🪝 Массовая фишинговая рассылка в Telegram
Пользователи мессенджера Telegram столкнулись с массовыми попытками кражи их аккаунтов. Пользователи получают сообщения от своих контактов под видом того, что им отправили подарок - подписку на Telegram Premium. При переходе по ссылке пользователи переходят на бота, где им необходимо ввести код, который придет от Telegram.
При передаче этого кода боту злоумышленник получает доступ к учетной записи пользователя, после чего от его имени отправляются аналогичные сообщения своим контактам и тут же удаляются у владельца аккаунта, чтобы он ничего не заподозрил.
Что делать, если вы уже перешли по ссылке и отправили код:
🔹 Зайти в Настройки → Устройства → Завершить все другие сеансы
🔹 Включить двухэтапную аутентификацию
🗞 Блог Кодебай
#news #telegram #phishing
Пользователи мессенджера Telegram столкнулись с массовыми попытками кражи их аккаунтов. Пользователи получают сообщения от своих контактов под видом того, что им отправили подарок - подписку на Telegram Premium. При переходе по ссылке пользователи переходят на бота, где им необходимо ввести код, который придет от Telegram.
При передаче этого кода боту злоумышленник получает доступ к учетной записи пользователя, после чего от его имени отправляются аналогичные сообщения своим контактам и тут же удаляются у владельца аккаунта, чтобы он ничего не заподозрил.
Что делать, если вы уже перешли по ссылке и отправили код:
🔹 Зайти в Настройки → Устройства → Завершить все другие сеансы
🔹 Включить двухэтапную аутентификацию
🗞 Блог Кодебай
#news #telegram #phishing
👍8🤔3👎2🤯1👌1
Бизнесу просят разрешить использовать пиратское ПО
Специалисты Института развития предпринимательства и экономики обратились в Минцифры с предложением разрешить бизнесу в РФ использовать ПО без лицензии.
Речь идёт о создании законопроекта, который ввёл бы мораторий на уголовную и административную ответственность для тех, кому зарубежные разработчики отказались продлевать лицензию. Дело в том, что отказы от зарубежных производителей ПО уже появились, а переход на отечественные решения займет время.
Принятие инициативы, по мнению аналитиков института, позволит выиграть время для разработки собственного ПО. Сейчас за нелицензионное программное обеспечение предусмотрены крупные штрафы или до шести лет лишения свободы. Эксперты считают, что в этой ситуации логично ослабить регулирование, но не полностью легализовать использование нелицензионного ПО
🗞 Блог Кодебай
#news #russia #software
Специалисты Института развития предпринимательства и экономики обратились в Минцифры с предложением разрешить бизнесу в РФ использовать ПО без лицензии.
Речь идёт о создании законопроекта, который ввёл бы мораторий на уголовную и административную ответственность для тех, кому зарубежные разработчики отказались продлевать лицензию. Дело в том, что отказы от зарубежных производителей ПО уже появились, а переход на отечественные решения займет время.
Принятие инициативы, по мнению аналитиков института, позволит выиграть время для разработки собственного ПО. Сейчас за нелицензионное программное обеспечение предусмотрены крупные штрафы или до шести лет лишения свободы. Эксперты считают, что в этой ситуации логично ослабить регулирование, но не полностью легализовать использование нелицензионного ПО
🗞 Блог Кодебай
#news #russia #software
😁18👍5🔥4🤯3👏1
🔒 В Gmail добавлено шифрование на стороне клиента
Компания Google объявила о запуске бета-версии функции Client-Side Encryption (CSE) в Gmail для пользователей Google Workspace Enterprise, Education Standard и Education Plus, которая позволяет пользователям почты отправлять и получать зашифрованные электронные письма.
"Использование шифрования на стороне клиента в Gmail обеспечивает конфиденциальность данных в теле письма и вложениях, которые не поддаются расшифровке на серверах Google. Клиенты сохраняют контроль над ключами шифрования и службой аутентификации для доступа к этим ключам", - сообщает Google.
Шифрование Google Workspace на стороне клиента позволяет зашифровать содержимое в браузере пользователя до того, как данные будут переданы или сохранены в облачном хранилище.
Шифрование на стороне клиента позволяет шифровать и расшифровывать данные с помощью собственных криптографических ключей, которые генерируются и управляются облачной службой управления ключами. Эта служба имеет контроль над ключами и может отслеживать зашифрованные файлы пользователей или отменять доступ пользователя к ключам.
Пользователи могут подать заявку на участие в бета-тестировании до 20 января 2023 года. На данный момент CSE недоступно для личных аккаунтов Google.
🗞 Блог Кодебай
#news #google #encryption
Компания Google объявила о запуске бета-версии функции Client-Side Encryption (CSE) в Gmail для пользователей Google Workspace Enterprise, Education Standard и Education Plus, которая позволяет пользователям почты отправлять и получать зашифрованные электронные письма.
