Онлайн мастер-класс по Сайберсекьюрити™ — Взломы. Защита. Расследования.

У нас с Майкрософт для вас есть нечто потрясающее: мастер-класс от Паулы Янушкевич по инф. безопасности.

Паула — монстр индустрии, признанный мировой эксперт в области кибербезопасности с 14-летним опытом. Компания CQURE, которую Паула Янушкевич возглавляет,  проводит pentesting, консультирует по вопросам архитектуры, организует тренинги и семинары. В портфолио Паулы несколько сотен проектов: как в крупных коммерческих компаниях, так и в государственных организациях. Она выступала на таких конференциях как Microsoft Ignite, RSA, Black Hat, TechEd, CyberCrime и других.

В этом мастер-классе Паула раскажет о современных техниках, используемых в ransomware-шифровальщиках, затронет вопрос мониторинга и расследования кибератак.

В общем, на редкость классное образовательное мероприятие с настоящей рок-звездой Сайберсекьюрити™. Сам поучаствую и вам советую.

Регистрация вот здесь:
https://aka.ms/cqure_tg19

​🐛 Баг в Google+ привел к утечке данных более чем 52 миллионов пользователей.

Несколько месяцев назад Google объявила о закрытии собственной социальной сети Google+, рассказав про серьезную брешь в безопасности в октябре этого года, пообещав полностью закрыть продукт в августе 2019-го. И вот вроде бы продукт уже одной ногой в могиле, но вчера Google буквально выпустил новую серию своих «Ходячих Мертвецов».

10 декабря, компания обнародовала информацию о новой дыре в Google+, которая прожила целых шесть дней в течение ноября. Речь идёт об API социальной сети для разработчиков: в результате ошибки инженеров компании, сторонние разработчики могли получать данные (email'ы, место работы, пол, дата рождения, семейное положение) даже если пользователи скрыли эти данные из общего доступа в настройках приватности. В результате этого инцидента, данные более чем 52.5 млн. пользователей оказались доступны сторонним приложениям, однако в компании отмечают, что пока у них нет подтверждений того, что кто-то успел этим воспользоваться.

В Google также сообщили о решении ускорить закрытие собственной соц. сети (видимо, от греха подальше) и перенесли срок отключения Google+ с августа 2019 на апрель того же года.

​🚰 В Facebook сообщили об утечке фотографий более чем 6 миллионов пользователей.

В руководстве популярной социальной сети сегодня признали, что фотографии 6,8 млн. пользователей, скрытые настройками конфиденциальности пользователей, а также неопубликованные, но загруженные на серверы Facebook фотографии были доступны третьим лицам.

Как и в случае с утечками в Google, проблема связана с API сервиса — именно через него сторонние разработчики могли свободно получать доступ ко всем фотографиям пользователей. В Facebook сообщают, что воспользоваться брешью могли до 1500 различных сторонних приложений, не имеющих отношения к социальной сети.

​Мастер-класс по оценке информационной безопасности предприятий от «+Альянс».

Компания «+Альянс», серебряный партнёр Microsoft, проводит вебинар, который позволит вам самостоятельно оценить уровень кибербезопасности вашего предприятия. 

В мире современных технологий, где ежедневно мы сталкиваемся с новыми вызовами, атаками, уязвимостями и прочими угрозами необходимо знать, как защитить сеть вашей компании, как оценить вашу защищенность и какие методики использовать для обеспечения высокого уровня безопасности.

Присоединяйтесь, чтобы узнать о частых ошибках в построении архитектуры безопасности, которые легко используют злоумышленники и понять, какие действия стоит предпринять вашей организации, чтобы обезопасить вашу инфраструктуру от киберугроз. 

Основные темы мероприятия: 

- Текущая ситуация в области угроз безопасности;
- Механика проникновения злоумышленника в сеть предприятия;
- История одного пентеста реальной организации сектора малого и среднего бизнеса;
- Варианты защиты информационной системы от угроз.

Мероприятие будет полезным для специалистов в области IT-безопасности, системных администраторов, архитекторов по инфраструктуре, системных инженеров и других специалистов, ответственных за обеспечение безопасности сети и периметра организации.

Подробнее:
https://goo.gl/kTgkds

🎉 Сегодня у нас маленькая радость — приложение Connecto VPN наконец-то появилось в Mac App Store.

