Роскомнадзор оштрафует Яндекс за утечку персональных данных.
По протоколу компании грозит штраф в размере от 60 тысяч до 100 тысяч рублей. То есть максимум 100 000 рублей.
Ну и зачем тратить огромные деньги на защиту данных пользователей, когда можно заплатить 100 000 после утечки данных и продолжать монополизировать рынок?
@NeKaspersky
По протоколу компании грозит штраф в размере от 60 тысяч до 100 тысяч рублей. То есть максимум 100 000 рублей.
Ну и зачем тратить огромные деньги на защиту данных пользователей, когда можно заплатить 100 000 после утечки данных и продолжать монополизировать рынок?
@NeKaspersky
👍24😁16🤮8💩6
Нашли малварь для macOS, используемую apt-группировкой Storm Cloud
Событие интересно хотя бы потому, что обнаружение подобной кастомной малвари случается сравнительно редко: ее авторы не очень хотят, чтобы заражение можно было определить по следам, оставляемым вредоносом во время работы, и активно их подтирают. Конкретно этот сэмпл был выгружен исследователями Volexity из оперативки скомпрометированного MacBook Pro под управлением macOS 11.6 (Big Sur) и использовался в ходе кампании по кибершпионажу в конце 2021 года.
Итак, обнаруженный вредонос, получивший название GIMMICK, является мультиплатформенной малварью и написан на Objective C в случае версии для macOS и .NET и Delphi в случае Windows. Обе версии используют одну и ту же архитектуру C2, пути к файлам, ведут себя сильно похожим образом и пользуется сервисами Google Drive, поэтому, несмотря на различия в коде, их объединили под именем одной тулзы.
GIMMICK запускается либо самим пользователем, либо как демон в системе и инстоллится как бинарник с именем PLIST. Затем он выполняет несколько шагов декодирования собственных данных, и коннектится к гуглодиску, используя хардкоднутые креденшлы OAuth2.
После инициализации GIMMICK загружает три вредоносных компонента:
Вредонос умеет примерно следующее:
• Возвращать инфу о хост-системе;
• Качать файлы на клиент/выгружать их оттуда;
• Запускать системные команды и возвращать их результат;
• Отстукиваться C2 о том, что вредонос еще жив;
• Обновлять содержимое гуглодиска раз в определенное время;
• Возвращать информацию о времени работы.
По словам исследователей, надежность GIMMICK обусловлена его асинхронной природой (т.е. вредонос способен выполнять несколько тасков одновременно). Более того, перенос подобного софта на macOS является нетривиальной задачей, что подчеркивает, что малварьмейкеры у Storm Cloud знают свое дело.
@NeKaspersky
Событие интересно хотя бы потому, что обнаружение подобной кастомной малвари случается сравнительно редко: ее авторы не очень хотят, чтобы заражение можно было определить по следам, оставляемым вредоносом во время работы, и активно их подтирают. Конкретно этот сэмпл был выгружен исследователями Volexity из оперативки скомпрометированного MacBook Pro под управлением macOS 11.6 (Big Sur) и использовался в ходе кампании по кибершпионажу в конце 2021 года.
Итак, обнаруженный вредонос, получивший название GIMMICK, является мультиплатформенной малварью и написан на Objective C в случае версии для macOS и .NET и Delphi в случае Windows. Обе версии используют одну и ту же архитектуру C2, пути к файлам, ведут себя сильно похожим образом и пользуется сервисами Google Drive, поэтому, несмотря на различия в коде, их объединили под именем одной тулзы.
GIMMICK запускается либо самим пользователем, либо как демон в системе и инстоллится как бинарник с именем PLIST. Затем он выполняет несколько шагов декодирования собственных данных, и коннектится к гуглодиску, используя хардкоднутые креденшлы OAuth2.
После инициализации GIMMICK загружает три вредоносных компонента:
Drivemanager, FileManager и GCDTimerManager. Первый отвечает за связь с гуглодиском через прокси и загрузку/выгрузку файлов оттуда, а также сохраняет структуру его директорий в памяти; второй управляет локальным каталогом, где хранятся информация о C2 и список задач; третий осуществляет управление объектами GCD.Вредонос умеет примерно следующее:
• Возвращать инфу о хост-системе;
• Качать файлы на клиент/выгружать их оттуда;
• Запускать системные команды и возвращать их результат;
• Отстукиваться C2 о том, что вредонос еще жив;
• Обновлять содержимое гуглодиска раз в определенное время;
• Возвращать информацию о времени работы.
По словам исследователей, надежность GIMMICK обусловлена его асинхронной природой (т.е. вредонос способен выполнять несколько тасков одновременно). Более того, перенос подобного софта на macOS является нетривиальной задачей, что подчеркивает, что малварьмейкеры у Storm Cloud знают свое дело.
