#news «Тинькофф» запретил сотрудникам работу из-за границы. Поиграть в цифрового кочевника работникам банка разрешат только в огороженной песочнице из трёх стран — Армении, Белоруссии и Казахстана. В них есть центры разработки «Тинькофф».
Запрет объяснён заботой об информационной безопасности данных банка и его систем. Это у нас субъект критической инфраструктуры и объект высокого риска атак, и оставлять сотрудников по недружественным заграницам становится не комильфо. Безопасности ради в странах без центров разработки критичные доступы сотрудников должны быть полностью отключены. Так что к 2024-му айтишники «Тинькофф» за рубежом могут перебираться в солнечную Армению или релоцироваться с места работы на более щадящие условия.
@tomhunter
Запрет объяснён заботой об информационной безопасности данных банка и его систем. Это у нас субъект критической инфраструктуры и объект высокого риска атак, и оставлять сотрудников по недружественным заграницам становится не комильфо. Безопасности ради в странах без центров разработки критичные доступы сотрудников должны быть полностью отключены. Так что к 2024-му айтишники «Тинькофф» за рубежом могут перебираться в солнечную Армению или релоцироваться с места работы на более щадящие условия.
@tomhunter
🔥7😁4💩4❤1🤔1🎉1🤡1💯1
#news Интерпол провёл масштабную операцию по аресту рансомварщиков из Украины. Дубль два операции 2021-го года, в этот раз арестован предполагаемый 32-летний глава группировки и четыре сообщника. Группировка была ответственна за атаки в 71 стране и шифровку более 250 серверов крупных корпораций с ущербом в сотни миллионов евро.
В арсенале у злоумышленников были LockerGoga, MegaCortex и Dharma. А аресты недельной давности, собственно, стали результатом анализа данных, перехваченных Интерполом во время рейдов в 2021-м. LockerGoga впервые всплыла в январе 2019-го и с тех пор была под пристальным вниманием норвежской полиции по следам нашумевшего взлома промышленного гиганта Norsk Hydro. В итоге норвежцы годами продавливали поимку злоумышленников, в чём и преуспели. Бонусом по ссылке маски-шоу по местам обитания украинских рансомварь-баронов.
@tomhunter
В арсенале у злоумышленников были LockerGoga, MegaCortex и Dharma. А аресты недельной давности, собственно, стали результатом анализа данных, перехваченных Интерполом во время рейдов в 2021-м. LockerGoga впервые всплыла в январе 2019-го и с тех пор была под пристальным вниманием норвежской полиции по следам нашумевшего взлома промышленного гиганта Norsk Hydro. В итоге норвежцы годами продавливали поимку злоумышленников, в чём и преуспели. Бонусом по ссылке маски-шоу по местам обитания украинских рансомварь-баронов.
@tomhunter
🔥9😁3❤1🤡1
#news У Google Drive случился небольшой конфуз: у пользователей пропали данные из облака, и содержимое хранилищ откатилось по состоянию на апрель-май 2023-го. Проблема возникла на прошлой неделе, и она не на стороне юзеров — файлы за полгода просто испарились.
Официальной информации от Гугла о произошедшем пока нет. Некоторые пользователи ссылаются на отвалившуюся синхронизацию, другие пытаются вытянуть файлы из локального кэша. Между тем от инженеров компании поступают рекомендации ничего не трогать и не тыкать в корень облака палочкой, пока они работают над решением проблемы. Расчётного времени фикса, впрочем, тоже нет. Так или иначе, волонтёрской службе поддержки Гугла сейчас не позавидуешь — о работе облачных сервисов компании они знают немногим больше юзеров. А последние, мягко говоря, не особо рады произошедшему и отсутствию внятных комментариев.
@tomhunter
Официальной информации от Гугла о произошедшем пока нет. Некоторые пользователи ссылаются на отвалившуюся синхронизацию, другие пытаются вытянуть файлы из локального кэша. Между тем от инженеров компании поступают рекомендации ничего не трогать и не тыкать в корень облака палочкой, пока они работают над решением проблемы. Расчётного времени фикса, впрочем, тоже нет. Так или иначе, волонтёрской службе поддержки Гугла сейчас не позавидуешь — о работе облачных сервисов компании они знают немногим больше юзеров. А последние, мягко говоря, не особо рады произошедшему и отсутствию внятных комментариев.