Обладатели компьютеров Apple уже могут загрузить наше приложение и подключиться к VPN всего в пару кликов.
Пробуйте, оценивайте и присылайте нам ваши отзывы на feedback@veesecurity.com или мне в личку — @alexlitreev.
Посмотрим, как пойдет, поправим всё, что не удалось найти нам, но найдёте вы и выпустим обновление.

App Store: https://goo.gl/ZNyWvK

А если вы еще не попробовали наш VPN, то приобрести его можно на нашем сайте.

Ща поорёте.

💩 Роскомнадзор vs. «Умное Голосование» — эксперимент.

Как вы знаете, недавно Роскомнадзор заблокировал сайт-проект «Умное Голосование» Алексея Навального, где последний предлагал интересную и (!!!) абсолютно легальную стратегию победы над Единой Россией на "выборах" в суровой российской реальности.

Сегодня РКН выпустил разъяснения. Оказывается, сайт проекта был заблокирован, так как он использовал Яндекс.Метрику и Google Analytics, а пользователя о сборе статистики, видите ли, не уведомили. И согласия не спросили. Безобразие.

Я решил провести эксперимент — будет ли РКН последователен в своих действиях? И написал небольшой пост и обращение.

Вуаля:
https://goo.gl/CwJPNr

Ну и про 20 млрд. рублей на блокировку Telegram

Особо нового по этому поводу сказать нечего, поэтому дал коротенький комментарий интернет-журналу Сноб на пару с Аней.
Если коротко: опять распиливание денег, бесполезное выкидывание средств налогоплательщиков на ветер, ведь каким бы хорошим бы не был бы DPI — его всегда можно будет обойти.

https://snob.ru/entry/169892

Ну и тут еще такой кринж вам, на ночь глядя.
Сразу дисклеймер, на всякий случай — канал пародийный (надеюсь) 🙂

https://t.me/zharov_official/29

​О-о-о-блака, белогривые лошадки!

Не секрет для тех, кто делает что-то грандиозное — относительно недавно запустилось Яндекс.Облако.

Это такая облачная платформа, где можно создавать проекты на тех же технологиях и инфраструктуре, что и у сервисов самого Яндекса. Всё серьезно: виртуалочки, объектное хранилище just like AWS S3, базы данных - PostgreSQL, MongoDB и ClickHouse. До кучи, сюда перекочевали и API Переводчика, и SpeechKit с распознаванием/синтезом речи (привет, Алиса).

Проще говоря — полноценное облако. К тому же, это всё покрыто адекватной документацией, для пущей вязкости. Есть веб-консоль, API и CLI.

При регистрации дают 4000 деревянных (!!!), чтобы можно было попробовать все-все сервисы: https://clck.ru/ExTD8. 

Если посмотреть на канал проекта (https://t.me/yandexcloudnews), то можно заметить, что платформа развивается довольно бодро: регулярно появляются новые сервисы и фичи.

Правительство РФ потратит 30 миллиардов рублей на информационную безопасность.

25 декабря Дмитрий Медведев сообщил, что информационной безопасности в России будет уделено особое внимание. По его словам, в рамках программы «Цифровая Экономика» правительство выделит более 30 млрд. рублей на создание отечественных сервисов для защиты персональной информации. Премьер добавил, что главную роль играет программное обеспечение и государство будет предпринимать меры, чтобы "свои сервисы рождались".

Well, это на 10 миллиардов больше, чем РКН, как сообщают в Би-Би-Си, собрался потратить на новую систему для блокировки Telegram. Хотелось бы верить, что это не очередное распиливание бюджетных денег.

#ПолезныеКурсы — Школа современного IT-администратора#ПолезныеКурсы — Школа современного IT-администратора

Напоминаю, что в онлайн-университете Нетологии всё еще приглашают всех желающих в Школу Современного IT-администратора. Безопасность корпоративных сетей Windows, всё о современных угрозах, предотвращение утечек информации в сетях малого и среднего бизнеса — это и многое другое будет подробно разобрано по полочкам лучшими специалистами Microsoft MVP. По — именной сертификат от Нетологии.

И всё это — бесплатно.

Регистрация на курс:
https://goo.gl/1MxSTR

Знаете, как зовут существо, которое пытается испортить людям праздник, оживляясь с блокировкой Telegram под новый год? Я знаю.

А у тех, у кого наш VPN от @VeeSecurity, никакой Гринч/Жаров не украдёт праздник.