"Использование шифрования на стороне клиента в Gmail обеспечивает конфиденциальность данных в теле письма и вложениях, которые не поддаются расшифровке на серверах Google. Клиенты сохраняют контроль над ключами шифрования и службой аутентификации для доступа к этим ключам", - сообщает Google.
Шифрование Google Workspace на стороне клиента позволяет зашифровать содержимое в браузере пользователя до того, как данные будут переданы или сохранены в облачном хранилище.
Шифрование на стороне клиента позволяет шифровать и расшифровывать данные с помощью собственных криптографических ключей, которые генерируются и управляются облачной службой управления ключами. Эта служба имеет контроль над ключами и может отслеживать зашифрованные файлы пользователей или отменять доступ пользователя к ключам.
Пользователи могут подать заявку на участие в бета-тестировании до 20 января 2023 года. На данный момент CSE недоступно для личных аккаунтов Google.
🗞 Блог Кодебай
#news #google #encryption
👍8🔥2🤔1😍1
📜 Госдума приняла во II чтении законопроект о биометрии
Госдума приняла во втором чтении законопроект о единой биометрической системе (ЕБС). В обновлённом документе предложен запрет на обязательный сбор биометрических данных и запрет на дискриминацию тех, кто отказывается сдавать биометрию.
Также предлагается ограничить перечень биометрических данных (лицо, голос), предоставить возможность контролировать биометрические данные через портал "Госуслуги", запретить хранение геномной информации и не собирать биометрию детей без согласия родителей.
Ужесточаются и требования к операторам биометрической информации в региональном сегменте: теперь им может быть только гос. учреждение или ГУП, а не любой юр. лицо.
"Законопроект призван остановить распространение биометрических данных разными коммерческими организациями и обеспечить их государственную защиту. Следующим шагом станет введение уголовной и административной ответственности за принудительный сбор и утечку биометрических данных", - ранее отмечал Вячеслав Володин.
Законопроект ещё не вступил в силу. 21 декабря, законопроект будет рассмотрен в третьем чтении.
🗞 Блог Кодебай
#news #russia #biometric
Госдума приняла во втором чтении законопроект о единой биометрической системе (ЕБС). В обновлённом документе предложен запрет на обязательный сбор биометрических данных и запрет на дискриминацию тех, кто отказывается сдавать биометрию.
Также предлагается ограничить перечень биометрических данных (лицо, голос), предоставить возможность контролировать биометрические данные через портал "Госуслуги", запретить хранение геномной информации и не собирать биометрию детей без согласия родителей.
Ужесточаются и требования к операторам биометрической информации в региональном сегменте: теперь им может быть только гос. учреждение или ГУП, а не любой юр. лицо.
"Законопроект призван остановить распространение биометрических данных разными коммерческими организациями и обеспечить их государственную защиту. Следующим шагом станет введение уголовной и административной ответственности за принудительный сбор и утечку биометрических данных", - ранее отмечал Вячеслав Володин.
Законопроект ещё не вступил в силу. 21 декабря, законопроект будет рассмотрен в третьем чтении.
🗞 Блог Кодебай
#news #russia #biometric
👍16🤔6👎5🔥5
🔐 Сообщество TON запустило стандарт для безопасного входа без логинов и паролей
Сообщество TON запустило открытый стандарт для безопасного входа в интернет-сервисы без логинов и паролей - TON Connect 2.0, над которым работали все ключевые команды разработчиков кошельков TON.
Одним из главных отличий TON Connect 2.0 от первой версии является возможность прямого взаимодействия с децентрализованными приложениями на базе TON. Также TON Connect 2.0 позволяет проходить процедуру авторизации на онлайн-площадках в один клик, используя Web 3.0.
Теперь пользователи смогут подключаться к мобильным и настольным приложениям, ботам Telegram и другим dApps непосредственно через популярные TON-кошельки. Подключенные таким образом приложения сохраняются в браузере кошелька и становятся доступными прямо в приложении.
Стандарт уже внедрён в Tonkeeper, а остальные кошельки работают над его внедрением. Отмечается, что TON Connect 2.0 имеет все шансы стать общесетевым стандартом.
🗞 Блог Кодебай
#news #cryptocurrency #ton
Сообщество TON запустило открытый стандарт для безопасного входа в интернет-сервисы без логинов и паролей - TON Connect 2.0, над которым работали все ключевые команды разработчиков кошельков TON.
Одним из главных отличий TON Connect 2.0 от первой версии является возможность прямого взаимодействия с децентрализованными приложениями на базе TON. Также TON Connect 2.0 позволяет проходить процедуру авторизации на онлайн-площадках в один клик, используя Web 3.0.
Теперь пользователи смогут подключаться к мобильным и настольным приложениям, ботам Telegram и другим dApps непосредственно через популярные TON-кошельки. Подключенные таким образом приложения сохраняются в браузере кошелька и становятся доступными прямо в приложении.
Стандарт уже внедрён в Tonkeeper, а остальные кошельки работают над его внедрением. Отмечается, что TON Connect 2.0 имеет все шансы стать общесетевым стандартом.
