За обнаружение уязвимостей удаленного выполнения кода в определенных приложениях для Android компания Google готова выплатить специалистам до 450 тысяч долларов. Это в десять раз больше, чем было раньше.
Читать полностью…Роскомнадзор советует хостинг-провайдерам ограничить сбор данных с сайтов ботами зарубежных поисковиков и ИИ-сервисов (Google, Apple, OpenAI и т. п.). В качестве причины указана возможность утечки информации об опасных уязвимостях и данных россиян.
Читать полностью…Microsoft признала наличие очередных проблем с обновлениями операционной системы Windows. В этот раз, согласно жалобам пользователей, апрельские апдейты ломают VPN-соединения как на клиентских, так и на серверных платформах.
Читать полностью…Новый бэкдор, атакующий смартфоны на Android и получивший имя Wpeeper, выдает себя за популярный сторонний магазин приложений Uptodown App Store (насчитывает более 220 млн загрузок). Wpeeper отличается работой в связке со взломанными сайтами на WordPress.
Читать полностью…Можно ли заменить сертификацию ФСТЭК на Bug Bounty?
В новой серии шоу AM Talk разбираемся с этой хайповой гипотезой.
Наш эксперт сегодня — Дмитрий Пономарев.
Тот самый человек, который в недрах испытательной лаборатории занимается исследованиями ПО на предмет уязвимостей и НДВ.
Он также участвует в рабочих группах по созданию новых ГОСТ в области безопасной разработки.
За 10 минут расскажем:
– на что сейчас ориентируется ФСТЭК России;
– как поменяется ГОСТ о безопасной разработке;
– почему Bug Bounty, как и сертификация не панацея.
«Культура съедает стратегию на завтрак», — любит повторять Пономарев крылатую фразу социолога Питера Друкера.
Все еще не понимаете, при чем здесь безопасная разработка? Тогда скорее жмите на ссылку.
——-
Олеся Афанасьева,
редактор/продюсер шоу AM Talk
Павел Жовнер, основатель проекта Flipper Zero, наглядно показал, как можно открыть электронный сейф с помощью портативного мультитула, используя уязвимость в протоколе управления контроллера.
Читать полностью…На этой неделе Microsoft совместно с IBM открыла доступ к исходному коду MS-DOS 4.00 — сборке 1988 года. Эта версия известна своей непопулярностью среди пользователей, ошибками, требовательностью к оперативной памяти и плохой производительностью.
Читать полностью…Языки программирования являются важным инструментом кибератак. Расскажем, чем привлекательны для киберпреступников PowerShell, Bash и JavaScript, в чём заключается секрет популярности C / C++ и как не стать жертвой вредоносных приложений на Python.
Читать полностью…Операторы MaaS-сервисов (Malware-as-a-Service, вредонос как услуга) активно множат количество образцов троянов для Android, чтобы повысить процент заражений. В 2023 году в Zimperium зарегистрировали 1171 клон банкера Godfather, и это не предел.
Читать полностью…Российский разработчик экосистемы ИБ-решений компания UserGate объявила о начале работы собственного центра мониторинга информационной безопасности (SOC, Security Operations Center). Его услуги станут доступны в мае 2024 года.
Читать полностью…Вирусописатели продолжают использовать билдер LockBit 3.0, слитый в Сеть полтора года назад, для клонирования мощного шифровальщика. В этом году «Лаборатория Касперского» зафиксировала атаки с применением новых сборок в России и других странах.
Читать полностью…Некоторые ТВ-приставки на Android составляют угрозу приватности пользователя. Не в меру любопытный гость может улучить момент и в обход запрета загрузить в систему Chrome для получения доступа к сервисам Google, привязанным к аккаунту радушного хозяина.
Читать полностью…Компании из всех отраслей ощущают на себе рост числа атак на свои веб-приложения. Рассказываем о распределении атак на телеком-компании и интернет-площадки, зафиксированных среди пользователей платформы «Вебмониторэкс» в 2023 году, по типам, а также о способах защиты от них.
Реклама. Рекламодатель ООО “Вебмониторэкс”, ИНН 7735194651, ОГРН 1227700238545
📢 Внимание! Начинается онлайн-конференция AM Live "Российские системы контейнеризации"
📅 Дата: 26 апреля 2024
⏰ Время: c 11:00 до 13:00 (МСК)
🌐 Место: Онлайн
Сделаем обзор российского рынка систем контейнерной виртуализации. Расскажем, зачем мигрировать на российские дистрибутивы Kubernetes. На какие критерии обращать внимание при выборе поставщика. Когда стоит разворачивать собственную среду контейнеризации, а когда проще положиться на облачный сервис по подписке.
Присоединяйтесь »»
USB-червь PlugX, забытый всеми, включая своего разработчика, годами продолжал размножаться самостоятельно. По данным исследователей, вредонос может оставаться на тысячах, а то и миллионах компьютеров.
