Forwarded from Makrushin (Denis)
Распространение вредоносного кода через комментарии GitHub
Исследователи обнаружили троян, который распространяется под видом игровых читов и крадет инфу с зараженной станции. Сам зловред вряд ли чем-то примечателен, но интересен способ его распространения. Источник, в котором опубликован загрузчик трояна - официальные GitHub-репозитории Microsoft.
Пример URL с вредоносным кодом:
GitHub позволяет злоумышленникам обходить правила блокировки на основе черных и белых списков.
Как троян там оказался:
1. злодей создает комментарий к любому коммиту или issue в репозитории Microsoft.
2. В комментарий загружается вложение с произвольным файлом.
3. Файл будет загружен в GitHub CDN и привязан к проекту с уникальной ссылкой. Формат ссылки:
4. Комментарий может быть не опубликован, но при этом ссылка становится активной.
Атакующий может прикрепить вредоносный файл к любому репозиторию. Пока что, единственный вариант уберечь свой проект от подобного использования - отключить комментарии.
Исследователи обнаружили троян, который распространяется под видом игровых читов и крадет инфу с зараженной станции. Сам зловред вряд ли чем-то примечателен, но интересен способ его распространения. Источник, в котором опубликован загрузчик трояна - официальные GitHub-репозитории Microsoft.
Пример URL с вредоносным кодом:
https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip
GitHub позволяет злоумышленникам обходить правила блокировки на основе черных и белых списков.
Как троян там оказался:
1. злодей создает комментарий к любому коммиту или issue в репозитории Microsoft.
2. В комментарий загружается вложение с произвольным файлом.
3. Файл будет загружен в GitHub CDN и привязан к проекту с уникальной ссылкой. Формат ссылки:
https://www.github.com/{project_user}/{repo_name}/files/{file_id}/{file_name}4. Комментарий может быть не опубликован, но при этом ссылка становится активной.
Атакующий может прикрепить вредоносный файл к любому репозиторию. Пока что, единственный вариант уберечь свой проект от подобного использования - отключить комментарии.
🔥3
Forwarded from BISA - Ассоциация по вопросам защиты информации
🔥 Ловите спойлеры с сегодняшних съемок в Кибердоме!
🌟 В кадре — независимый эксперт ИБ Екатерина Старостина и главред BISA Михаил Смирнов.
В повестке — огненный фейерверк накопившихся к обсуждению тем.
✅ Поговорили о подготовке кадров для ИБ, о влиянии искусственного интеллекта на отрасль, развитии личного бренда в ИБ-сфере и многом другом.
Что из этого получилось, скоро покажем!
📸 А пока делимся кадрами с площадки.
🌟 В кадре — независимый эксперт ИБ Екатерина Старостина и главред BISA Михаил Смирнов.
В повестке — огненный фейерверк накопившихся к обсуждению тем.
✅ Поговорили о подготовке кадров для ИБ, о влиянии искусственного интеллекта на отрасль, развитии личного бренда в ИБ-сфере и многом другом.
Что из этого получилось, скоро покажем!
📸 А пока делимся кадрами с площадки.
👍6❤🔥4🔥3
Уважаемые студенты! Не скупитесь своей активностью 🥰🔥
Ждём от вас отличных новостей)
Долина Технологий - летняя практика от «Лаборатории Касперского» для школьников 8-10 классов и студентов колледжей 1-2 курсов.
Что ждет участников:
⚡ Онлайн часть – 20-24 мая.
• Знакомство с профессиями инженера по функциональной безопасности, криптографа и presale-инженера.
• Вебинары и домашние задания
• Возможность задавать вопросы экспертам
Выполняя задания и посещая вебинары можно будет получать баллы и следить за своим прогрессом в рейтинге. Участники с лучшими результатами получат приглашение на офлайн практику.
⚡ Офлайн часть – 13-14 июня.
• Экскурсия по офису «Лаборатории Касперского» и погружение в айти среду
• Живые лекции от экспертов «Лаборатории Касперского»
Узнать подробнее - https://techdolina.kaspersky.ru/ и https://t.me/dolina_by_kaspersky
Ждём от вас отличных новостей)
Долина Технологий - летняя практика от «Лаборатории Касперского» для школьников 8-10 классов и студентов колледжей 1-2 курсов.