@tomhunter
🤯13🔥4😁1
#news Подоспел ещё один анализ Docker Hub на предмет секретов в образах. Исследователи изучили 10,178 контейнеров, из них в 5,493 лежали данные доступа. Суммарно в них набралось 191,529 секретов. А сами текущие контейнеры были скачаны больше 132 миллиардов раз. Так что где-то неизбежно есть сервера на утёкших данных.
В топе забытых в образах секретов токены от GitHub, Datadog и URI. Нашлись также и ключи от PayPal с Polygon. Большая часть утекла в связи с повторным использованием пакетов, в которых содержится конфиденциальная информация, часть истёкшие и конфиденциальной информации не содержат. Тем не менее, об отношении к безопасности это говорит достаточно. И ждать, пока в образах покопается потенциальный взломщик, у которого слишком много свободного времени, — такая себе инфобез-практика.
@tomhunter
В топе забытых в образах секретов токены от GitHub, Datadog и URI. Нашлись также и ключи от PayPal с Polygon. Большая часть утекла в связи с повторным использованием пакетов, в которых содержится конфиденциальная информация, часть истёкшие и конфиденциальной информации не содержат. Тем не менее, об отношении к безопасности это говорит достаточно. И ждать, пока в образах покопается потенциальный взломщик, у которого слишком много свободного времени, — такая себе инфобез-практика.
@tomhunter
🔥5❤1
#news С появлением языковых моделей, натасканных под киберпреступные задачи, некоторые опасались бума скрипт-кидди с ИИ-подручными. Однако обученные на малвари болванчики себя пока не оправдывают: на хакерских форумах царит скептицизм, кодят по старинке, а создателей чат-ботов обвиняют в мошенничестве и отсутствии заявленного функционала.
Так, в реальных сценариях модели малопригодны и не особо помогают в комплексных атаках. В том числе у написанного нейросетями кода больше шансов быть обнаруженным антивирусами и EDR. На практике примеров их использования пока мало, толк был разве что в генерации проверок концепции. Модели помогают с рутинным кодом, генерацией тестовых данных и портированием библиотек, но с этим справляется и обычный ChatGPT. В общем, пока расцвет преступных ИИ-моделей откладывается, и большая часть злоумышленников ждут дальнейшего развития технологии.
@tomhunter
Так, в реальных сценариях модели малопригодны и не особо помогают в комплексных атаках. В том числе у написанного нейросетями кода больше шансов быть обнаруженным антивирусами и EDR. На практике примеров их использования пока мало, толк был разве что в генерации проверок концепции. Модели помогают с рутинным кодом, генерацией тестовых данных и портированием библиотек, но с этим справляется и обычный ChatGPT. В общем, пока расцвет преступных ИИ-моделей откладывается, и большая часть злоумышленников ждут дальнейшего развития технологии.
@tomhunter
🔥5😁5🤬1💩1
Завтра с 12:40 до 13:05 участвуем в онлайн-конференции КОНТРАГЕНТЫ 2023. Руководитель департамента информационно-аналитических исследований T.Hunter Игорь Бедеров сделает доклад на тему Apparatus sapiens: на пути эволюции в безопасности.
Присоединяйтесь. Будет интересно!
Трансляция: https://facecast.net/w/oo7vgx
Присоединяйтесь. Будет интересно!
Трансляция: https://facecast.net/w/oo7vgx
🔥7💩2❤1
#news Очередной криптомиксер, Sinbad, ожидаемо отправился на дно. На этот раз платформа не отделалась одними санкциями — обе версии сайта, во внешнем интернете и в дарк-вебе, перестали работать. На них висят заглушки от ФБР.