@NeKaspersky
👍10
Бенчмарки, которые мы заслужили: исследователи проверили, какая рансомварь шифрует быстрее
В эксперименте, проведенном компанией Splunk для определения возможности своевременно отреагировать на атаки, приняли участие 100 шифровальщиков (10 семейств по 10 сэмплов на семейство). Плюс каждый сэмпл тестировался на 4 хостах с различной производительностью под управлением win10/win server 2019. Перед каждым участником ставилась задача зашифровать 98,561 файл общим объемом ~53гб, в то время как их производительность оценивали с помощью нескольких различных инструментов: встроенного в винду журналирования, Windows Perfmon, Microsoft Sysmon, Zeek и Stoq.
Как оказалось, в среднем вредоносу нужно 42 минуты 52 секунды для шифрования всей машины, но некоторые образцы значительно отклонялись от этого значения. Заслуженные последние места получили Maze и PYSA, пыхтевшие над данными почти по 2 часа, в то время как LockBit справился за каких-то 5 минут 50 секунд, а сразу за ним финишировал Babuk, которому потребовалось 6.5 минут. Далее шли Avaddon (13:15), Ryuk (14:30), Revil (24:16), BlackMatter (43:03), Darkside (44:52) и Conti (59:34).
В итоге Splunk сделали из полученных данных следующие выводы: организациям следует переключить внимание с реагирования на инциденты на предотвращение заражения, поскольку среднее время обнаружения компрометации составляет три дня и позволяет даже самой медлительной рансомвари завершить процесс.
@NeKaspersky
В эксперименте, проведенном компанией Splunk для определения возможности своевременно отреагировать на атаки, приняли участие 100 шифровальщиков (10 семейств по 10 сэмплов на семейство). Плюс каждый сэмпл тестировался на 4 хостах с различной производительностью под управлением win10/win server 2019. Перед каждым участником ставилась задача зашифровать 98,561 файл общим объемом ~53гб, в то время как их производительность оценивали с помощью нескольких различных инструментов: встроенного в винду журналирования, Windows Perfmon, Microsoft Sysmon, Zeek и Stoq.
Как оказалось, в среднем вредоносу нужно 42 минуты 52 секунды для шифрования всей машины, но некоторые образцы значительно отклонялись от этого значения. Заслуженные последние места получили Maze и PYSA, пыхтевшие над данными почти по 2 часа, в то время как LockBit справился за каких-то 5 минут 50 секунд, а сразу за ним финишировал Babuk, которому потребовалось 6.5 минут. Далее шли Avaddon (13:15), Ryuk (14:30), Revil (24:16), BlackMatter (43:03), Darkside (44:52) и Conti (59:34).
В итоге Splunk сделали из полученных данных следующие выводы: организациям следует переключить внимание с реагирования на инциденты на предотвращение заражения, поскольку среднее время обнаружения компрометации составляет три дня и позволяет даже самой медлительной рансомвари завершить процесс.
@NeKaspersky
👍6😁6🔥1
Теперь вы поняли, почему кибербезопасность — это не только интересы кучки людей, окончивших МФТИ и МГТУ?
Теперь вы поняли, что хакеры — это не полумифические герои голливудского фильма фантастического жанра?
Это давно уже часть жизни всех. И утечка данных Яндекс.Еда, атака шифровальщиков на Мираторг, атака на Wildberries — звенья одной цепочки, как любят говорить сотрудники телеканала «Дождь».
Либо ты интересуешься кибербезопасностью, либо хакеры и утечки данных касаются тебя лично.
Теперь вы поняли, что хакеры — это не полумифические герои голливудского фильма фантастического жанра?
Это давно уже часть жизни всех. И утечка данных Яндекс.Еда, атака шифровальщиков на Мираторг, атака на Wildberries — звенья одной цепочки, как любят говорить сотрудники телеканала «Дождь».
Либо ты интересуешься кибербезопасностью, либо хакеры и утечки данных касаются тебя лично.
👍36🔥6
Теперь малварь распространяется через help-файлы
Если точнее, речь идет об одном из проприетарных форматов Microsoft, .chm (Compiled HTML Help) и инфостиллере Vidar. Последний способен тащить документы, cookie и историю браузеров (в том числе Tor), валюту из различных криптокошельков, данные по для 2FA и текстовые сообщения, делать скриншоты и отправлять в telegram операторов уведомления о ряде системных событий.
Как и многие другие, эта кампания полагается на фишинг для распространения малвари, но что отличает ее от других, так это текст сообщения, составленный, вероятно, за несколько минут до начала рассылки: "Важная информация. См. вложение". Окей, смотрим:
@NeKaspersky
Если точнее, речь идет об одном из проприетарных форматов Microsoft, .chm (Compiled HTML Help) и инфостиллере Vidar. Последний способен тащить документы, cookie и историю браузеров (в том числе Tor), валюту из различных криптокошельков, данные по для 2FA и текстовые сообщения, делать скриншоты и отправлять в telegram операторов уведомления о ряде системных событий.