Что ждет участников:
⚡ Онлайн часть – 20-24 мая.
• Знакомство с профессиями инженера по функциональной безопасности, криптографа и presale-инженера.
• Вебинары и домашние задания
• Возможность задавать вопросы экспертам
Выполняя задания и посещая вебинары можно будет получать баллы и следить за своим прогрессом в рейтинге. Участники с лучшими результатами получат приглашение на офлайн практику.
⚡ Офлайн часть – 13-14 июня.
• Экскурсия по офису «Лаборатории Касперского» и погружение в айти среду
• Живые лекции от экспертов «Лаборатории Касперского»
Узнать подробнее - https://techdolina.kaspersky.ru/ и https://t.me/dolina_by_kaspersky
🔥3❤2
Media is too big
VIEW IN TELEGRAM
С 9 мая:) друзья! Вот с детьми с самых младших лет учимся помнить и чтить память♥️🥰 #спасибодедузапобеду
🔥5❤3
Forwarded from Кибердом
В годы Великой Отечественной войны не было файерволов, MDM-систем и даже интернета. А весь кибербез сводился к шифрованию информации и взломам шифров противника.
🪞 Собственно кибербезопасность сороковых – шифрование данных и все что с этим связано.
В День Победы рассказываем о том, как работали «первые хакеры» во время войны и как взломали самую совершенную немецкую шифровальную машину «Энигма».
💫 Листайте карточки и делитесь ими с друзьями, чтобы знать историю кибербезопасности нашей страны.
#история_кибербеза
🏠 Подписаться на Кибердом & Бизнес
В День Победы рассказываем о том, как работали «первые хакеры» во время войны и как взломали самую совершенную немецкую шифровальную машину «Энигма».
#история_кибербеза
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🔥3
Forwarded from CTF News
📆 Через неделю стартует отборочный этап на международное соревнование по информационной безопасности — SAS CTF!
🌴Самое время собирать команду и регистрироваться: победителям квалов осенью оплатят поездку на Бали и дадут возможность сразиться за главный приз размером $18.000.
🪓 Кстати, разработчиками соревнования стала российская CTF-команда — drovosec.
⚡️Подробности: https://ctfnews.ru/news/1950⚡️
🌴Самое время собирать команду и регистрироваться: победителям квалов осенью оплатят поездку на Бали и дадут возможность сразиться за главный приз размером $18.000.
🪓 Кстати, разработчиками соревнования стала российская CTF-команда — drovosec.
⚡️Подробности: https://ctfnews.ru/news/1950⚡️
❤🔥3
Forwarded from Kpeople ONLY
Я помню, в детстве всё моё окружение мечтало о каких-то профессиях. Кто-то хотел стать космонавтом, кто-то летчиком, кто-то пожарным и так далее. Ни один не желал быть, например, разработчиком или тестировщиком, потому что в тот момент таких вариантов в нашей голове не было. Мы просто не видели всего диапазона возможностей. А современным детям в этом смысле гораздо проще. Более того, получив стартовую техническую базу в юном возрасте, её легко конвертировать в любую ИТ-специальность
Так считает Иван Лауре, менеджер проектов ЛК и один из наставников «Долины технологий»
Об этом говорят и другие эксперты программы. «Долина технологий» даёт возможность:
🚀 Не ждать SafeBoard, а попробовать свои силы в IT ещё в школе или в колледже;
🚀 Получить практические навыки в профессии;
🚀 Не тратить время на формальности;
🚀 Лучше понять себя.
Материал от наших коллег из HR можно прочитать здесь, а успеть подать заявку на «Долину технологий» – тут.
До 20 мая. Бесплатно. Не только Москва. Для учеников 8-10 классов и студентов 1-2 курса колледжа.
В общем — вы знаете, кому переслать этот пост :)
👍3
Бизнес в ИБэшном образовании или как мы строили строили и почти построили.