Sinbad был одним из любимых миксеров криптостахановцев из Lazarus, через него в том числе прошли средства, украденные в прошлом году со взломов Horizon Bridge и Axie Infinity. Готовность обслуживать незаконные транзакции без разбора криптомиксер и погубила. В феврале 2023-го создатель платформы утверждал, что «Sinbad находится в открытом доступе, потому что не делает ничего плохого». Увы, убедить Минфин США в том, что в отмывании похищенных средств нет ничего плохого, потому что это цифровое криптобудущее, не получилось. С учётом того, что владелец Tornado Cash год назад безуспешно пытался съехать с обвинений с похожими формулировками, стоило искать аргументы убедительнее.
@tomhunter
Sinbad был одним из любимых миксеров криптостахановцев из Lazarus, через него в том числе прошли средства, украденные в прошлом году со взломов Horizon Bridge и Axie Infinity. Готовность обслуживать незаконные транзакции без разбора криптомиксер и погубила. В феврале 2023-го создатель платформы утверждал, что «Sinbad находится в открытом доступе, потому что не делает ничего плохого». Увы, убедить Минфин США в том, что в отмывании похищенных средств нет ничего плохого, потому что это цифровое криптобудущее, не получилось. С учётом того, что владелец Tornado Cash год назад безуспешно пытался съехать с обвинений с похожими формулировками, стоило искать аргументы убедительнее.
@tomhunter
😁8🔥2
#news У популярного приложения для родительского контроля KidSecurity утекли логи активности пользователей. Причём слили их самым позорным ИБ-образом: разработчик не настроил аутентификацию для хранилищ Elasticsearch и Logstash. Пароль забыли поставить, в общем. Данные провисели в открытом доступе больше месяца.
В утечке 300 миллионов записей, включая 21 тысячу телефонов и 31 тысячу почт. Плюс информация с карт — часть номера, дата выпуска и банк. Более того, есть следы потенциального эксплойта инфы злоумышленниками. Утечка данных приложения для слежения за детьми — тот ещё скандал, особенно с учётом конфуза с паролем. В конце концов, следить за безопасностью такого деликатного приложения разработчик должен успешнее, чем современные родители следят за детьми. Спасает разрабов разве что не утёкшая геолокация юзеров и прочее чувствительное — после такого можно было бы сразу искать идеи для нового перспективного стартапа.
@tomhunter
В утечке 300 миллионов записей, включая 21 тысячу телефонов и 31 тысячу почт. Плюс информация с карт — часть номера, дата выпуска и банк. Более того, есть следы потенциального эксплойта инфы злоумышленниками. Утечка данных приложения для слежения за детьми — тот ещё скандал, особенно с учётом конфуза с паролем. В конце концов, следить за безопасностью такого деликатного приложения разработчик должен успешнее, чем современные родители следят за детьми. Спасает разрабов разве что не утёкшая геолокация юзеров и прочее чувствительное — после такого можно было бы сразу искать идеи для нового перспективного стартапа.
@tomhunter
🔥7😁3
#news Исследовательский центр Eurecom обнаружил уязвимости в Bluetooth, допускающие MitM-атаки, и создал на их основе серию эксплойтов. Две новых уязвимости в стандарте касаются процесса создания сеансовых ключей и расшифровки данных. Проблема архитектурная, так что от ПО и оборудования не зависит. Плюс затрагивает спецификацию с версий 4.2 по 5.4 — то есть миллиарды устройств с 2014-го года.
Серия атак BLUFFS эксплуатирует уязвимости в процессе получения сеансового ключа. В сценарии атаки по двум устройствам злоумышленник выдаёт себя за одно из них и получает слабый и короткий ключ. А далее брутфорс, и расшифровка сигнала. Тест на разных устройствах — смартфонах, наушниках и ноутбуках — показал их уязвимость к по меньшей мере трём атакам из шести. Подробнее об атаке в статье, а на Гитхабе лежит тулкит для проверки концепции.
@tomhunter
Серия атак BLUFFS эксплуатирует уязвимости в процессе получения сеансового ключа. В сценарии атаки по двум устройствам злоумышленник выдаёт себя за одно из них и получает слабый и короткий ключ. А далее брутфорс, и расшифровка сигнала. Тест на разных устройствах — смартфонах, наушниках и ноутбуках — показал их уязвимость к по меньшей мере трём атакам из шести. Подробнее об атаке в статье, а на Гитхабе лежит тулкит для проверки концепции.