Как и многие другие, эта кампания полагается на фишинг для распространения малвари, но что отличает ее от других, так это текст сообщения, составленный, вероятно, за несколько минут до начала рассылки: "Важная информация. См. вложение". Окей, смотрим:
request.doc, который на деле немного не .doc, а вполне себе .iso. Внутри этого контейнера лежит pss10r.chm, который на деле содержит несколько файлов. Один из них (PSSXMicrosoftSupportServices_HP05221271.htm) автоматически открывается с помощью mshta.exe благодаря находящейся в коде .chm html-ной кнопке. Запущенный таким образом файл уже может выполнять js и запускает следующий файл, на этот раз app.exe. Последний как раз является Vidar-ом, который обходит 2 прописанных в коде аккаунта Mastodon, ищет в их bio ссылки на C2, идет туда и по-быстрому выкачивает зависимости и конфиги.@NeKaspersky
👍7
Пять новых уязвимостей ставят под удар миллионы устройств Dell
Проблемы компьютеров теперь не только в их цене. Ведь в BIOS компьютеров компании Dell, таких как Alienware, Inspiron, XPS и Vostro, найдены целых 5 новых серьезных уязвимостей. В случае их удачной эксплуатации злоумышленники могут выполнять произвольный код на миллионах затронутых систем.
Целых 8,2 балла из 10 возможных по шкале CVSSv3.1 (открытый стандарт, используемый для расчета количественных оценок уязвимости в безопасности компьютерной системы) получили новые проблемы с безопасностью. Также им были присвоены идентификаторы: CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 и CVE-2022-24421. Абсолютно все пять проблем связаны с некорректной проверкой вводимых данных. Задействуется это из-за некорректной работы кодового модуля UsbRt. Другими словами, локальный злоумышленник может пройти проверку подлинности и использовать прерывание управления системой (SMI, после получения сигнала которого процессор сохраняет своё текущее состояние и запускает код SMM), для выполнения произвольного кода. Ранее мы уже сталкивались с похожей проблемой в UEFI-прошивке InsydeH2O.
Что за режим SMM, запускаемый после прерывания операции? Он является специальным режимом ЦП в микроконтроллерах x86, который предназначен для обработки общесистемных функций, таких как управление питанием, контроль системного оборудования, мониторинг температуры и т.д. Не стоит также забывать и том, что SMM-код выполняется с самыми высокими привилегиями (хороший такой бонус для внедрения вредоносного кода).
Как заявляют Binarly, активное использование всех обнаруженных уязвимостей не может быть обнаружено системами мониторинга целостности встроенного ПО из-за ограничений измерения Trusted Platform Module (TPM).
Поскольку данные проблемы встречаются чаще в устаревших компонентах, которым уделяется все меньше внимания системами обновления безопасности, компания Dell рекомендует своим пользователям как можно скорее обновиться. Но не все так просто, ведь на сегодняшний день компания Dell не может оказать тех. поддержку жителям России. Однако вряд ли это станет большой проблемой, ведь в теории и инстаграмом мы не можем пользоваться.
@NeKaspersky
Проблемы компьютеров теперь не только в их цене. Ведь в BIOS компьютеров компании Dell, таких как Alienware, Inspiron, XPS и Vostro, найдены целых 5 новых серьезных уязвимостей. В случае их удачной эксплуатации злоумышленники могут выполнять произвольный код на миллионах затронутых систем.
Целых 8,2 балла из 10 возможных по шкале CVSSv3.1 (открытый стандарт, используемый для расчета количественных оценок уязвимости в безопасности компьютерной системы) получили новые проблемы с безопасностью. Также им были присвоены идентификаторы: CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 и CVE-2022-24421. Абсолютно все пять проблем связаны с некорректной проверкой вводимых данных. Задействуется это из-за некорректной работы кодового модуля UsbRt. Другими словами, локальный злоумышленник может пройти проверку подлинности и использовать прерывание управления системой (SMI, после получения сигнала которого процессор сохраняет своё текущее состояние и запускает код SMM), для выполнения произвольного кода. Ранее мы уже сталкивались с похожей проблемой в UEFI-прошивке InsydeH2O.
Что за режим SMM, запускаемый после прерывания операции? Он является специальным режимом ЦП в микроконтроллерах x86, который предназначен для обработки общесистемных функций, таких как управление питанием, контроль системного оборудования, мониторинг температуры и т.д. Не стоит также забывать и том, что SMM-код выполняется с самыми высокими привилегиями (хороший такой бонус для внедрения вредоносного кода).
Как заявляют Binarly, активное использование всех обнаруженных уязвимостей не может быть обнаружено системами мониторинга целостности встроенного ПО из-за ограничений измерения Trusted Platform Module (TPM).
Поскольку данные проблемы встречаются чаще в устаревших компонентах, которым уделяется все меньше внимания системами обновления безопасности, компания Dell рекомендует своим пользователям как можно скорее обновиться. Но не все так просто, ведь на сегодняшний день компания Dell не может оказать тех. поддержку жителям России. Однако вряд ли это станет большой проблемой, ведь в теории и инстаграмом мы не можем пользоваться.
