кстати, вот пару дней назад пропустил еще тему. Эпол, похоже, решила поругаться со всеми соседями по долине. В браузерах Safari есть тема, что там показываются предупреждения о потенциально вредоносных сайтах (фишинг там, вот это все), а эта система использует данные Google Safe Browsing. Формально там Safari отправляет Google не весь УРЛ, а только хешированную часть, и технически Google не получает от браузера информации о том, какой именно УРЛ запрашивает пользователь. Тем не менее, Google могла получать IP-адрес пользователя, и вот в новой версии iOS Apple выкатила изменение, в котором Google Safe Browsing работает через прокси-сервер Apple, и таким образом Google вообще никакой информации о пользователе не получает.
https://the8-bit.com/apple-proxies-google-safe-browsing-privacy/
https://www.reddit.com/r/iOSBeta/comments/lg10f3/ios_145_beta_1_apple_proxies_google_safebrowsing/
https://the8-bit.com/apple-proxies-google-safe-browsing-privacy/
https://www.reddit.com/r/iOSBeta/comments/lg10f3/ios_145_beta_1_apple_proxies_google_safebrowsing/
как мне напоминают читатели, надо обратить внимание на то, что менеджер паролей LastPass вводит новую политику монетизации, по которой бесплатная версия может работать только на одном типа устройства пользователя — компьютере или смартфоне. Что в современном мире несколько неудобно и, соответственно, потребует либо заплатить денег, либо искать другой менеджер паролей. удачи!
https://blog.lastpass.com/2021/02/changes-to-lastpass-free/
https://blog.lastpass.com/2021/02/changes-to-lastpass-free/
Lastpass
Changes to LastPass Free - The LastPass Blog
Update as of May 20, 2021 Free users will continue to receive support for technical issues until August 23, 2021 to assist through the transition of selecting an active device type. After this dat[..]
красиво (как полиция Нидерландов и Украины получила контроль над инфраструктурой ботнета Emotet)
https://www.youtube.com/watch?v=vXEUUZ1tWjs
https://www.youtube.com/watch?v=vXEUUZ1tWjs
YouTube
[
Тут вот уже пишут, что современные вирусописатели вирусов для Мак осознали, что надо идти в ногу со временем, и начали компилировать свои вирусы под новую Arm-архитектуру процессоров М1. Само приложение - рекламное, показывает в браузере всякую рекламу и купоны, но сам факт, что оно уже нативно на М1 Маке, забавен
https://objective-see.com/blog/blog_0x62.html
https://objective-see.com/blog/blog_0x62.html
objective-see.org
Arm'd & Dangerous
malicious code, now native on apple silicon
=== Реклама ===
DevSecOps Wine
В 2017 году происходит масштабная утечка данных Equifax в следствие отсутствии проверки SCA в процессе разработки.
В 2019 году уязвимость, связанная с runC, подвергает опасности тысячи кластеров Kubernetes.
В 2020 осуществляется серия атак на API Docker со стороны группировки TeamTNT с помощью легитимных образов Ubuntu и Weave Scope.
В 2021 уязвимость Dependency Confusion позволила внедрить вредоносный пакет в цепочки поставок Microsoft, Apple и сотни других компаний.
Все это является следствием упущений в обеспечении DevSecOps.
DevSecOps Wine - канал про выстраивание безопасной разработки и AppSec. Автор поднимает темы безопасности Kubernetes, Docker, облаков (AWS, GCP, Azure), а тажке того, что касается современных SAST, DAST, SCA и других средств, встраиваемых в CI/CD. Все это разбавляется техниками тестирования на проникновение и защитой веба.
=== Реклама ===
DevSecOps Wine
В 2017 году происходит масштабная утечка данных Equifax в следствие отсутствии проверки SCA в процессе разработки.
В 2019 году уязвимость, связанная с runC, подвергает опасности тысячи кластеров Kubernetes.
В 2020 осуществляется серия атак на API Docker со стороны группировки TeamTNT с помощью легитимных образов Ubuntu и Weave Scope.
В 2021 уязвимость Dependency Confusion позволила внедрить вредоносный пакет в цепочки поставок Microsoft, Apple и сотни других компаний.
Все это является следствием упущений в обеспечении DevSecOps.