@tomhunter
🔥6🤯2
#news На календаре 1 декабря, а значит, вступило в силу постановление об идентификации пользователей хостинг-провайдерами. Документ предусматривает шесть способов для клиентов опознать себя: через системы ЕСИА и ЕБС, с использованием электронной подписи, личным обращение с предоставлением паспорта и иных документов, платёжными системами и переводами из банка РФ, а также через системы самого провайдера по идентификации.
Кроме того, Роскомнадзор будет вести реестр хостинг-провайдеров и собирать с них уведомления о начале деятельности в течение 15 рабочих дней. И карать провайдеров с нарушениями исключением из реестра. С 1 февраля 2024-го провайдеры вне реестра работать не смогут, а его почётные члены по закону обязаны пользователей идентифицировать. В общем, круг замкнулся под бдительным оком Роскомнадзора. Добро пожаловать!
@tomhunter
Кроме того, Роскомнадзор будет вести реестр хостинг-провайдеров и собирать с них уведомления о начале деятельности в течение 15 рабочих дней. И карать провайдеров с нарушениями исключением из реестра. С 1 февраля 2024-го провайдеры вне реестра работать не смогут, а его почётные члены по закону обязаны пользователей идентифицировать. В общем, круг замкнулся под бдительным оком Роскомнадзора. Добро пожаловать!
@tomhunter
❤2🔥2💩2😁1😢1
#news В Москве вынесли приговор злоумышленнику, взломавшему «Гемотест» в прошлом году. Тогда в сеть утекла база на ~600 миллионов записей клиентов лаборатории. Взломщик воспользовался скомпрометированной админской учёткой и PHP-скриптами, чтобы выгрузить данные из базы. Для любопытствующих, вот текст приговора с подробнейшим килл-чейном.
Сама лаборатория за утечку 300 ГБ данных тогда отделалась штрафом в королевские 60 тысяч рублей. Но теперь и приговор хакеру оказался неожиданно щедрым — 1,5 года условно. Из приговора также известно имя взломщика, Алекперов Фуад Маариф оглы. Студент-четверокурсник, за которым с 2020-го тянется киберкриминальный след с солидным послужным списком: взломы сайтов, торговля украденными данными, продажа вредоносного ПО и прочее-прочее. Товарищ три года стримит свои взломы и получает 1,5 условно. Самый гуманный суд в мире, что тут скажешь.
@tomhunter
Сама лаборатория за утечку 300 ГБ данных тогда отделалась штрафом в королевские 60 тысяч рублей. Но теперь и приговор хакеру оказался неожиданно щедрым — 1,5 года условно. Из приговора также известно имя взломщика, Алекперов Фуад Маариф оглы. Студент-четверокурсник, за которым с 2020-го тянется киберкриминальный след с солидным послужным списком: взломы сайтов, торговля украденными данными, продажа вредоносного ПО и прочее-прочее. Товарищ три года стримит свои взломы и получает 1,5 условно. Самый гуманный суд в мире, что тут скажешь.
@tomhunter
😁17🤯8🤡6❤3🔥2💯2🎉1💩1
#news Тренд на малварь под macOS всё продолжается: на этот раз у нас новый прокси-троян. Его распространяют вместе со взломанным платным софтом, исследователи насчитали 35 программ, включая видео- и фоторедакторы, софт для восстановления данных и прочее популярное у любителей халявы. Установщики идут в виде PKG-файлов, а в них, соответственно, вредоносные скрипты.
Малварь маскируется под легитимный системный процесс WindowServer. При запуске троян подключается к своему С2-серверу через DNS-over-HTTPS и создаёт TCP/UDP-соединения под прокси-запросы. Первые версии вредоноса засветились в апреле этого года. Он не обошёл стороной и другие платформы: через те же C2-сервера работают трояны под Андроид и Винду, их также распространяют с ломаным софтом. Подробнее о новинке в отчёте.