@NeKaspersky
😱6👍2
Снова RAT, снова из поднебесной
По словам исследователей ESET, Китайская APT-группировка «Mustang Panda» расширила свой арсенал вредоносного ПО условно новым вредоносом «Hodur». Этот троян используется в текущей кибершпионской кампании, нацеленной на дипломатов, исследовательские организации и интернет–провайдеров. Цели атак чаще всего базируются в основном в Восточной и Юго-Восточной Азии, но время от времени встречаются жертвы в Европе (Греция, Кипр, Россия) и Африке (Южная Африка, Южный Судан).
Фактически, Hodur является модифицированным PlugX/Korplug и имеет стандартный джентльменский набор RAT-а: может работать как бэкдор, быть кейлоггером, выполнять различные действия с файловой системой, фингерпринтить зараженные девайсы и т.д. Он также сильно похож на другие варианты Korplug (например, на Тора 2020 года рождения), но умеет чуть больше.
По словам исследователей, для заражения злоумышленники предпочитают пользоваться фишингом или watering hole-атаками («чтобы хакнуть жертву, хакни ресурс, который она часто посещает»). В случае фишинга могут отправляться «документы»-приманки на злободневные темы, вроде вовсе не подозрительного
Однако Hodur не является каким-то супероружием в арсенале Mustang Panda: помимо него эта группировка использует Cobalt Strike и Poison Ivy. Что действительно интересно, так это то, как злоумышленники прячутся от безопасников: по словам ESET, в этой кампании используются в общей сложности 44 метода MITRE ATT&CK 13 из которых применяются запутывания следов. Например, каталоги, создаваемые в процессе установки, помечаются как скрытые системные, а имена их самих и их содержимого соответствуют ожидаемым вполне для легитимного софта. Более того, создаваемые в планировщике задачи, которые используются для сохранения присутствия в системе, выглядят столь же нормально.
@NeKaspersky
По словам исследователей ESET, Китайская APT-группировка «Mustang Panda» расширила свой арсенал вредоносного ПО условно новым вредоносом «Hodur». Этот троян используется в текущей кибершпионской кампании, нацеленной на дипломатов, исследовательские организации и интернет–провайдеров. Цели атак чаще всего базируются в основном в Восточной и Юго-Восточной Азии, но время от времени встречаются жертвы в Европе (Греция, Кипр, Россия) и Африке (Южная Африка, Южный Судан).
Фактически, Hodur является модифицированным PlugX/Korplug и имеет стандартный джентльменский набор RAT-а: может работать как бэкдор, быть кейлоггером, выполнять различные действия с файловой системой, фингерпринтить зараженные девайсы и т.д. Он также сильно похож на другие варианты Korplug (например, на Тора 2020 года рождения), но умеет чуть больше.
По словам исследователей, для заражения злоумышленники предпочитают пользоваться фишингом или watering hole-атаками («чтобы хакнуть жертву, хакни ресурс, который она часто посещает»). В случае фишинга могут отправляться «документы»-приманки на злободневные темы, вроде вовсе не подозрительного
Ситуация на границах ЕС с Украиной.exe или чего-то на тему ввода ограничений на поездки в связи с COVID-19. Если цель попадается на удочку, на ее машину ставится легитимный, правильно подписанный исполняемый файл, уязвимый для DLL hijacking, вредоносная DLL и сам Hodur в зашифрованном виде (иными словами, софтина в данном случае используется в качестве загрузчика для вредоноса).Однако Hodur не является каким-то супероружием в арсенале Mustang Panda: помимо него эта группировка использует Cobalt Strike и Poison Ivy. Что действительно интересно, так это то, как злоумышленники прячутся от безопасников: по словам ESET, в этой кампании используются в общей сложности 44 метода MITRE ATT&CK 13 из которых применяются запутывания следов. Например, каталоги, создаваемые в процессе установки, помечаются как скрытые системные, а имена их самих и их содержимого соответствуют ожидаемым вполне для легитимного софта. Более того, создаваемые в планировщике задачи, которые используются для сохранения присутствия в системе, выглядят столь же нормально.
@NeKaspersky
👍5🔥3
Lapsus$, похоже, все
Недавно Bloomberg сообщали, что главарем группировки вполне мог быть семнадцатилетний подросток, известный под, например, никами White и Oklaqq и живущий в доме предков недалеко от Оксфорда, а уже через несколько часов произошел арест семи предполагаемых членов банды возрастом от 16 до 21 года. Личности подозреваемых, ожидаемо, не раскрывают в силу их юного возраста (кроме White, предполагаемого лидера, которого задоксили ранее), но говорят, что на время расследования все находятся под домашним арестом. Скорее всего, однако, задержали не всех подозреваемых: федералы сообщали Bloomberg, что есть еще как минимум один подросток в Бразилии.