DevSecOps Wine - канал про выстраивание безопасной разработки и AppSec. Автор поднимает темы безопасности Kubernetes, Docker, облаков (AWS, GCP, Azure), а тажке того, что касается современных SAST, DAST, SCA и других средств, встраиваемых в CI/CD. Все это разбавляется техниками тестирования на проникновение и защитой веба.
=== Реклама ===
Telegram
Security Wine (бывший - DevSecOps Wine)
https://radcop.online/
"Security everywhere!"
🐛🦋Канал, в котором публикуются материалы о "выращивании" безопасности в организации (а начиналось все с безопасного DevOps и shift security left!)
По всем вопросам: @surmatmg
"Security everywhere!"
🐛🦋Канал, в котором публикуются материалы о "выращивании" безопасности в организации (а начиналось все с безопасного DevOps и shift security left!)
По всем вопросам: @surmatmg
Действительно смешно https://twitter.com/0xw2w/status/1362078365835014146?s=21
Twitter
Max
This is how devs of one website made security done. It’s a main app's js file that contains login and password in the "if not login and password" statement. @Hacker0x01's private BB program if someone’s wondering.
Если вы в прошлом году бывали на Ямайке, то у меня для вас плохие новости. База данных сайта, который подрядчик разрабатывал для правительства Ямайки, и на котором хранились записи о посетителях острова, оказалась незащищенной паролем и доступной в интернете, и все эти данные, скорей всего, утекли. Там еще и данные с тестами на Ковид19 тех, кто на остров прилетал, были, и все это, что нажито непосильным трудом, все было в интернете. Правительство пока организовало расследование, чтобы выяснить, был ли доступ к данным, собственно. Никогда такого не было, и вот опять
https://techcrunch.com/2021/02/17/jamaica-immigration-travelers-data-exposed/
https://techcrunch.com/2021/02/17/jamaica-immigration-travelers-data-exposed/
TechCrunch
Jamaica’s immigration website exposed thousands of travelers’ data
Exclusive: Months of immigration documents and COVID-19 lab results were left on an unprotected server.
Там вчера Apple опубликовала обновленную версию своего документа Platform Security Guide, в котором есть очень много разных и интересных деталей про то, как работает в устройствах и сервисах компании обеспечение безопасности и самих устройств, и информации пользователей.
https://support.apple.com/guide/security/welcome/web
Вот ПДФ https://manuals.info.apple.com/MANUALS/1000/MA1902/en_US/apple-platform-security-guide.pdf
Из того, что обновилось, рассказы про изменения в новых версиях операционных систем для смартфонов, планшетов (iOS/iPadOS 14) и Маков (macOS Big Sur). Изменения в Маках с процессорами Arm (отказ от kernel extensions в будущем, изменения в процессе загрузки, бинарная трансляция приложений в Rosetta, и тд.
Про фичу мониторинга паролей, где система проверяет хеши паролей на предмет их утечки (https://support.apple.com/guide/security/password-monitoring-sec78e79fc3b/web), или же про изменения процесса загрузки айфонов (https://support.apple.com/guide/security/memory-safe-iboot-implementation-sec30d8d9ec1/web). Я неоднократно говорил, что это один из самых интересных документов, который публикует Apple, и он даёт возможность посмотреть на то, как компания обеспечивает многослойный уровень защиты, от комплилятора до операционных систем, и до железа.
https://support.apple.com/guide/security/welcome/web
Вот ПДФ https://manuals.info.apple.com/MANUALS/1000/MA1902/en_US/apple-platform-security-guide.pdf
Из того, что обновилось, рассказы про изменения в новых версиях операционных систем для смартфонов, планшетов (iOS/iPadOS 14) и Маков (macOS Big Sur). Изменения в Маках с процессорами Arm (отказ от kernel extensions в будущем, изменения в процессе загрузки, бинарная трансляция приложений в Rosetta, и тд.
Про фичу мониторинга паролей, где система проверяет хеши паролей на предмет их утечки (https://support.apple.com/guide/security/password-monitoring-sec78e79fc3b/web), или же про изменения процесса загрузки айфонов (https://support.apple.com/guide/security/memory-safe-iboot-implementation-sec30d8d9ec1/web). Я неоднократно говорил, что это один из самых интересных документов, который публикует Apple, и он даёт возможность посмотреть на то, как компания обеспечивает многослойный уровень защиты, от комплилятора до операционных систем, и до железа.