@tomhunter
Малварь маскируется под легитимный системный процесс WindowServer. При запуске троян подключается к своему С2-серверу через DNS-over-HTTPS и создаёт TCP/UDP-соединения под прокси-запросы. Первые версии вредоноса засветились в апреле этого года. Он не обошёл стороной и другие платформы: через те же C2-сервера работают трояны под Андроид и Винду, их также распространяют с ломаным софтом. Подробнее о новинке в отчёте.
@tomhunter
🔥4❤2😢1
#news Энтузиасты продолжают инфобез-наблюдения за отжившими своё серверами Microsoft Exchange. Результаты их не устраивают: с апреля этого года число серверов с завершившейся поддержкой снизилось на 18% с 43,656 штук по данным Shodan. Но их по-прежнему остаётся ~30 тысяч по всему миру.
Лишённые обновлений динозавры уязвимы к россыпи уязвимостей, большая часть высокие, некоторые — критические. Среди них приветы из прошлых лет от ProxyLogon, ProxyToken и кусок цепочки от ProxyNotShell. Между тем среди серверов нашлось место и Exchange Server 2007: около 300 почётных ископаемых крутятся на софте, поддержка которого закончилась ещё в 2017-м. Такое вот вечное лимбо информационной небезопасности.
@tomhunter
Лишённые обновлений динозавры уязвимы к россыпи уязвимостей, большая часть высокие, некоторые — критические. Среди них приветы из прошлых лет от ProxyLogon, ProxyToken и кусок цепочки от ProxyNotShell. Между тем среди серверов нашлось место и Exchange Server 2007: около 300 почётных ископаемых крутятся на софте, поддержка которого закончилась ещё в 2017-м. Такое вот вечное лимбо информационной небезопасности.
@tomhunter
😁5🔥1
#news Инфобез уровня вселенной Warhammer 40,000 с утраченными технологиями: 43% банковских систем работают на нём и обрабатывают транзакции на $3 триллиона ежедневно. Включая 95% всех операций в банкоматах США. О чём речь? Конечно, о языке COBOL. Который был создан 64 года назад, и его давно перестали преподавать. И девелоперов, разбирающихся в этом ископаемом, остаётся всё меньше.
IBM предлагает решать проблему с помощью ИИ-моделей и разработала ассистента, пригодного для портирования COBOL на более современные языки. Однако ИИ-болванчик может заменить 90% возни с древним кодом, но остаток всё ещё нужно добивать с помощью дряхлеющего wetware. Между тем портируют его… на Java. Бедняге можно только посочувствовать. Дело, конечно, неблагодарное, но без порта мы рискуем остаться с банкоматами, принцип работы мэйнфреймов которых уже никто не понимает. Останется только литании над ними читать.
@tomhunter
IBM предлагает решать проблему с помощью ИИ-моделей и разработала ассистента, пригодного для портирования COBOL на более современные языки. Однако ИИ-болванчик может заменить 90% возни с древним кодом, но остаток всё ещё нужно добивать с помощью дряхлеющего wetware. Между тем портируют его… на Java. Бедняге можно только посочувствовать. Дело, конечно, неблагодарное, но без порта мы рискуем остаться с банкоматами, принцип работы мэйнфреймов которых уже никто не понимает. Останется только литании над ними читать.
@tomhunter
😁13❤2🔥2🤔1
#news The Guardian в расследовании утверждает, что некие связанные с Россией и Китаем хакеры могли взломать системы атомного комплекса Селлафилд в Великобритании. Он же «самый опасный ядерный объект» страны, связанный с производством оружейного плутония и топлива для АЭС и прочим стратегическим.
Первые следы взлома обнаружили ещё в 2015-м году — в системе засекли спящую малварь. Возможно, у её операторов был доступ к сверхсекретным данным. Между тем Британия в очередной раз предоставляет пример как не надо заниматься инфобезом, тем более на ядерных объектах. Так, власти не знают, когда точно были взломаны системы — руководство комплекса годами скрывало от регуляторов информацию о произошедшем. Дошло до того, что в отношении 11 тысяч сотрудников Селлафилда ввели некие «специальные меры» в 2022-м. По следам расследования же комментариев не дают ни власти, ни руководство комплекса, которое отрицает и утечки, и их сокрытие. В общем, с 2015-го в Селлафилде ничего не произошло.