В кратце, ребят, вероятно, выследели из-за весьма посредственного OPSEC-а, что и позволило правоохранителям следить за активностью Ляпсусов. За примерами далеко ходить не надо: есть вот такой твит, в котором указывают, что члены группировки во всю хвастались нахождением в сетях Microsoft в момент, когда данные, судя по времени изменения, еще качались.
Что касается White, его задоксили после того, как он купил doxbin, показал себя ужасным администратором, и в конце концов продал ресурс обратно его предыдущему владельцу, предварительно слив в сеть БД пользователей. Пользователям это, ожидаемо, не понравилось, и те накопали на неудавшегося админа порядочно информации, включая данные о его хакерской активности, участии в группировке Lapsus$ и даже видео, сделанное в окрестностях его дома в Британии.
@NeKaspersky
Недавно Bloomberg сообщали, что главарем группировки вполне мог быть семнадцатилетний подросток, известный под, например, никами White и Oklaqq и живущий в доме предков недалеко от Оксфорда, а уже через несколько часов произошел арест семи предполагаемых членов банды возрастом от 16 до 21 года. Личности подозреваемых, ожидаемо, не раскрывают в силу их юного возраста (кроме White, предполагаемого лидера, которого задоксили ранее), но говорят, что на время расследования все находятся под домашним арестом. Скорее всего, однако, задержали не всех подозреваемых: федералы сообщали Bloomberg, что есть еще как минимум один подросток в Бразилии.
В кратце, ребят, вероятно, выследели из-за весьма посредственного OPSEC-а, что и позволило правоохранителям следить за активностью Ляпсусов. За примерами далеко ходить не надо: есть вот такой твит, в котором указывают, что члены группировки во всю хвастались нахождением в сетях Microsoft в момент, когда данные, судя по времени изменения, еще качались.
Что касается White, его задоксили после того, как он купил doxbin, показал себя ужасным администратором, и в конце концов продал ресурс обратно его предыдущему владельцу, предварительно слив в сеть БД пользователей. Пользователям это, ожидаемо, не понравилось, и те накопали на неудавшегося админа порядочно информации, включая данные о его хакерской активности, участии в группировке Lapsus$ и даже видео, сделанное в окрестностях его дома в Британии.
@NeKaspersky
👍14😁1
Министр Цифры Максут Шадаев объяснил, как и для кого будут работать новые льготы.
• Льготную ипотеку под 5% смогут получить IT-специалисты от 22 до 40 лет с доходом от 200к рублей в месяц в городах миллионниках и от 150 000 в регионах.
Объясняем на языке реальности: льготную ипотеку под 5% смогут получить айтишники в Москве и Санкт-Петербурге. Города-миллионники, такие как Новосибирск, Казань, Екатеринбург и другие не могут похвастаться зарплатами от 200к для айтишников. Можете посмотреть статистику по зп. Как раз в этих городах более вероятной цифрой для большинства будет 150к.
• Отсрочку от армии могут дать сотрудникам IT-компаний, получивших аккредитацию. Но работать в аккредитованной IT-компании недостаточно. Нужно иметь профильное IT-образование. Если отучились на курсах Яндекса или в школе 21, маловероятно, что вам дадут отсрочку.
Если вы работаете в IT, пишите свои истории на аккаунт админа. Расскажите, какая у вас зп, помогут ли вам новые льготы и собираетесь ли вы уехать из страны. Анонимность гарантируем.
@NeKaspersky
• Льготную ипотеку под 5% смогут получить IT-специалисты от 22 до 40 лет с доходом от 200к рублей в месяц в городах миллионниках и от 150 000 в регионах.
Объясняем на языке реальности: льготную ипотеку под 5% смогут получить айтишники в Москве и Санкт-Петербурге. Города-миллионники, такие как Новосибирск, Казань, Екатеринбург и другие не могут похвастаться зарплатами от 200к для айтишников. Можете посмотреть статистику по зп. Как раз в этих городах более вероятной цифрой для большинства будет 150к.
• Отсрочку от армии могут дать сотрудникам IT-компаний, получивших аккредитацию. Но работать в аккредитованной IT-компании недостаточно. Нужно иметь профильное IT-образование. Если отучились на курсах Яндекса или в школе 21, маловероятно, что вам дадут отсрочку.
Если вы работаете в IT, пишите свои истории на аккаунт админа. Расскажите, какая у вас зп, помогут ли вам новые льготы и собираетесь ли вы уехать из страны. Анонимность гарантируем.
@NeKaspersky
💩15👍7😁6
Как стать Анонимусом
В связи с недавним «хаком» Центробанка от очередных анонимусов ловите небольшой спешл: давайте повторим за ними и добьемся похожего результата за 3 простых шага:
1. Ставим нужную библиотеку (хакать будем с помощью duckduckgo):
3. Поздравляем, вы теперь Анонимус!
