусственный интеллект. Оценка робастности нейронных сетей. Часть 2. Методология использования формальных методов
🔸ГОСТ Р ИСО/МЭК 42001-2024 Искусственный интеллект. Система менеджмента
Дата введения в действие пяти документов: 01.01.2025.
Опубликованы национальные стандарты в области применения ИИ в строительно-дорожной технике:
🔸ГОСТ Р 71750-2024 Технологии искусственного интеллекта в строительно-дорожной технике. Термины и определения
🔸ГОСТ Р 71751-2024 Технологии систем искусственного интеллекта в строительно-дорожной технике. Варианты использования
Дата введения в действие этих ГОСТов: 01.01.2025.
🔸ПНСТ 966-2024 Алгоритмы систем искусственного интеллекта для обнаружения и идентификации препятствий строительно-дорожной техники. Методы испытаний
🔸ПНСТ 967-2024 Алгоритмы систем искусственного интеллекта для решения задач ландшафтной навигации строительно-дорожной техники. Методы испытаний
Срок действия этих документов: с 01.01.2025 до 01.01.2028.
Также добавлены:
🔸ГОСТ Р 71687-2024 Искусственный интеллект. Наборы данных для разработки и верификации моделей машинного обучения для косвенного измерения механических свойств полимерных композиционных материалов. Общие требования
🔸ГОСТ Р ИСО/МЭК 20547-3-2024 Информационные технологии. Эталонная архитектура больших данных. Часть 3. Эталонная архитектура
Дата введения в действие этих документов: 01.01.2025.
🔸ГОСТ Р 71476-2024 Искусственный интеллект. Концепции и терминология искусственного интеллекта
🔸ГОСТ Р 71539-2024 Искусственный интеллект. Процессы жизненного цикла системы искусственного интеллекта
🔸ГОСТ Р 71540-2024 Искусственный интеллект. Эталонная архитектура инженерии знаний
🔸ГОСТ Р ИСО/МЭК 24029-2-2024 Искусственный интеллект. Оценка робастности нейронных сетей. Часть 2. Методология использования формальных методов
🔸ГОСТ Р ИСО/МЭК 42001-2024 Искусственный интеллект. Система менеджмента
Дата введения в действие пяти документов: 01.01.2025.
Опубликованы национальные стандарты в области применения ИИ в строительно-дорожной технике:
🔸ГОСТ Р 71750-2024 Технологии искусственного интеллекта в строительно-дорожной технике. Термины и определения
🔸ГОСТ Р 71751-2024 Технологии систем искусственного интеллекта в строительно-дорожной технике. Варианты использования
Дата введения в действие этих ГОСТов: 01.01.2025.
🔸ПНСТ 966-2024 Алгоритмы систем искусственного интеллекта для обнаружения и идентификации препятствий строительно-дорожной техники. Методы испытаний
🔸ПНСТ 967-2024 Алгоритмы систем искусственного интеллекта для решения задач ландшафтной навигации строительно-дорожной техники. Методы испытаний
Срок действия этих документов: с 01.01.2025 до 01.01.2028.
Также добавлены:
🔸ГОСТ Р 71687-2024 Искусственный интеллект. Наборы данных для разработки и верификации моделей машинного обучения для косвенного измерения механических свойств полимерных композиционных материалов. Общие требования
🔸ГОСТ Р ИСО/МЭК 20547-3-2024 Информационные технологии. Эталонная архитектура больших данных. Часть 3. Эталонная архитектура
Дата введения в действие этих документов: 01.01.2025.
https://github.com/kenhuangus/Artificial-Intelligence-Vulnerability-Scoring-System-AIVSS
AIVSS - это предлагаемая платформа для оценки уязвимостей, характерных для систем искусственного интеллекта/ML. Этот проект направлен на устранение ограничений традиционных систем оценки уязвимостей (таких как CVSS) применительно к системам искусственного интеллекта.
AIVSS - это предлагаемая платформа для оценки уязвимостей, характерных для систем искусственного интеллекта/ML. Этот проект направлен на устранение ограничений традиционных систем оценки уязвимостей (таких как CVSS) применительно к системам искусственного интеллекта.
GitHub
GitHub - kenhuangus/Artificial-Intelligence-Vulnerability-Scoring-System-AIVSS
Contribute to kenhuangus/Artificial-Intelligence-Vulnerability-Scoring-System-AIVSS development by creating an account on GitHub.
👍1
Forwarded from Task No Face
1️⃣ Открываем приложение Microsoft Office.2️⃣ Путь: File → Options → Trust Center → Trust Center Settings → Privacy Options → Privacy Settings → Optional Connected Experiences.3️⃣ Снимаем галочку с «Turn on optional connected».4️⃣ Всё, ваши данные больше не тренируют злоебучий ИИ.
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Машинное обучение: Наивный байесовский классификатор. Теория и реализация. С нуля / Хабр
https://habr.com/ru/articles/870718/
https://habr.com/ru/articles/870718/