@tomhunter
Первые следы взлома обнаружили ещё в 2015-м году — в системе засекли спящую малварь. Возможно, у её операторов был доступ к сверхсекретным данным. Между тем Британия в очередной раз предоставляет пример как не надо заниматься инфобезом, тем более на ядерных объектах. Так, власти не знают, когда точно были взломаны системы — руководство комплекса годами скрывало от регуляторов информацию о произошедшем. Дошло до того, что в отношении 11 тысяч сотрудников Селлафилда ввели некие «специальные меры» в 2022-м. По следам расследования же комментариев не дают ни власти, ни руководство комплекса, которое отрицает и утечки, и их сокрытие. В общем, с 2015-го в Селлафилде ничего не произошло.
@tomhunter
😁5🔥2🤔2🤯2💩1
#digest По следам ушедшего ноября разбираем самые громкие события инфобеза последнего осеннего месяца. Так, был официально запущен CVSS 4.0, а неловкая история с промышленным шпионажем от NVIDIA получила промежуточное судебное решение. Биткоин-кошельки в период с 2011-го по 2015-й год оказались уязвимы для брутфорса, Binance получил крупный штраф и лишился гендиректора, а любимец криптостахановцев из Lazarus, криптомиксер Sinbad, был перехвачен ФБР.
Кроме того, на Украине Интерпол нанёс финальный удар по операторам рансомвари LockerGoga, а на наших родных просторах ноябрь оказался богат на занятные ИБ-инициативы от Минцифры и компании. Об этом и других новостях прошлого месяца читайте на нашем Хабре!
@tomhunter
Кроме того, на Украине Интерпол нанёс финальный удар по операторам рансомвари LockerGoga, а на наших родных просторах ноябрь оказался богат на занятные ИБ-инициативы от Минцифры и компании. Об этом и других новостях прошлого месяца читайте на нашем Хабре!
@tomhunter
❤3🔥2
#news Впечатляющие результаты взломов от криптостахановцев из Lazarus: с января 2017-го группировка похитила около $3 миллиардов. Согласно подсчётам, 44% всей похищенной в мире крипты в прошлом году приходится на активность злоумышленников из Северной Кореи.
При этом группировка атакует не только биржи, но также отдельных юзеров и венчурные компании. И за один только 2022-й хакеры из КНДР стянули 1,7 миллиарда криптой, что составляет 5% бюджета страны и 45% её военных расходов. Иными словами, криптовалютные кражи финансируют военную программу КНДР — за последние годы рост взломов соседствует с возросшим числом запусков ракет. Такой вот «High tech, low life» в весьма оригинальном прочтении сумрачного северокорейского гения.
@tomhunter
При этом группировка атакует не только биржи, но также отдельных юзеров и венчурные компании. И за один только 2022-й хакеры из КНДР стянули 1,7 миллиарда криптой, что составляет 5% бюджета страны и 45% её военных расходов. Иными словами, криптовалютные кражи финансируют военную программу КНДР — за последние годы рост взломов соседствует с возросшим числом запусков ракет. Такой вот «High tech, low life» в весьма оригинальном прочтении сумрачного северокорейского гения.
@tomhunter
😁6🔥2🤯2❤1💯1
#news Исследователи обнаружили более 15 тысяч репозиториев модулей Go на GitHub, уязвимых к захвату репозитория, он же RepoJacking. Более 9 тысяч из-за смены имён юзеров, более 6 тысяч на удалённых аккаунтах. Суммарно в них лежат ~800 тысяч версий модулей, так что потенциал атак на цепочку поставок солидный.
Проблема усложняется тем, что в отличие от npm и PyPI у GO нет централизованных репозиториев, и они публикуются децентрализованно на том же Гитхабе. Так что стандартные методы компании по борьбе с RepoJacking здесь неэффективны — злоумышленник может кэшировать модуль на зеркале в обход основного репа. В общем, решение нетривиальной проблемы лежит на Go и GitHub — энтузиасты 15 тысяч защитных аккаунтов вряд ли нарегистрируют. А до тех пор разработчикам на Go придётся под лупой отслеживать статус используемых модулей и репозиториев.