🗞 Блог Кодебай
#news #cryptocurrency #ton
👍8🔥5🤯2
🤑 Яндекс увеличит награду за уязвимости в 2 раза
Яндекс увеличит награды за уязвимости, обнаруженные в сервисах и инфраструктуре компании в рамках программы "Охота за ошибками" в два раза. В 2023 году за обнаруженную ошибку можно будет получить до 1.5 млн рублей.
Также по некоторым направлениям будут проходить акции, сумма вознаграждения в которых будет в 10 раз выше, чем обычно.
Например, 10 января 2023 года буде запущен конкурс на месяц с увеличением выплат в 10 раз за наиболее критичные уязвимости по классам RCE и SQL-инъекции. Победители конкурса, которые сообщат об ошибках в этих классах по ссылке в период с 10 января по 9 февраля 2023 года включительно, получат денежное вознаграждение, увеличенное в десять раз.
🗞 Блог Кодебай
#news #bug #bounty
Яндекс увеличит награды за уязвимости, обнаруженные в сервисах и инфраструктуре компании в рамках программы "Охота за ошибками" в два раза. В 2023 году за обнаруженную ошибку можно будет получить до 1.5 млн рублей.
Также по некоторым направлениям будут проходить акции, сумма вознаграждения в которых будет в 10 раз выше, чем обычно.
Например, 10 января 2023 года буде запущен конкурс на месяц с увеличением выплат в 10 раз за наиболее критичные уязвимости по классам RCE и SQL-инъекции. Победители конкурса, которые сообщат об ошибках в этих классах по ссылке в период с 10 января по 9 февраля 2023 года включительно, получат денежное вознаграждение, увеличенное в десять раз.
🗞 Блог Кодебай
#news #bug #bounty
🔥17👍9👎3🤣2
🐧 В ядре Linux обнаружен критический баг
Специалисты из компании Thales Group обнаружили критическую уязвимость в модуле ksmbd ядра Linux, который был добавлен в версии 5.15. Ошибка получила идентификатор CVE-2022-47939 и 10 баллов по шкале CVSS.
ksmbd - это файловый сервер, основанный на протоколе SMB3 и являющийся простой альтернативой Samba. Он ориентирован на более высокую производительность и новые возможности.
Проблема заключалась в том, что ksmbd работает в самом ядре, а не в пространстве пользователя. Также выяснилось что уязвимость в ksmbd может привести к утечке памяти SMB-сервера, которая связана с отсутствием валидации существования объектов перед выполнением операций с ними.
Успешная эксплуатация уязвимости позволяет неаутентифицированному пользователю удаленно выполнить произвольный код. Раскрытие данных об этой уязвимости отложили почти на полгода, т.к. ждали выхода соответствующего исправления в силу высокой опасности бага.
Тем, кто использует ksmbd, рекомендуется обновить ядро Linux до версии 5.15.61 или более новой, в которой уязвимость уже устранена.
🗞 Блог Кодебай
#news #linux #vulnerability
Специалисты из компании Thales Group обнаружили критическую уязвимость в модуле ksmbd ядра Linux, который был добавлен в версии 5.15. Ошибка получила идентификатор CVE-2022-47939 и 10 баллов по шкале CVSS.
ksmbd - это файловый сервер, основанный на протоколе SMB3 и являющийся простой альтернативой Samba. Он ориентирован на более высокую производительность и новые возможности.
Проблема заключалась в том, что ksmbd работает в самом ядре, а не в пространстве пользователя. Также выяснилось что уязвимость в ksmbd может привести к утечке памяти SMB-сервера, которая связана с отсутствием валидации существования объектов перед выполнением операций с ними.
Успешная эксплуатация уязвимости позволяет неаутентифицированному пользователю удаленно выполнить произвольный код. Раскрытие данных об этой уязвимости отложили почти на полгода, т.к. ждали выхода соответствующего исправления в силу высокой опасности бага.
Тем, кто использует ksmbd, рекомендуется обновить ядро Linux до версии 5.15.61 или более новой, в которой уязвимость уже устранена.
🗞 Блог Кодебай
#news #linux #vulnerability
👍8🔥3🤔2🤯1
🪟 Windows стал доступен для скачивания в России
Компания Microsoft открыла доступ к установке Windows для пользователей из России. Страница загрузки ПО на сайте компании снова доступна без VPN. По мнению экспертов в области программного обеспечения, это значительно облегчит жизнь людям, которые ранее купили операционную систему и не могли ее скачать.
Версии Windows, доступные на торрент-трекерах, могут содержать вирусы. В то же время коробочные версии ОС по-прежнему поставляются на рынок путем параллельного импорта.
На данный момент без VPN можно установить как самую последнюю версию Windows 11 22H2, так и предыдущие - Windows 10, Windows 8.1 и Windows 7.
🗞 Блог Кодебай
#news #windows #software
Компания Microsoft открыла доступ к установке Windows для пользователей из России. Страница загрузки ПО на сайте компании снова доступна без VPN. По мнению экспертов в области программного обеспечения, это значительно облегчит жизнь людям, которые ранее купили операционную систему и не могли ее скачать.