Для тех, кто в последние несколько дней был вдали от новостей: анонимусы снова раздувают панику. На этот раз под видом взлома опубликовали кучу общедоступных документов. Как видно из кода, подобное может сделать каждый, используя банальный поисковик и немного питона:
@NeKaspersky
В связи с недавним «хаком» Центробанка от очередных анонимусов ловите небольшой спешл: давайте повторим за ними и добьемся похожего результата за 3 простых шага:
1. Ставим нужную библиотеку (хакать будем с помощью duckduckgo):
pip install -U duckduckgo_search
2. Пишем немного кода3. Поздравляем, вы теперь Анонимус!
Для тех, кто в последние несколько дней был вдали от новостей: анонимусы снова раздувают панику. На этот раз под видом взлома опубликовали кучу общедоступных документов. Как видно из кода, подобное может сделать каждый, используя банальный поисковик и немного питона:
get_links ищет общедоступные файлы, лежащие на сайте центробанка, в duckduckgo, download_docs выкачивает данные по ссылкам в папку, archive_docs закидывает их в архив для увеличения степени хакерности. @NeKaspersky
😁25👍5
Positive Technologies в санкционном списке, Лаборатория Касперского в списке угроз нацбезопасности, Group IB каким-то чудным образом избежала этих участей. Вопрос — почему — риторический.
Накануне Федеральная комиссия США по связи включила «Лабораторию Касперского» и все ее дочерние, аффилированные предприятия в список компаний, чья продукция представляет угрозу национальной безопасности.
В Америке компания Касперского не занимала большую долю рынка в последние годы. Но под описанную формулировку попадают антивирусные движки и фиды Threat Intelligence, которые ЛК много кому поставляла. Вероятно, это решение подпортит бизнес ЛК в Европе.
В компании уже дали комментарий и сказали, что разочарованы решением FCC. «Это решение основано не на технической оценке продуктов, а было принято по политическим мотивам», — считают в Лаборатории Касперского.
Бонусом — программу Bug Bounty ЛК убрали с HackerOne.
@NeKaspersky
Накануне Федеральная комиссия США по связи включила «Лабораторию Касперского» и все ее дочерние, аффилированные предприятия в список компаний, чья продукция представляет угрозу национальной безопасности.
В Америке компания Касперского не занимала большую долю рынка в последние годы. Но под описанную формулировку попадают антивирусные движки и фиды Threat Intelligence, которые ЛК много кому поставляла. Вероятно, это решение подпортит бизнес ЛК в Европе.
В компании уже дали комментарий и сказали, что разочарованы решением FCC. «Это решение основано не на технической оценке продуктов, а было принято по политическим мотивам», — считают в Лаборатории Касперского.
Бонусом — программу Bug Bounty ЛК убрали с HackerOne.
@NeKaspersky
www.fcc.gov
FCC Expands List of Equipment and Services That Pose Security Threat
Adds AO Kaspersky Lab, China Telecom (Americas) Corp, and China Mobile International USA Inc
👍4
Почему не стоит пользоваться bug bounty от Apple
Сегодня на Хабре [@]agent_0007 опубликовал занятную статью, в которой рассказал про опыт своего общения с Apple при попытке зарепортить баг и получить за него заслуженную денежку.
Если вкратце, у компании есть Apple Developer Program, платная апишка, с которой за $100 в год можно тащить различную инфу, полезную при разработке музыкальных сервисов (треки/альбомы/чарты/жанры/исполнители/т.п.). Автор поста решил постучаться на эту апишку с различными заведомо невалидными токенами... и в итоге обнаружил, что сервис по большому счету не проверяет сам токен, но интересуется только его длиной.
Далее agent_0007 решает зарепортить баг (за обход авторизации все-таки обещают немало) и обнаруживает, что компания принимает подобные отчеты исключительно на почту и не очень-то хочет иметь дело с платформами, вроде HackerOne. Некоторое время спустя, после отправки соответствующего письма и уточнения некоторых деталей, приходит просьба проверить, что их фикс работает. Далее спрашивают, как отметить Агента в бюллетене безопасности, и говорят, что ЕСЛИ решат заплатить, то уведомят об этом позднее. Позднее все никак не наступает, зато через месяц заканчивается терпение автора поста, и он интересуется, будут ли вообще ему платить... На что Apple тактично отвечает, что не могут воспроизвести баг. Да, именно тот, который сами же пофиксили.
Опыт, надо сказать, не из приятных, но еще хуже то, что такое поведение можно считать чуть ли не классическим для компании: в сегодняшнем посте есть ссылка на другой, от 24 сентября 2021, и у его автора возникли такие же проблемы, несмотря на то, что зарепорченные уязвимости были гораздо серьезнее. Более того, в нем отмечается, что и это далеко не первый случай.
@NeKaspersky
Сегодня на Хабре [@]agent_0007 опубликовал занятную статью, в которой рассказал про опыт своего общения с Apple при попытке зарепортить баг и получить за него заслуженную денежку.
Если вкратце, у компании есть Apple Developer Program, платная апишка, с которой за $100 в год можно тащить различную инфу, полезную при разработке музыкальных сервисов (треки/альбомы/чарты/жанры/исполнители/т.п.). Автор поста решил постучаться на эту апишку с различными заведомо невалидными токенами... и в итоге обнаружил, что сервис по большому счету не проверяет сам токен, но интересуется только его длиной.