#часть1
14 мая 2024 года в Сириус прошла секция докладов «Как выстроить
взаимоотношения
образовательной
организации и работодателя» в рамках проходящей конференции «Кадровый потенциал в ИБ: настоящее и образ будущего».
Среди участников сессии были:
•Леонов Павел Юрьевич (к.э.н., доцент кафедры финансового мониторинга №75 ИФТЭБ НИЯУ МИФИ, аттестованный аудитор);
•Михайлова Ольга Юрьевна, (руководитель образовательных проектов Академии Юзергейт ООО «Юзергейт»);
•Каннер Татьяна Михайловна (руководитель учебного центра ОКБ САПР);
А также, Шмавонян Саркис Артушевич
(Менеджер по работе с образовательными организациями ООО "Киберпротект");
•Курнакова Анжелика Дмитриевна (администратор грантовых программ, менеджер проекта «Акселератор ИнфоТеКС Академии») и
•Томах Олеся Сергеевна (МГТУ им.Баумана).
Собственно и Старостина Екатерина Вячеславовна, архитектор кафедры «Информационная безопасность и системное администрирование» IThub college, независимый эксперт и представитель от бизнес-сообщества, - то есть я:) выступила модератором секции.
Доклады были преимущественно о том, как нам стоит поменять подходы к поиску возможностей для студентов в части практико-ориентированного развития, про вклад компаний в развитие кадров по информационной безопасности. Также речь шла об опыте ВУЗов и IThub college в части эффективного взаимодействия с бизнесом, встраивания практических решений и задач в свои учебные планы.
У учебных организаций на сегодня имеется достаточно большие возможности по прохождению обучения вендорским наработкам на аппаратно-технических средствах компаний , которые Вузам или колледжам предоставляются безоплатно, главное желание преподавателя пройти курс и встроить практический трек в свою программу.
Мы также выяснили, что желание и мотивация самого преподавателя - еще важнее тех возможностей, что компании дают. Очень часто бывает огромная пропасть между бизнесом и образовательными учреждениями, как то:
•а бизнес нам что?
•а почему я должен обучаться программам компаний и устраивать именно к ним своих студентов?
Как выяснилось, что проблема мотивации актуальна не только для студентов.
Собственно, компания UserGate
поделилась опытом предоставлени своих УМК, а также результатами работы с образовательными организациями. И хочу отметить, что несмотря на молодую историю Академии Юзергейт, коллеги весьма активно и эффективно проходят по ВУЗам. Это я еще в надежде, что и к СПО - в IThub, скоро тоже заглянут и мы обязательно внедрим и их решения.
Татьяна Каннер из ОКБ САПР поделилась своим опытом развития их наработок. Сама Татьяна кандидат наук и давно совмещает работу на базовой кафедре в МФТИ, так выходит проще всего набирать и обучать студентов. Ведь с остальными (при авт.-смотрите выше), дела обстоят порой ох как не просто. Очень много зависит от руководителя учебной организации и умения «продать» это на сообщество преподавателей обучение от пришедшей компании,усилив тем самым рынок инфобеза новыми кадрами со знанием рынка, в частности.
Саркис Шамовян из Киберпротект уже входит в наблюдательный индустриальный совет ITHub кафедры ИБиСА , он также поделился своим опытом работы как с колледжем, так и непосредственно с тем огромным количеством вузов куда коллеги приходят.
Курнакова Анжелика, менеджер проекта «Акселератор ИнфоТеКС Академии» очень интересно рассказала про грантовые программы, про то, как можно получить до 1млн рублей на развитие проектов в области инфобеза. Как оказалось, возрастом, это не ограничивается. Так что, если хочется сделать что-то практическое в ИБэ еще и получить на развитие средства, - добро пожаловать. 🤗 можно даже взять и преподавателю собирать крутых студентов и они красиво выйдут на практический проект, который станет вдобавок, - дипломной работой. Почему нет?
Удивляюсь, как мало людей идут в это историю.
А в целом - все компании классно подготовлены, нацелены на результат и отчасти делают схожие вещи.
