Почему NoiSeBit не размещает рекламу? Да потому что мы делаем этот проект в первую очередь для себя и получаем фан от самого процесса. А то, что у нас есть довольно обширная аудитория, это побочный эффект нашей деятельности. Мы очень рады нашей аудитории и ее росту. В наши планы не входит никакой монетизации подкаста! Мы не навязываем нашим слушателем никого мнения и не собираемся на этом зарабатывать!!

Если вы рекламодатель, пожалуйста не беспокойте нас больше, нам абсолютно не интересно рекламировать ваш продукт, который не от чего/кого не защищает и совершенно бесполезен :))

Нам часто задают вопрос: почему мы не обсуждаем новости из мира ИБ в нашем подкасте? Все просто, наши гости и участники проекта NoiSeBit, эти самые новости создают результатами своих исследований 😎 Просто обсуждать события мира ИБ скучно и не интересно. Пожалуй мы оставим эту нишу другим подкастам, а нам есть что вам рассказать и без этого 👻

В ближайшее время мы планируем записать новый эпизод NoiSeBit в котором обсудим историю проекта и дальнейшие планы. Готовьте интересные вопросы, будет твич стрим в реальном времени. Следите за ближайшими анонсами! 👽

Offensivecon продолжает радовать публичными видео своих докладов https://www.youtube.com/watch?v=dpG97TBR3Ys

NoiSeBit провёл небольшое исследование на тему летних стажировок для студентов (начинающих ресечеров) по направлениям связанным с информационной безопасностью. Список компаний, которые делают такого рода стажировки совсем не велик, как-то грустно у нас с инвестициями в будущее.

Вот заинтересованные компании: DSEC, Kaspersky Lab, Yandex и MailRU

Мы всё больше окружаем себя умными утройствами: часы, термостаты, различные датчики умного дома и конечно голосовые помошники (Amazon Alexa). На днях исследователям из компании Checkmarx удалось добавить в официальный store приложение (skill) для Alexa на Amazon Echo уствройствах, которое превращало Echo в постоянное прослушивающее устройство перенаправляя звуковой поток на сторонний сервер. Конечно для того чтобы это случислось пользователь сам должен установить вредоносный Alexa skill, но прицидент всеравно интересный.

https://www.wired.com/story/amazon-echo-alexa-skill-spying/

здесь ссылка на отчет от Checkmarx, они почему-то не хотят давать его без регистрации на сайте, но NoiSeBit уже это сделал за вас 😉 https://info.checkmarx.com/hubfs/Amazon_Echo_Research.pdf

В честь совершеннолетия проекта NoiSeBit мы решили записать 0х18-й эпизод «о проекте NoiSeBit, зачем это все». Завтра, 29ого Апреля, в ВСК, в 23-00 по МСК, Александр Матросов (@amatrosov) расскажет как он начинал подкаст, зачем он ему, как проект перерождался и менялся, а что осталось неизменным. Пожалуйста, приходите на стрим (https://twitch.tv/defconrussia), задавайте вопросы, а главное, расскажите, что лично ВЫ хотите видеть в подкасте - темы, гости и прочие идеи и пожелания, ведь этот проект делается исключительно ради слушателей, без донатов и рекламы.

Запись 0x18 началась https://www.twitch.tv/defconrussia

Не так часто выходят хорошие книги по теме фаззинга в контексте поиска уязвимостей. Наверное всю имеющуюся литературу по этой теме можно сосчитать на пальцах одной руки. А тут именитые авторы порадовали нас новой книгой. Встречайте «Fuzzing for Software Security Testing and Quality Assurance»

https://books.google.com/books?id=Gc2KtAEACAAJ

Интересный исследовательский отчёт об уязвимостях в автомобилях VW/Audi. Мы как-то тоже обсуждали эту тему в нашем подкасте https://www.computest.nl/wp-content/uploads/2018/04/connected-car-rapport.pdf

Компания Дуо Секьюрити выпустили отчёт https://duo.com/blog/apple-imac-pro-and-secure-storage

Сегодня группа исследователей Vusec опубликовала очень интересный отчёт о новом векторе Rowhamner атак на ARM с использованием GPU. Атаки на железно через софт становятся мейнстримом! https://www.vusec.net/projects/glitch/

Twitter предупредил о возможной утечки паролей. NoiSeBit рекомендует сменить пароль!

Найдены новые уязвимости в микроархитектуре современных процессоров с похожим ущербом для безопасности, как у обнаруженных Spectre/Meltdown. Мы уже обсуждали эту тему в предыдущем выпуске NoiSeBit и все участники согласились со мнением, что Jan Horn открыл шкатулку Пандоры, куда до этого никто не заглядывал под таким углом. Именно поэтому Microsoft и Intel анонсировали огромные bug bounty программы под это. Пока мало технических деталей по новым уязвимостям, но они уже обнаружены это факт! https://thehackernews.com/2018/05/intel-spectre-vulnerability.html

Microsoft выпустила инструкцию для разработчиков по speculative execution. На тему того, как избегать подобного рода уязвимости в программах на С++ https://docs.microsoft.com/en-us/cpp/security/developer-guidance-speculative-execution

Интересный кейнот Andrew "bunnie" Huang https://www.youtube.com/watch?v=fq2a0JHdzs4 со вчерашней конфереции Teardown. Он анаонсировал борду позволяющую моделировать различные атаки на уровне видео сигналов, а так же например фильтровать рекламу на уровне передачи видео потока или деобфусцировать его на лету в случае кабельного телевидения https://www.crowdsupply.com/alphamax/netv2

Спустя несколько дней с того момента, как началось обсуждение очередной архитектурной уязвимости для универсального повышения привилегий пользователя на железе от Intel. Где непривилегированный пользователь может контролировать #DB handler из user-mode и тем самым выполнить неподписанный код в контексте kernel-mode (CVE-2018-8897 aka POP SS уязвимость найдена Nick Peterson). Так вот сегодня вышел первый PoC exploit для MS Win https://github.com/can1357/CVE-2018-8897