Далее agent_0007 решает зарепортить баг (за обход авторизации все-таки обещают немало) и обнаруживает, что компания принимает подобные отчеты исключительно на почту и не очень-то хочет иметь дело с платформами, вроде HackerOne. Некоторое время спустя, после отправки соответствующего письма и уточнения некоторых деталей, приходит просьба проверить, что их фикс работает. Далее спрашивают, как отметить Агента в бюллетене безопасности, и говорят, что ЕСЛИ решат заплатить, то уведомят об этом позднее. Позднее все никак не наступает, зато через месяц заканчивается терпение автора поста, и он интересуется, будут ли вообще ему платить... На что Apple тактично отвечает, что не могут воспроизвести баг. Да, именно тот, который сами же пофиксили.
Опыт, надо сказать, не из приятных, но еще хуже то, что такое поведение можно считать чуть ли не классическим для компании: в сегодняшнем посте есть ссылка на другой, от 24 сентября 2021, и у его автора возникли такие же проблемы, несмотря на то, что зарепорченные уязвимости были гораздо серьезнее. Более того, в нем отмечается, что и это далеко не первый случай.
@NeKaspersky
👎18💩14👍4😁1
В новом Chrome 99.0.4844.84 Google устранили 0day, уже используемый злоумышленниками
Эта версия уже доступна в канале Stable Desktop, но, по словам Google, может пройти несколько недель, прежде чем апдейты придут всем пользователям.
Детали самого бага пока не разглашаются, но есть информация, что CVE-2022-1096 (о которой идет речь), представляет собой уязвимость типа «type confusion» — память выделяется под один тип данных, но доступ к ней осуществляется по указателю на другой несовместимый с ним тип — высокой степени опасности в JavaScript-движке хрома (V8). Баг зарепортил анонимный исследователь.
В то время как эксплуатация ошибок этого типа обычно приводит к сбоям в работе браузера, в определенных случаях она может вылиться в выполнение произвольного кода, что, вероятно, и произошло в этом случае. Подробностей эксплуатации тоже, конечно же, нет, поскольку компания будет ждать, пока обновится подавляющее большинство пользователей и проектов, где используются уязвимые версии движка.
@NeKaspersky
Эта версия уже доступна в канале Stable Desktop, но, по словам Google, может пройти несколько недель, прежде чем апдейты придут всем пользователям.
Детали самого бага пока не разглашаются, но есть информация, что CVE-2022-1096 (о которой идет речь), представляет собой уязвимость типа «type confusion» — память выделяется под один тип данных, но доступ к ней осуществляется по указателю на другой несовместимый с ним тип — высокой степени опасности в JavaScript-движке хрома (V8). Баг зарепортил анонимный исследователь.
В то время как эксплуатация ошибок этого типа обычно приводит к сбоям в работе браузера, в определенных случаях она может вылиться в выполнение произвольного кода, что, вероятно, и произошло в этом случае. Подробностей эксплуатации тоже, конечно же, нет, поскольку компания будет ждать, пока обновится подавляющее большинство пользователей и проектов, где используются уязвимые версии движка.
@NeKaspersky
👍1😱1
Media is too big
VIEW IN TELEGRAM
Российские электромобили под брендом Evolute будут производить в Липецке.
5 электромобилей — седан, минивэн и три кроссовера — будут созданы в партнёрстве с китайским машиностроительным концерном Sokon Group.
«Моторинвест» вложит в проект 13 млрд рублей.
А что там с Кама-1 от КАМАЗа?
5 электромобилей — седан, минивэн и три кроссовера — будут созданы в партнёрстве с китайским машиностроительным концерном Sokon Group.
«Моторинвест» вложит в проект 13 млрд рублей.
А что там с Кама-1 от КАМАЗа?
👍13🤮4😱1
Иностранных разработчиков лишат сертификатов, если они не смогут гарантировать техподдержку в России.
ФСТЭК отзовёт более 50 продуктов иностранных компаний, которые приостановили деятельность в России, если от них не будет гарантий обеспечения техподдержки систем в течении 90 дней.
В список входят IBM, Microsoft, Oracle, SAP, Vmware, ESET, Trend Micro и др. К 25 марта отозвали уже 56 сертификатов.
Полностью солидарны в этом решении со ФСТЭК. Не можешь гарантировать техподдержку — не будет тебе сертификации. Ну а как можно доверять компаниям и верить в их соответствие требованиям информационной безопасности, если они не держат своего слова? Использовать продукты таких разработчиков на объектах КИИ и в ГИС будучи не уверенным в том, что уязвимости устраняются — опрометчиво.
SAP, например, уже сделала заявление о том, что будет поддерживать клиентов в рамках заключённых соглашений. Найти альтернативы продуктам VMware, IBM, Microsoft, Oracle тоже можно. Однако не без потерь в производительности и функционале.