Версии Windows, доступные на торрент-трекерах, могут содержать вирусы. В то же время коробочные версии ОС по-прежнему поставляются на рынок путем параллельного импорта.
На данный момент без VPN можно установить как самую последнюю версию Windows 11 22H2, так и предыдущие - Windows 10, Windows 8.1 и Windows 7.
🗞 Блог Кодебай
#news #windows #software
👍15👎7🔥5😁5🎉1
📱 Безопасный смартфон от Lenovo - ThinkPhone by Motorola
Компания Lenovo представила защищенный смартфон в новом семействе, ориентированном на пользователей ноутбуков ThinkPad - ThinkPhone by Motorola.
Устройство предназначено для корпоративных пользователей, которым важна безопасность. Смартфон имеет отдельный процессор Moto KeySafe для защиты определенных данных, уберегая их от несанкционированного доступа. Кроме того, приложение Moto Secure позволяет защитить настройки и информацию на смартфоне.
Дополнительную защиту обеспечивает платформа безопасности ThinkShield, а технология Think 2 Think позволяет легко подключать ThinkPhone к ноутбукам ThinkPad.
Ожидается, что ThinkPhone от Motorola поступит в продажу в начале этого года. Стоимость новинки пока не известна.
🗞 Блог Кодебай
#news #smartphone #security
Компания Lenovo представила защищенный смартфон в новом семействе, ориентированном на пользователей ноутбуков ThinkPad - ThinkPhone by Motorola.
Устройство предназначено для корпоративных пользователей, которым важна безопасность. Смартфон имеет отдельный процессор Moto KeySafe для защиты определенных данных, уберегая их от несанкционированного доступа. Кроме того, приложение Moto Secure позволяет защитить настройки и информацию на смартфоне.
Дополнительную защиту обеспечивает платформа безопасности ThinkShield, а технология Think 2 Think позволяет легко подключать ThinkPhone к ноутбукам ThinkPad.
Ожидается, что ThinkPhone от Motorola поступит в продажу в начале этого года. Стоимость новинки пока не известна.
🗞 Блог Кодебай
#news #smartphone #security
👍15🤣12🔥3👎1
Раскрыты подробности уязвимости браузеров Chromium
Были раскрыты детали уязвимости CVE-2022-3656, недавно обнаруженной командой Imperva Red Team. Уязвимость затрагивает более 2,5 миллиардов пользователей браузеров Google Chrome и браузеров на базе Chromium. При успешной эксплуатации злоумышленник может получить доступ к конфиденциальным файлам.
Браузеры взаимодействуют символическими ссылками, которые позволяют работать с файлами ОС. Но если символические ссылки не проверяются браузером должным образом, то возникает уязвимость, как в данном случае.
Исследователи изучили браузерные функции Drop Event и FIle Input, а также API для доступа к файловой системе. Было обнаружено, что при перетаскивании файла или папки в форму ввода на сайте, они обрабатываются по разному и являются основной причиной ошибки.
Ошибка полностью исправлена в Google Chrome 108. Рекомендуем обновиться как можно скорее.
🗞 Блог Кодебай
#news #browser #vulnerability
Были раскрыты детали уязвимости CVE-2022-3656, недавно обнаруженной командой Imperva Red Team. Уязвимость затрагивает более 2,5 миллиардов пользователей браузеров Google Chrome и браузеров на базе Chromium. При успешной эксплуатации злоумышленник может получить доступ к конфиденциальным файлам.
Браузеры взаимодействуют символическими ссылками, которые позволяют работать с файлами ОС. Но если символические ссылки не проверяются браузером должным образом, то возникает уязвимость, как в данном случае.
Исследователи изучили браузерные функции Drop Event и FIle Input, а также API для доступа к файловой системе. Было обнаружено, что при перетаскивании файла или папки в форму ввода на сайте, они обрабатываются по разному и являются основной причиной ошибки.
Ошибка полностью исправлена в Google Chrome 108. Рекомендуем обновиться как можно скорее.
🗞 Блог Кодебай
#news #browser #vulnerability
👍11🔥3🤯2👏1
📬 Mail.ru подтвердила утечку данных клиентов сервиса
Часть данных клиентов почтового сервиса Mail.ru попала в Интернет. Сообщается, что инцидент связан с утечкой данных стороннего сервиса в начале 2022 года.
"Пользователям Почты ничего не угрожает, сервис надежно защищен. Результаты проверки показали, что опубликованные данные связаны с утечкой стороннего сервиса в начале прошлого года. Специалисты дополнительно проводят тщательную проверку", - сообщили в компании
В открытый доступ попали почти 3,5 миллиона записей, содержащих ID, адреса электронной почты на доменах mail.ru, bk.ru, inbox.ru, номера телефонов, имена и фамилии, а также логины.
Роскомнадзор проверит информацию о возможной утечке персональных данных клиентов Mail.ru. В соответствии с законодательством, оператор должен будет уведомить надзорное ведомство о случившемся в течение 24 часов с момента инцидента.