Apple Support
Manuals, Specs, and Downloads - Apple Support
Manuals, technical specifications, downloads, and more for Apple software and hardware
=== РАБОТА ===
Всем привет! 🙂
«Нетология» приглашает специалистов по InfoSec/DevSecOps преподавать на курсе «Специалист по информационной безопасности»: netology.ru/programs/informationsecurity
🎓 Мы ищем лектора, который знает следующие темы:
⚙️ Тестирование на проникновение, уязвимости веб-приложений:
🔹 Архитектура современных веб-сервисов;
🔹 Уязвимости веб-сервисов;
🔹 OWASP;
🔹 Тестирование на проникновение
⚙️ Организация безопасности:
🔹 Настройка и администрирование СЗИ;
🔹 Мониторинг событий безопасности;
🔹 Регламентация процесса;
Какие есть возможности:
📚 Поделиться знаниями и опытом с молодыми спецами по InfoSec;
💵 Работать удаленно на part-time с гибкой системой заработка: лучшие эксперты зарабатывают больше 100 000 рублей в месяц, совмещая преподавание с основной работой;
💎 Получить опыт преподавания и новые знания в своей сфере
Вам не обязательно знать все темы или иметь опыт преподавания: если чувствуете, что готовы делиться знаниями и помогать другим освоить новую профессию — смело пишите в Telegram @klotze2 или на почту r.pshenichnikov@netology.ru!
Всем привет! 🙂
«Нетология» приглашает специалистов по InfoSec/DevSecOps преподавать на курсе «Специалист по информационной безопасности»: netology.ru/programs/informationsecurity
🎓 Мы ищем лектора, который знает следующие темы:
⚙️ Тестирование на проникновение, уязвимости веб-приложений:
🔹 Архитектура современных веб-сервисов;
🔹 Уязвимости веб-сервисов;
🔹 OWASP;
🔹 Тестирование на проникновение
⚙️ Организация безопасности:
🔹 Настройка и администрирование СЗИ;
🔹 Мониторинг событий безопасности;
🔹 Регламентация процесса;
Какие есть возможности:
📚 Поделиться знаниями и опытом с молодыми спецами по InfoSec;
💵 Работать удаленно на part-time с гибкой системой заработка: лучшие эксперты зарабатывают больше 100 000 рублей в месяц, совмещая преподавание с основной работой;
💎 Получить опыт преподавания и новые знания в своей сфере
Вам не обязательно знать все темы или иметь опыт преподавания: если чувствуете, что готовы делиться знаниями и помогать другим освоить новую профессию — смело пишите в Telegram @klotze2 или на почту r.pshenichnikov@netology.ru!
netology.ru
Расширенный курс по информационной безопасности | Обучение DevSecOps, Pentest, Forensics в Нетологии
Расширенный курс «Специалист по информационной безопасности» от Нетологии: вы освоите три востребованных направления — DevSecOps, Pentest и Forensics. Курс подготовит вас к реальной работе в сфере кибербезопасности, с возможностью стажировки у партнёров и…
Forwarded from Некстджен и Усиление+
Даниэль Стейнберг, автор curl/libcurl, программного обеспечения, использующегося, вероятно, в 99 из 100 подключенных к интернету устройств, иногда постит смешные емейлы, которые получает от случайных людей — что-то вроде жалоб пользователей на NFS World, стучащуюся на давно закрытые сервера, и возвращающую "ошибку curl".
Так вот, сегодняшний образец совсем не смешной.
https://daniel.haxx.se/blog/2021/02/19/i-will-slaughter-you/
Так вот, сегодняшний образец совсем не смешной.