Читать полностью…Новая брешь обнаружена в софте, написанном на языке программирования R, которая позволяет выполнить произвольный код при десериализации специально созданных файлов RDS и RDX.
Читать полностью…Ряд пользователей браузера Google Chrome жалуется на проблемы с подключением к сайтам, серверам и файрволам. Судя по всему, вина лежит на новом квантово-устойчивом механизме инкапсуляции X25519Kyber768, включенном по умолчанию в вышедшем на прошлой неделе Chrome 124.
Читать полностью…Стилер-шторм: проверьте вашу компанию на утечки
В 2023 году действия злоумышленников стали причиной компрометаций логинов и паролей от ресурсов бизнеса по всему миру.
Вы хотите знать, были ли скомпрометированы учетные данные сотрудников и клиентов вашей организации? Специалисты Kaspersky Digital Footprint Intelligence подготовили отчет с последними результатами исследования рынка скомпрометированных учетных данных и готовы проанализировать лог-файлы инфостилеров на наличие упоминаний вашей компании.
Не дожидайтесь атаки – оцените свои риски уже сейчас.
На праздниках в общий доступ выложили крупный фрагмент базы платежных транзакций, связанных, предположительно, с сервисами доставки готовой еды, входящих в «Performance Group»: levelkitchen[.]com, m-food[.]ru, p-food[.]ru.
Читать полностью…Эксперты ГК «Солар» выявили и заблокировали фейковые сайты Госуслуг, созданные мошенниками для получения доступа к банковским счетам. Россиян приглашают получить новое пособие, оставив свои данные на фишинговой странице и загрузив Android-трояна.
Читать полностью…Созданная в «Тинькофф» система для выявления дропов использует ИИ-технологии и определяет подозрительное поведение по 1 тыс. разных факторов. За год работы умного помощника число счетов, на которые мошенники выводят средства жертв, сократилось в два раза.
Читать полностью…Компания Microsoft добавила код в Windows 11 24H2, который сообщит пользователям о том, что их компьютеры не соответствуют аппаратным требованиям для поддержки приложений с искусственным интеллектом.
Читать полностью…Злоумышленники запустили новую кампанию, в которой используется социальная инженерия в атаках на разработчиков софта. Под маской собеседования девелоперам подсовывают бэкдор на Python.
Читать полностью…ГК «Солар» выпустила новую версию Solar NGFW 1.2, в которой были добавлены возможности детальной настройки сетевых интерфейсов через графический интерфейс, импорта наборов сигнатур IPS и данных об их категориях, а также настройка отказоустойчивой пары.
Читать полностью…Два матерых эксперта в области безопасности Патрик Уордл и Михаил Сосонкин запускают стартап под названием DoubleYou, целью которого является помощь другим производителям продуктов для кибербезопасности повысить уровень защиты устройств Apple.
Читать полностью…Выставленные в интернет CrushFTP серверы, которых насчитывается более 1400, оказались уязвимы к атакам, эксплуатирующим уязвимость внедрения шаблонов на стороне сервера (SSTI), ранее использовавшуюся как 0-day.
Читать полностью…Киберпреступники пытаются использовать в атаках критическую уязвимость в плагине WP‑Automatic для сайтов на WordPress. В случае успешной эксплуатации брешь позволяет получить полный контроль над целевым веб-ресурсом.
Читать полностью…Участвуй в вебинарах «Метапродукты и NGFW: взгляд интегратора» и выиграй 1 из 10 билетов в бизнес трек Positive Hack Days 2!
Эксперты ИТ-компании Innostage в преддверии PHD расскажут о практиках применения нашумевшего метапродукта О2 и «боевом крещении» межсетевых экранов PT NGFW. Только практика, только hard skills!
Метапродукт О2: функции и практическое применение
📆 14 мая в 11:00 (МСК)
· Функционал продукта
· О2 и опыт Innostage: внедрение в своей ИТ-инфраструктуре и кейс в банковской сфере
· Методология киберустойчивости
❗️Регистрация »»
PT NGFW: Обсуждение результатов тестирования по нагрузке и функционалу
📆 16 мая в 11:00 (МСК)
· Обзор PT NGFW перед выходом коммерческой версии
· Жесткое испытание пилота в режиме «нагрузка и функционал»
· Роадмап по развитию продукта PT NGFW
❗️Регистрация »»
Прокачай навыки в сфере результативной кибербезопасности!
Участие бесплатное. Регистрация на каждое мероприятие является обязательной.
Рассматриваем новую версию системы для управления жизненным циклом конечных устройств (UEM) SafeMobile 8.3. Платформа SafeMobile управляет как мобильными ОС (iOS, Android, «Аврора»), так и настольными (Windows, Linux). Система помогает заказчикам выполнить требования ГОСТ 57580.
Читать полностью…Анализ нового трояна для Android показал, что это типичный современный банкер, вооруженный всевозможными средствами кражи данных и обеспечения удаленного контроля над устройством. В ThreatFabric находке присвоили имя Brokewell.
Читать полностью…