Присоединяйтесь:
https://veesecurity.com/ru

🎄Новогоднее обращение

Дорогие друзья, я записал для вас небольшое поздравление на новый год. Прослушайте его, пожалуйста.

Всех с наступающим праздником.

А текстом мои личные итоги года здесь: https://goo.gl/hLSH3o

Известный файл-менеджер ES File Explorer критически уязвим.

Популярный файловый менеджер для ОС Android оказался уязвим — злоумышленники, находящиеся в одной сети с жертвой могут получить доступ к данным смартфона последней. Проблема кроется в особенностях работы приложения: ES File Explorer запускает на устройстве веб-сервер, доступ к портам которого никак не ограничен извне. Таким образом, любой участник локальной сети жертвы может подключиться к такому веб-серверу и скомпрометировать информацию с устройства. Как вы уже догадались, никакой авторизации при подключении не требуется.

Моя наблюдательная подписчица заметила, приложение открывает целых три порта — 37972, 42135, 59777. Зачем — не ясно.

Последняя версия приложения тоже подвержена вышеупомянутой уязвимости.

https://techcrunch.com/2019/01/16/android-app-es-file-explorer-expose-data/

В сети опубликовали крупнейшую базу скомпрометированных аккаунтов.

На файловый хостинг MEGA была загружена база данных email-адресов и паролей, состоящая из более чем миллиарда записей. Трой Хант, владелец ресурса "Have I Been Pwned" сообщил об этом сегодня в своём блоге. Эта крупнейшая база скомпрометированных аккаунтов содержит в себе более двух тысяч ранее публиковавшихся утечек. Хороший повод в очередной раз проверить себя на haveibeenpwned.com и поменять пароли.

⏳ Часики тик-так, г-н Жаров

Завтра, 18 января, истекает срок рассмотрения моего обращения в Роскомнадзоре. Не испытываю никакого оптимизма касательно скорости работы (да и вообще, работы в прицнипе) РКН и составляю обращение в Генпрокуратуру РФ. О подробностях сообщу дополнительно чуть позднее.

Level Up — я иду в Ген. Прокуратуру

Направил письмо в Генеральную Прокуратуру с требованием инициировать проверку в отношении А. А. Жарова и Роскомнадзора по факту нарушения законодательства об обращениях граждан, потребовал привлечь Роскомнадзор к ответственности и обязать предоставить ответ на отправленное мной ранее обращение. Если и это не поможет (ха-ха) — пойдем еще дальше.

Вполне вероятно, что эта ситуация будет доведена до судебны разбирательств, ибо иллюзий по поводу того, как охотно работают с обращениями граждан наши органы, я не питаю.

Поддержать этот кейс можно здесь:
https://litreev.com/donate

⚡️ Миллионы беспроводных чипов Wi-Fi оказались критически уязвимыми

Эксперты американской компании из Беркли Embedi, специализирующейся на информационной безопасности сообщили о ряде критических уязвимостей в операционной системе реального времени (RTOS) ThreadX. ThreadX является одним из самых распространенных вариантов прошивки для беспроводных чипов, широко используется в продуктах компаний Broadcom, Marvell, Realtek и многих других.

Как выяснилось, ПО содержит уязвимости связанные с повреждением памяти (Memory Corruption Vulnerability), одна из таких уявзимостей не требует никаких действий пользователя для эксплуатации и может быть использована во время сканирования доступных сетей для получения контроля над устройству жертвы. Злоумышленнику достаточно сформировать вредоносный пакет и отправить его на устройство пользователя — при следующем сканировании Wi-Fi сетей устройство будет скомпрометировано.

Наглядно эксплуатацию уязвимости продемонстрировали на основе чипа Marvell Avastar 88W8897, что используется в современных игровых консолях Microsoft и Sony, многочисленных ноутбуках, смартфонах и планшетах.

Более подробно в блоге самой Embedi:
https://embedi.org/blog/remotely-compromise-devices-by-using-bugs-in-marvell-avastar-wi-fi-from-zero-knowledge-to-zero-click-rce/

🤷‍♂️ Рубрика #поорать:#поорать:

Чтобы вы понимали, кто нам законы пишет: на официальном сайте Яровой (автора того самого пакета законов, что якобы "про безопасность в интернетах" и "защиту от терроризма") абсолютно детсадовские XSS-уязвимости. Уже не говорю о том, что сам сайт просто истекает сообщениями об ошибках из всех щелей.