https://daniel.haxx.se/blog/2021/02/19/i-will-slaughter-you/
обычно по пятницам контент повеселее, конечно, но тут какая-то и правда жопа. чувак, потерявший какието контракты на разработку, пишет с угрозами автору curl, потому что считает его виноватым в потере, так как curl используется практически везде
при том, что как раз вроде бы curl ни в каких из последних атак не был замечен как источник уязвимости для этих взломов, по крайней мере, из тех, что перечислены. люди не в себе, конечно
при том, что как раз вроде бы curl ни в каких из последних атак не был замечен как источник уязвимости для этих взломов, по крайней мере, из тех, что перечислены. люди не в себе, конечно
с КлабХаусом вообще весело, начиная от API, разобранного сторонними клиентами, до сайтов, которые начали выкладывать уже разговоры из сервиса. Впрочем, если вся предыдущая история нам о чем-то говорит, то это о том, что пользователям все равно
https://techcrunch.com/2021/02/22/clubhouse-security/?tpcc=ECTW2020
https://www.vice.com/en/article/y3gj5j/android-version-clubhouse
https://www.vice.com/en/article/k7a9nx/this-website-made-clubhouse-conversations-public
https://techcrunch.com/2021/02/22/clubhouse-security/?tpcc=ECTW2020
https://www.vice.com/en/article/y3gj5j/android-version-clubhouse
https://www.vice.com/en/article/k7a9nx/this-website-made-clubhouse-conversations-public
VICE
Devs Hack Together Their Own Clubhouse Android Apps
With no Android version of Clubhouse available, developers are making their own.
Но для разнообразия немного не о клабхаусе. Тут есть какойто странный зловред для Маков с процессором М1, я упоминал его на прошлой неделе. Его название — Silver Sparrow, серебристый воробей (симпатичная птичка). Но фишка такая, что это вредоносное ПО не совсем-то вредоносное, по крайней мере, пока что: оно было обнаружено на более чем 30 тысячах Маков, но у него не хватает одной важной штуки. Эта штука — как раз вредоносная нагрузка, то есть то, что оно должно делать, чтобы быть вредоносным. Исследователи из Red Canary (еще одна красивая птичка) выложили документ с деталями Silver Sparrow, о том, как оно распространяется, и что делает на данный момент. Ну и как можно узнать, установлено ли это ПО у вас уже.
https://redcanary.com/blog/clipping-silver-sparrows-wings/
Самое интересное, что Apple уже отозвала сертификат разработчика, которым был подписан код вредоносного ПО, что предотвращает его работу.
https://www.macrumors.com/2021/02/22/apple-revokes-silver-sparrow-certificates/
сэмпл тут:
Direct Download: https://objective-see.com/downloads/malware/SilverSparrow.zip (pw: infect3d)
https://twitter.com/patrickwardle/status/1363984976182583296/photo/1
https://redcanary.com/blog/clipping-silver-sparrows-wings/
Самое интересное, что Apple уже отозвала сертификат разработчика, которым был подписан код вредоносного ПО, что предотвращает его работу.
https://www.macrumors.com/2021/02/22/apple-revokes-silver-sparrow-certificates/
сэмпл тут:
Direct Download: https://objective-see.com/downloads/malware/SilverSparrow.zip (pw: infect3d)
https://twitter.com/patrickwardle/status/1363984976182583296/photo/1
Red Canary
Silver Sparrow macOS malware with M1 compatibility
Silver Sparrow includes a binary compiled to run on Apple’s new M1 chips but lacks one very important feature: a payload
Forwarded from BBLDK (Dmitry Kiryanov)
Большой список ресурсов для тех, кто хочет начать анализ вредоносных программ для macOS!
https://theevilbit.github.io/posts/getting_started_in_macos_security/
В заголовке скромно указано «5 минут на прочтение», но чёрта с два там 5 минут… Если не знали, чем занять себя в выходные — теперь знаете. 😂😉
Спасибо Thomas Reed за наводку.
https://theevilbit.github.io/posts/getting_started_in_macos_security/
В заголовке скромно указано «5 минут на прочтение», но чёрта с два там 5 минут… Если не знали, чем занять себя в выходные — теперь знаете. 😂😉
Спасибо Thomas Reed за наводку.
Вот даже BBC уже пишет про то, что использование шпионских «пикселей» в почте стало очень массовым. Это обычно картинка 1х1 пиксель, с помощью которой можно узнать, открывалось ли письмо, сколько раз, характеристики машины и примерное местоположение пользователя по IP-адресу. Отключение загрузки изображений в почте по умолчанию позволяет снизить этот риск, но вообще разработчикам почтовых решений было бы полезно подумать о более глобальном подходе к борьбе с этой проблемой
https://www.bbc.com/news/technology-56071437
https://www.bbc.com/news/technology-56071437