🗞 Блог Кодебай
#news #mail #data
Часть данных клиентов почтового сервиса Mail.ru попала в Интернет. Сообщается, что инцидент связан с утечкой данных стороннего сервиса в начале 2022 года.
"Пользователям Почты ничего не угрожает, сервис надежно защищен. Результаты проверки показали, что опубликованные данные связаны с утечкой стороннего сервиса в начале прошлого года. Специалисты дополнительно проводят тщательную проверку", - сообщили в компании
В открытый доступ попали почти 3,5 миллиона записей, содержащих ID, адреса электронной почты на доменах mail.ru, bk.ru, inbox.ru, номера телефонов, имена и фамилии, а также логины.
Роскомнадзор проверит информацию о возможной утечке персональных данных клиентов Mail.ru. В соответствии с законодательством, оператор должен будет уведомить надзорное ведомство о случившемся в течение 24 часов с момента инцидента.
🗞 Блог Кодебай
#news #mail #data
👍7😁4🤯3🔥1🥴1
🔊 Яндекс рассказал о скандальной утечке: колонку "Алиса" не прослушивают
Яндекс опубликовал первые результаты внутреннего расследования утечки фрагментов кода некоторых своих сервисов.
Опубликованные фрагменты действительно были взяты из внутреннего репозитория компании - инструмента, используемого разработчиками для работы с кодом. Уточняется, что содержимое архива соответствует устаревшей версии репозитория.
Репозиторий использовался только для бета-версии голосового помощника, а участвовать в бета-версии могут только сотрудники "Яндекса". На смарт-колонках с "Алисой", которые тестировали сотрудники, была установлена специальная настройка, поэтому в записи диалогов попали неуместные высказывания.
"Наша работа строится на принципах честности и прозрачности. Мы исходим из того, что любой внутренний диалог, документ или исходный код при определённых обстоятельствах может стать публичным. И если это случится, нам не должно быть стыдно", - гласит один из принципов компании
🗞 Блог Кодебай
#news #yandex #data
Яндекс опубликовал первые результаты внутреннего расследования утечки фрагментов кода некоторых своих сервисов.
Опубликованные фрагменты действительно были взяты из внутреннего репозитория компании - инструмента, используемого разработчиками для работы с кодом. Уточняется, что содержимое архива соответствует устаревшей версии репозитория.
Репозиторий использовался только для бета-версии голосового помощника, а участвовать в бета-версии могут только сотрудники "Яндекса". На смарт-колонках с "Алисой", которые тестировали сотрудники, была установлена специальная настройка, поэтому в записи диалогов попали неуместные высказывания.
"Наша работа строится на принципах честности и прозрачности. Мы исходим из того, что любой внутренний диалог, документ или исходный код при определённых обстоятельствах может стать публичным. И если это случится, нам не должно быть стыдно", - гласит один из принципов компании
🗞 Блог Кодебай
#news #yandex #data
🤣30👍5😱3🔥1
🎮 Вредоносные моды для Dota 2 обнаружены в магазине Steam
Специалисты из компании Avast Threat Labs выявили четыре вредоносных мода для игры Dota 2, которые размещены в онлайн-магазине игр Steam.
"Обнаруженные вредоносные моды размещены под именами Overdog no annoying heroes (id 2776998052), Custom Hero Brawl (id 2780728794) и Overthrow RTZ Edition X10 XP (id 2780559339)", - сообщают эксперты.
Злоумышленники используют вредоносные модификации для установки бэкдора на компьютеры геймеров. Вредоносная составляющая позволяет логгировать действия пользователя, удалённо выполнять произвольные команды, устанавливать дополнительные программы и посылать HTTP-запросы.
Чтобы защититься от этой угрозы рекомендуем быть осторожным при установке модов.
🗞 Блог Кодебай
#news #malware #game
Специалисты из компании Avast Threat Labs выявили четыре вредоносных мода для игры Dota 2, которые размещены в онлайн-магазине игр Steam.
"Обнаруженные вредоносные моды размещены под именами Overdog no annoying heroes (id 2776998052), Custom Hero Brawl (id 2780728794) и Overthrow RTZ Edition X10 XP (id 2780559339)", - сообщают эксперты.
Злоумышленники используют вредоносные модификации для установки бэкдора на компьютеры геймеров. Вредоносная составляющая позволяет логгировать действия пользователя, удалённо выполнять произвольные команды, устанавливать дополнительные программы и посылать HTTP-запросы.
Чтобы защититься от этой угрозы рекомендуем быть осторожным при установке модов.
🗞 Блог Кодебай
#news #malware #game
🔥16😁6👍5❤1
👨💻 Минцифры запускает багбаунти
Минцифры запустил проект по поиску уязвимостей на Госуслугах. Программа будет проходить в несколько этапов. На первом этапе планируется проверить портал Госуслуг и Единую систему идентификации и аутентификации (ЕСИА). На последующих этапах будет расширен список ресурсов и обновлены условия.