@tomhunter
Проблема усложняется тем, что в отличие от npm и PyPI у GO нет централизованных репозиториев, и они публикуются децентрализованно на том же Гитхабе. Так что стандартные методы компании по борьбе с RepoJacking здесь неэффективны — злоумышленник может кэшировать модуль на зеркале в обход основного репа. В общем, решение нетривиальной проблемы лежит на Go и GitHub — энтузиасты 15 тысяч защитных аккаунтов вряд ли нарегистрируют. А до тех пор разработчикам на Go придётся под лупой отслеживать статус используемых модулей и репозиториев.
@tomhunter
🔥5❤2🤯1
#news 7 декабря в Москве стартует ежегодная аналитическая конференция «Код ИБ: Итоги 2023». В конференции примут участие ключевые игроки сферы информационной безопасности — вендоры, регуляторы, эксперты и заказчики — и подведут итоги уходящего года.
Это отличный повод узнать, что нового предложили рынку поставщики решений, какие проекты были запущены и сколько граблей собрали по пути. А также услышать прогнозы на следующий год и узнать последние инфобез-тренды. Уникальный формат, непринуждённая атмосфера и прочие плюшки прилагаются. Присоединяйтесь, будет интересно! С программой конференции можно ознакомиться здесь.
@tomhunter
Это отличный повод узнать, что нового предложили рынку поставщики решений, какие проекты были запущены и сколько граблей собрали по пути. А также услышать прогнозы на следующий год и узнать последние инфобез-тренды. Уникальный формат, непринуждённая атмосфера и прочие плюшки прилагаются. Присоединяйтесь, будет интересно! С программой конференции можно ознакомиться здесь.
@tomhunter
🔥3❤1
#news Ещё один яркий пример опенсорса, уязвимости в котором затрагивают целую индустрию. На этот раз речь про Web3 и смарт-контракты под NFT. Платформа для Web3-разработки Thirdweb сообщила о баге в неназванной опенсорсной библиотеке, ставящем под угрозу десятки типов смарт-контрактов.
Компания выпустила костыль и начала уведомлять участников рынка. Уязвимые контакты закрывают и мигрируют NFT на новые, платформы выпускают заявления, чтобы успокоить держателей картинок с обезьянками и прочих сверхценных активов в эпоху позднего капитализма. Между тем никаких подробностей об уязвимости нет — ни CVE, ни названия библиотеки. Юзеры жалуются на отсутствие прозрачности и публикацию тулкита без документации, в то время как злоумышленники могут подвергнуть костыль реверс-инжинирингу и отправиться по уязвимые смарт-контракты. Так или иначе, призрак опенсорса продолжает бродить по индустриям, грозя значительным ущербом.
@tomhunter
Компания выпустила костыль и начала уведомлять участников рынка. Уязвимые контакты закрывают и мигрируют NFT на новые, платформы выпускают заявления, чтобы успокоить держателей картинок с обезьянками и прочих сверхценных активов в эпоху позднего капитализма. Между тем никаких подробностей об уязвимости нет — ни CVE, ни названия библиотеки. Юзеры жалуются на отсутствие прозрачности и публикацию тулкита без документации, в то время как злоумышленники могут подвергнуть костыль реверс-инжинирингу и отправиться по уязвимые смарт-контракты. Так или иначе, призрак опенсорса продолжает бродить по индустриям, грозя значительным ущербом.
@tomhunter
🔥5😁3🤯1🤡1
#cve На Хабре наша традиционная подборка самых интересных CVE за прошедший месяц. В ноябре засветились несколько критических и высоких уязвимостей под Linux-системы: так, у нас выполнение произвольного кода в FreeBSD, отказ в обслуживании в ядре Linux и повышение привилегий в OverlayFS ядра Ubuntu. Помимо этого, в топ попали Use-after-free уязвимости в компонентах Google Chrome, повышение привилегий в DataHub и многочисленные уязвимости в продуктах Fuji Electric. За подробностями добро пожаловать на наш Хабр!
@tomhunter
@tomhunter
❤6