#часть1
14 мая 2024 года в Сириус прошла секция докладов «Как выстроить
взаимоотношения
образовательной
организации и работодателя» в рамках проходящей конференции «Кадровый потенциал в ИБ: настоящее и образ будущего».
Среди участников сессии были:
•Леонов Павел Юрьевич (к.э.н., доцент кафедры финансового мониторинга №75 ИФТЭБ НИЯУ МИФИ, аттестованный аудитор);
•Михайлова Ольга Юрьевна, (руководитель образовательных проектов Академии Юзергейт ООО «Юзергейт»);
•Каннер Татьяна Михайловна (руководитель учебного центра ОКБ САПР);
А также, Шмавонян Саркис Артушевич
(Менеджер по работе с образовательными организациями ООО "Киберпротект");
•Курнакова Анжелика Дмитриевна (администратор грантовых программ, менеджер проекта «Акселератор ИнфоТеКС Академии») и
•Томах Олеся Сергеевна (МГТУ им.Баумана).
Собственно и Старостина Екатерина Вячеславовна, архитектор кафедры «Информационная безопасность и системное администрирование» IThub college, независимый эксперт и представитель от бизнес-сообщества, - то есть я:) выступила модератором секции.
Доклады были преимущественно о том, как нам стоит поменять подходы к поиску возможностей для студентов в части практико-ориентированного развития, про вклад компаний в развитие кадров по информационной безопасности. Также речь шла об опыте ВУЗов и IThub college в части эффективного взаимодействия с бизнесом, встраивания практических решений и задач в свои учебные планы.
У учебных организаций на сегодня имеется достаточно большие возможности по прохождению обучения вендорским наработкам на аппаратно-технических средствах компаний , которые Вузам или колледжам предоставляются безоплатно, главное желание преподавателя пройти курс и встроить практический трек в свою программу.
Мы также выяснили, что желание и мотивация самого преподавателя - еще важнее тех возможностей, что компании дают. Очень часто бывает огромная пропасть между бизнесом и образовательными учреждениями, как то:
•а бизнес нам что?
•а почему я должен обучаться программам компаний и устраивать именно к ним своих студентов?
Как выяснилось, что проблема мотивации актуальна не только для студентов.
Собственно, компания UserGate
поделилась опытом предоставлени своих УМК, а также результатами работы с образовательными организациями. И хочу отметить, что несмотря на молодую историю Академии Юзергейт, коллеги весьма активно и эффективно проходят по ВУЗам. Это я еще в надежде, что и к СПО - в IThub, скоро тоже заглянут и мы обязательно внедрим и их решения.
Татьяна Каннер из ОКБ САПР поделилась своим опытом развития их наработок. Сама Татьяна кандидат наук и давно совмещает работу на базовой кафедре в МФТИ, так выходит проще всего набирать и обучать студентов. Ведь с остальными (при авт.-смотрите выше), дела обстоят порой ох как не просто. Очень много зависит от руководителя учебной организации и умения «продать» это на сообщество преподавателей обучение от пришедшей компании,усилив тем самым рынок инфобеза новыми кадрами со знанием рынка, в частности.
Саркис Шамовян из Киберпротект уже входит в наблюдательный индустриальный совет ITHub кафедры ИБиСА , он также поделился своим опытом работы как с колледжем, так и непосредственно с тем огромным количеством вузов куда коллеги приходят.
Курнакова Анжелика, менеджер проекта «Акселератор ИнфоТеКС Академии» очень интересно рассказала про грантовые программы, про то, как можно получить до 1млн рублей на развитие проектов в области инфобеза. Как оказалось, возрастом, это не ограничивается. Так что, если хочется сделать что-то практическое в ИБэ еще и получить на развитие средства, - добро пожаловать. 🤗 можно даже взять и преподавателю собирать крутых студентов и они красиво выйдут на практический проект, который станет вдобавок, - дипломной работой. Почему нет?
Удивляюсь, как мало людей идут в это историю.
А в целом - все компании классно подготовлены, нацелены на результат и отчасти делают схожие вещи.
❤3🔥3👍2