Исследователи смогут принять участие, зарегистрировавшись на одной из двух платформ: BI.ZONE или Standoff 365. После регистрации им будет необходимо ознакомиться и согласиться с условиями программы, найти уязвимость в соответствии с правилами и отправить информацию о ней через платформу.
Вознаграждение за найденную уязвимость зависит от степени её серьёзности:
🔹 низкая - подарки с символикой проекта
🔹 средняя - до 50 тыс. рублей
🔹 высокая - от 50 до 200 тыс. рублей
🔹 критическая - до 1 млн. рублей и благодарность от команды Минцифры.
🗞 Блог Кодебай
#news #bounty
Минцифры запустил проект по поиску уязвимостей на Госуслугах. Программа будет проходить в несколько этапов. На первом этапе планируется проверить портал Госуслуг и Единую систему идентификации и аутентификации (ЕСИА). На последующих этапах будет расширен список ресурсов и обновлены условия.
Исследователи смогут принять участие, зарегистрировавшись на одной из двух платформ: BI.ZONE или Standoff 365. После регистрации им будет необходимо ознакомиться и согласиться с условиями программы, найти уязвимость в соответствии с правилами и отправить информацию о ней через платформу.
Вознаграждение за найденную уязвимость зависит от степени её серьёзности:
🔹 низкая - подарки с символикой проекта
🔹 средняя - до 50 тыс. рублей
🔹 высокая - от 50 до 200 тыс. рублей
🔹 критическая - до 1 млн. рублей и благодарность от команды Минцифры.
🗞 Блог Кодебай
#news #bounty
👍21👎5🔥5😁4🤔3🥴2
🟣 Offensive Security выпустила Kali Purple - новый дистрибутив для Blue и Purple team
Компания Offensive Security выпустила первый релиз Kali Linux в 2023 году под номером 2023.1. В честь 10-летия проекта был создан дистрибутив «Kali Purple», предназначенный для синих и фиолетовых команд (Blue и Purple Team) в области кибербезопасности, занимающихся защитой систем от потенциальных атак.
Kali Purple уже включает в себя более 100 инструментов, таких как Malcolm, Surricata, Arkime, TheHive и Zeek. Кроме того, есть Wiki-страница, которая поможет всем заинтересованным специалистам начать работу с Kali Purple.
Кроме Kali Purple можно выделить ещё другие нововведения:
✔️ Восемь новых инструментов: Arkime, CyberChef, DefectDojo, Dscan, Kubernetes-Helm, PACK2, Redeye, Unicrypto
✔️ Обновлённые темы Kali
✔️ Предупреждение о проблемах с GPU Nvidia и PIP
"Для пользователей Nvidia этот релиз может оказаться не самым лучшим. Известно, что драйверы Nvidia серии 525 не работают с некоторыми моделями GPU", - сообщили в компании.
Команда разработчиков также предупреждает, что в предстоящий стабильный релиз Debian внесены многочисленные изменения, которые могут вызвать проблемы с PIP. Поэтому команда Kali представила временный патч, который предотвращает возможные «поломки» менеджера пакетов, а также поделилась другими методами обновления пакетов, которые предотвращают вероятные сбои.
Обновлённая версия уже доступна для скачивания: https://cdimage.kali.org/kali-2023.1/
🗞 Блог Кодебай
#news #linux #software
Компания Offensive Security выпустила первый релиз Kali Linux в 2023 году под номером 2023.1. В честь 10-летия проекта был создан дистрибутив «Kali Purple», предназначенный для синих и фиолетовых команд (Blue и Purple Team) в области кибербезопасности, занимающихся защитой систем от потенциальных атак.
Kali Purple уже включает в себя более 100 инструментов, таких как Malcolm, Surricata, Arkime, TheHive и Zeek. Кроме того, есть Wiki-страница, которая поможет всем заинтересованным специалистам начать работу с Kali Purple.
Кроме Kali Purple можно выделить ещё другие нововведения:
✔️ Восемь новых инструментов: Arkime, CyberChef, DefectDojo, Dscan, Kubernetes-Helm, PACK2, Redeye, Unicrypto
✔️ Обновлённые темы Kali
✔️ Предупреждение о проблемах с GPU Nvidia и PIP
"Для пользователей Nvidia этот релиз может оказаться не самым лучшим. Известно, что драйверы Nvidia серии 525 не работают с некоторыми моделями GPU", - сообщили в компании.
Команда разработчиков также предупреждает, что в предстоящий стабильный релиз Debian внесены многочисленные изменения, которые могут вызвать проблемы с PIP. Поэтому команда Kali представила временный патч, который предотвращает возможные «поломки» менеджера пакетов, а также поделилась другими методами обновления пакетов, которые предотвращают вероятные сбои.