Глупо поступают сейчас те IT-специалисты, которые уезжают из России. Такого шанса для получения инвестиций и создания своих продуктов у них больше не будет.
@NeKaspersky
ФСТЭК отзовёт более 50 продуктов иностранных компаний, которые приостановили деятельность в России, если от них не будет гарантий обеспечения техподдержки систем в течении 90 дней.
В список входят IBM, Microsoft, Oracle, SAP, Vmware, ESET, Trend Micro и др. К 25 марта отозвали уже 56 сертификатов.
Полностью солидарны в этом решении со ФСТЭК. Не можешь гарантировать техподдержку — не будет тебе сертификации. Ну а как можно доверять компаниям и верить в их соответствие требованиям информационной безопасности, если они не держат своего слова? Использовать продукты таких разработчиков на объектах КИИ и в ГИС будучи не уверенным в том, что уязвимости устраняются — опрометчиво.
SAP, например, уже сделала заявление о том, что будет поддерживать клиентов в рамках заключённых соглашений. Найти альтернативы продуктам VMware, IBM, Microsoft, Oracle тоже можно. Однако не без потерь в производительности и функционале.
Глупо поступают сейчас те IT-специалисты, которые уезжают из России. Такого шанса для получения инвестиций и создания своих продуктов у них больше не будет.
@NeKaspersky
🔥19👍9👎2😁2🤡1
Похоже, безлимитный интернет в шаге от того, чтобы оказаться в прошлом. Если так, то люди будут чаще пользоваться WiFi, меньше потреблять контент/меньше проводить времени в сети в то время, когда используют свой интернет. Это одновременно создаёт новые кибер-риски(уязвимости в роутерах и случаи взлома при помощи общественных WiFi) и одновременно снижает их.
@NeKaspersky
https://t.me/rbc_news/45798
@NeKaspersky
https://t.me/rbc_news/45798
Telegram
РБК
❗️Минцифры разослало мобильным операторам рекомендацию отказаться от безлимитных тарифов и сократить включенный интернет-трафик в пакетных предложениях. Это нужно для «надлежащего функционирования сетей и инфраструктуры связи в России, обеспечения равномерной…
👎17👍3💩3😁1🤮1
Врачи предлагали не рожать, но родители не послушали и назвали ребёнка «РоссГрам»
Сегодня был презентован «Россграм» — российский аналог Instagram от Александра Зобова, называющего себя однокурсником Павла Дурова.
Презентация стала провальной во всех смыслах: во-первых, не успев запуститься, социальная сеть допустила утечку данных пользователей, оставивших заявку на регистрацию до запуска; во-вторых, движок приложения, вероятно, был просто украден, он продаётся в готовом виде на Envato за $69; в третьих, изначально логотип был украден у Ютуб-стримера, но на презентации логотип уже поменялся и теперь напоминает лого Beats by dr.Dre.
Короче говоря, желания пользоваться приложением нет никакого. Да и доверия новому сервису с «инновационным» функционалом нет.
@NeKaspersky
Сегодня был презентован «Россграм» — российский аналог Instagram от Александра Зобова, называющего себя однокурсником Павла Дурова.
Презентация стала провальной во всех смыслах: во-первых, не успев запуститься, социальная сеть допустила утечку данных пользователей, оставивших заявку на регистрацию до запуска; во-вторых, движок приложения, вероятно, был просто украден, он продаётся в готовом виде на Envato за $69; в третьих, изначально логотип был украден у Ютуб-стримера, но на презентации логотип уже поменялся и теперь напоминает лого Beats by dr.Dre.
Короче говоря, желания пользоваться приложением нет никакого. Да и доверия новому сервису с «инновационным» функционалом нет.
@NeKaspersky
Telegram
Россграм - официальное сообщество
Дублируем видео с меньшим весом
💩39🤮17👍6
Росавиацию в субботу утром атаковали неизвестные хакеры. Инфраструктура авиавластей значительно пострадала. Все документы, почтовые сообщения и файлы на серверах канули в лету. Суммарно — 65 терабайтов данных.
Сотрудники прокуратуры и ФСБ со дня атаки работают и пьют чай в здании Росавиации. Предположительно свои обязательства недобросовестно выполнило ООО «ИнфАвиа».
Бэкапов у ведомства не нашлось, так как Минфин не выделил на это средства. Весь документооборот отныне производится в бумажном формате.
У «Почты России» снова есть работа. Акции целлюлозных заводов растут.
@NeKaspersky
Сотрудники прокуратуры и ФСБ со дня атаки работают и пьют чай в здании Росавиации. Предположительно свои обязательства недобросовестно выполнило ООО «ИнфАвиа».
Бэкапов у ведомства не нашлось, так как Минфин не выделил на это средства. Весь документооборот отныне производится в бумажном формате.
У «Почты России» снова есть работа. Акции целлюлозных заводов растут.
@NeKaspersky
😁24😱10💩10👍1