Обновлённая версия уже доступна для скачивания: https://cdimage.kali.org/kali-2023.1/
🗞 Блог Кодебай
#news #linux #software
❤16👍12🔥5🤔2😢1
📊 Яндекс опубликовал исходный код своей платформы для работы с большими данными - YTsaurus
Яндекс опубликовал на GitHub исходный код своей платформы YTsaurus для обработки больших данных. Платформа, которая развёрнута на десятках тысяч серверов внутри компании и обрабатывает экзабайты данных, теперь доступна для использования и доработки под свои нужды всем желающим. Опубликованный исходный код распространяется под лицензией Apache 2.0.
Платформа YTsaurus применяется для широкого круга задач, от аналитики до обучения сложных моделей. Например, модель "Поиска" создаёт с помощью YTsaurus поисковый индекс, а беспилотные автомобили применяют платформу для обработки данных о поездках и улучшения своих алгоритмов. YTsaurus управляет суперкомпьютерами «Яндекса», распределяя нагрузку так, чтобы их вычислительные мощности использовались наиболее эффективно.
"Яндекс ведет разработку YTsaurus — или YT, как мы называем ее внутри — с 2010 г. Мы начали строить собственную экосистему для больших данных, потому что ни одно из имевшихся на рынке решений не удовлетворяло всем нашим требованиям. Сейчас YTsaurus — один из ключевых элементов внутренней инфраструктуры «Яндекса». Над платформой работают десятки разработчиков, и ее возможности постоянно расширяются", - рассказал руководитель отдела технологий распределённых вычислений Максим Бабенко.
🗞 Блог Кодебай
#news #analysis #software
Яндекс опубликовал на GitHub исходный код своей платформы YTsaurus для обработки больших данных. Платформа, которая развёрнута на десятках тысяч серверов внутри компании и обрабатывает экзабайты данных, теперь доступна для использования и доработки под свои нужды всем желающим. Опубликованный исходный код распространяется под лицензией Apache 2.0.
Платформа YTsaurus применяется для широкого круга задач, от аналитики до обучения сложных моделей. Например, модель "Поиска" создаёт с помощью YTsaurus поисковый индекс, а беспилотные автомобили применяют платформу для обработки данных о поездках и улучшения своих алгоритмов. YTsaurus управляет суперкомпьютерами «Яндекса», распределяя нагрузку так, чтобы их вычислительные мощности использовались наиболее эффективно.
"Яндекс ведет разработку YTsaurus — или YT, как мы называем ее внутри — с 2010 г. Мы начали строить собственную экосистему для больших данных, потому что ни одно из имевшихся на рынке решений не удовлетворяло всем нашим требованиям. Сейчас YTsaurus — один из ключевых элементов внутренней инфраструктуры «Яндекса». Над платформой работают десятки разработчиков, и ее возможности постоянно расширяются", - рассказал руководитель отдела технологий распределённых вычислений Максим Бабенко.
🗞 Блог Кодебай
#news #analysis #software
👍21🔥3❤2😁1😍1
🧑💻 Злоумышленники заражают разработчиков .NET через репозиторий NuGet
Эксперты компании JFrog сообщили о новых атаках на разработчиков .NET через пакеты из репозитория NuGet. Злоумышленники маскируют свои вредоносные пакеты под реально существующие инструменты, используя технику тайпсквоттинга. Некоторые из этих пакетов были загружены более 150 000 раз за месяц, что может указывать на большое количество скомпрометированных систем разработчиков.
Вредоносные пакеты содержат скрипт-дроппер на основе PowerShell, который настраивает зараженную машину на выполнение PowerShell без ограничений. На следующем этапе атаки запускается полезная нагрузка — полностью кастомный исполняемый файл Windows.
Эксперты отмечают, что такой подход к созданию вредоносных программ является необычным, поскольку обычно злоумышленники используют инструменты с открытым исходным кодом и стандартные вредоносные программы. Вредоносная программа, развернутая на скомпрометированных машинах, может быть использована для кражи криптовалюты, извлечения и выполнения вредоносного кода из архивов Electron, а также автоматического обновления с управляющего сервера.
Некоторые вредоносные пакеты не содержали явной вредоносной полезной нагрузки. Вместо этого они отмечали другие вредоносные пакеты как зависимости, которые уже содержали вредоносный скрипт. Советуем разработчикам .NET быть внимательными при загрузке пакетов из NuGet и следить за безопасностью своих систем.
🗞 Блог Кодебай
#news #programming #malware
Эксперты компании JFrog сообщили о новых атаках на разработчиков .NET через пакеты из репозитория NuGet. Злоумышленники маскируют свои вредоносные пакеты под реально существующие инструменты, используя технику тайпсквоттинга. Некоторые из этих пакетов были загружены более 150 000 раз за месяц, что может указывать на большое количество скомпрометированных систем разработчиков.
Вредоносные пакеты содержат скрипт-дроппер на основе PowerShell, который настраивает зараженную машину на выполнение PowerShell без ограничений. На следующем этапе атаки запускается полезная нагрузка — полностью кастомный исполняемый файл Windows.
Эксперты отмечают, что такой подход к созданию вредоносных программ является необычным, поскольку обычно злоумышленники используют инструменты с открытым исходным кодом и стандартные вредоносные программы. Вредоносная программа, развернутая на скомпрометированных машинах, может быть использована для кражи криптовалюты, извлечения и выполнения вредоносного кода из архивов Electron, а также автоматического обновления с управляющего сервера.
Некоторые вредоносные пакеты не содержали явной вредоносной полезной нагрузки. Вместо этого они отмечали другие вредоносные пакеты как зависимости, которые уже содержали вредоносный скрипт. Советуем разработчикам .NET быть внимательными при загрузке пакетов из NuGet и следить за безопасностью своих систем.
🗞 Блог Кодебай
#news #programming #malware
👍15🤔3😢3😁2
Beeline Cyber Day. Специалисты рассказали, как компании могут защитить себя от киберугроз
10 ноября в Бишкеке состоялся Beeline Cyber Day — первый в Кыргызстане B2B-ивент по информационной безопасности. Встреча собрала участников из бизнес-сектора, госструктур и международных специалистов. Соорганизаторами ивента выступили Beeline Kyrgyzstan и Axoft International. Корреспондент Tazabek посетил мероприятие и узнал, как компании, а также простые пользователи могут защитить свои данные и деньги от хакеров.
📌 Читать далее
#news
10 ноября в Бишкеке состоялся Beeline Cyber Day — первый в Кыргызстане B2B-ивент по информационной безопасности. Встреча собрала участников из бизнес-сектора, госструктур и международных специалистов. Соорганизаторами ивента выступили Beeline Kyrgyzstan и Axoft International. Корреспондент Tazabek посетил мероприятие и узнал, как компании, а также простые пользователи могут защитить свои данные и деньги от хакеров.
📌 Читать далее
#news
🔥14👍4😐3👎1
⚡️Уязвимость обхода экрана блокировки в девайсах с Android 13 и 14 может стать серьезной угрозой для безопасности пользователей
Исследователь Хосе Родригес обнаружил, что злоумышленники, имеющие физический доступ к устройству, могут получить доступ к чувствительным данным, таким как фотографии, контакты и история просмотров.
По словам Родригеса, он сообщил об уязвимости Google несколько месяцев назад, но компания до сих пор не решила проблему. Он даже опубликовал видео, демонстрирующее различные сценарии компрометации, чтобы привлечь внимание к проблеме.
Наконец, Google BugHunters уведомила исследователя о запланированной дате исправления уязвимости в рамках ежемесячного обновления, намеченного на февраль 2024 года. Однако, до тех пор пользователи устройств с Android 13 и 14 остаются под угрозой, пока компания не выпустит исправление.
#news #android #vulnerability
Исследователь Хосе Родригес обнаружил, что злоумышленники, имеющие физический доступ к устройству, могут получить доступ к чувствительным данным, таким как фотографии, контакты и история просмотров.
По словам Родригеса, он сообщил об уязвимости Google несколько месяцев назад, но компания до сих пор не решила проблему. Он даже опубликовал видео, демонстрирующее различные сценарии компрометации, чтобы привлечь внимание к проблеме.
Наконец, Google BugHunters уведомила исследователя о запланированной дате исправления уязвимости в рамках ежемесячного обновления, намеченного на февраль 2024 года. Однако, до тех пор пользователи устройств с Android 13 и 14 остаются под угрозой, пока компания не выпустит исправление.
#news #android #vulnerability
👍12🤔5🔥2❤🔥1
⚡️Palo Alto Networks разработала детектор вредоносных доменов на основе машинного обучения
Исследователи компании Palo Alto Networks создали точный детектор, который способен обнаруживать тысячи вредоносных доменов задолго до их использования в планируемых атаках или инцидентах.
Анализируя данные из журналов прозрачности сертификатов и пассивного DNS (pDNS), исследователи разработали алгоритм машинного обучения Random Forest, который показал впечатляющие результаты.
К июлю 2023 года разработанный детектор выявил 1 114 499 корневых доменов. Модель в среднем обнаруживает “зарезервированные” домены на 34.4 дня быстрее, чем VirusTotal. Для этого Unit42 создала более 300 инструментов для обработки терабайтов данных и миллиардов записей пассивного DNS и сертификатов. При обучении модели использовались миллионы примеров вредоносных и чистых доменов.
#news
Исследователи компании Palo Alto Networks создали точный детектор, который способен обнаруживать тысячи вредоносных доменов задолго до их использования в планируемых атаках или инцидентах.
Анализируя данные из журналов прозрачности сертификатов и пассивного DNS (pDNS), исследователи разработали алгоритм машинного обучения Random Forest, который показал впечатляющие результаты.
К июлю 2023 года разработанный детектор выявил 1 114 499 корневых доменов. Модель в среднем обнаруживает “зарезервированные” домены на 34.4 дня быстрее, чем VirusTotal. Для этого Unit42 создала более 300 инструментов для обработки терабайтов данных и миллиардов записей пассивного DNS и сертификатов. При обучении модели использовались миллионы примеров вредоносных и чистых доменов.
#news
👍16🔥2🏆2