FCK RKN VPN в VPNLove

❗️В нашем списке надежных VPN провайдеров пополнение: знакомый многим по истории с блокировкой Telegram бот @FCK_RKN_bot теперь предоставляет услуги VPN.

💡 Это "знаменитый" по борьбе с блокировкой Telegram-бот, который не ведет логи, оплата возможна в том числе криптой, осуществляется мониторинг серверов и соответствие GDPR, поддержка двух протоколов.

Все взаимодействие проходит внутри Telegram. Доступно много фишек: оплата криптой, безлимитный трафик, мониторинг серверов, соответствие GDPR.

👁‍🗨 И главное, не ведут логи и поддерживают два протокола: классический OVPN и быстрый WireGuard.
Отдельно рекомендуем попробовать WireGuard. Это действительно быстрый протокол VPN со значительно более низким пингом.

Проверьте бесплатно в течении трёх дней, при активации этого промокода. этого промокода.
Дальше стоимость от 227 ₽/мес.

Яндекс отключил расширения с аудиторией в 8 млн пользователей.

Яндекс принял решение отключить расширения SaveFrom.net, Frigate Light, Frigate CDNSaveFrom.net, Frigate Light, Frigate CDN и некоторые другие, установленные у пользователей Яндекс.Браузера. Совокупная аудитория этих инструментов превышает 8 млн человек.

Расширения используют пользователей для накрутки просмотров роликов на разных площадках, включая рекламные видео. Ролики воспроизводятся на компьютере тайно — в беззвучном режиме на фоновой странице, рассказали в «Яндексе». Загрузка видео тратит существенный график и создаёт нагрузку на вычислительные ресурсы компьютера, объяснили в компании.

Схема запускалась только при активном использовании браузера, а код включал в себя защиту от обнаружения, добавил представитель «Яндекса».

Кроме того, «Яндекс» нашли в исходном коде функции, которые могут использоваться для перехвата oAuth-токенов «ВКонтакте». В коде также есть механизм, который позволяет динамически загружать и выполнять любой произвольный код без обновления самих расширений и в обход модерации каталогов.

Вредоносный код обнаружен в более чем 20 расширениях, «Яндекс.Браузер» отключил их поддержку.

Компании передали результаты исследования разработчикам «ВКонтакте» и популярных браузеров. Включить расширения, несмотря на угрозу, можно в разделе «Дополнения» в настройках «Яндекс.Браузера», но компания не рекомендует этого делать.

Полный список расширений с вредоносным кодом есть в блоге «Яндекса» на «Хабре».
#новости

Яндекс накручивает оценки своим приложениям в App Store.

Вместо того, чтобы прислушиваться к критике и улучшать продукты в интересах пользователей, Яндекс накручивает положительные оценки.

Например, рассмотрим "инновационный" Браузер от Яндекса на iOS, который от Google Chrome не сильно отличается, так как сделан на его же основе. Конечно, Яндекс.браузер выделяется встроенными сервисами для заказа еды или определения номеров, но к сёрфингу интернета это не имеет никакого отношения.

Если верить аналитике Яндекса, то 9% устройств выходят в сеть через Яндекс.Браузер, а Google Chrome используют лишь 4% пользователей. Разница составляет в 2.5 раза. Данная информация никак не укладывается в текущую картину оценок в App Store. Яндекс.Браузер имеет в 63 раза (!!!) больше оценок, чем google Chrome, 509 тысяч против 8 тысяч. Данные касаются только iOS по России.

Глядя на эти оценки, может показаться, что Google является стартапом, а Яндекс успешная IT-компания с капитализацией в триллион долларов.

@Gendargenoevsky

Один шатдаун интернета стоит сотни миллионов рублей в сутки

Общество защиты интернета (ОЗИ) провело исследование в области устойчивости регионов России к шатдаунам, а также рассчитало стоимость отключения интернета. «У каждого отключения связи всегда есть и экономические последствия, которые также нуждаются в оценке, — пишет ОЗИ. — В частности, стоимость шатдауна может быть для власти одним из факторов принятия решения об отключении интернета в конкретном регионе». Эксперты попытались оценить экономические потери интернет-шатдауна для каждого региона России. При каждом отключении связи страдают не только бизнес-процессцы, завязанные на электронные сервисы, но также объекты социальной значимости, больницы и экстренные службы, предприятия, учебные заведения, поскольку доступ к онлайн-информации в наше время жизненно важен и критичен.

Из приведенного нами рейтинга можно сделать вывод, что стоимость одного дня полного отключения интернета достаточно высока даже в небольших регионах — например, в той же Ингушетии. Очевидно, принимая политическое решение отключить связь, власти не берут в расчет потери экономики региона — и руководствуются исключительно своими опасениями и нежеланием искать другие пути улаживания конфликата.

​​Какой лучший подарок для интернет пользователя в России?🎉

Конечно же VPN!

В этом году было принято рекордное количество законов, создающих трудности с доступом к интернет ресурсам. Особое внимание теперь будет уделяться словам и трафику пользователей. Не говоря уже про мошенничество. Поэтому использование VPN становится все более актуальным.

Если у вас есть подписка, то с помощью нашего бота @FCK_RKN_bot можно сделать полезный подарок близкому человеку😻

Все очень просто: в меню "Мой VPN" выберите пункт "Подарить VPN", далее все интуитивно. В итоге у вас будет ссылка, которую нужно отправить любому человеку, даже тому, кого нет в боте.

Шифровальщик под видом Cyberpunk 2077

Не успела игра Cyberpunk 2077 выйти для Windows и консолей, как в Сети обнаружили «бета-версию для Android». Ее совершенно бесплатно можно было скачать с сайта с говорящим именем cyberpunk2077mobile[.]com. Но ведь разработчик до сих пор ни в каком виде не анонсировал мобильный вариант игры! Мы решили проверить, что за приложение раздают авторы сайта.

​​Вы знали, что в ИТ-индустрии есть специалисты, которые вживаются в роль хакеров и атакуют свои же системы? Так они проверяют надежность защиты ПО и оборудования от вирусов и утечки данных. Это называется пентест — тестирование на проникновение. Айтишники, которые этим занимаются, — пентестеры. Или охотники за уязвимостями.

Интересно? Тогда приходите на курс «Специалист по анализу защищенности» от GeekBrains. Изучите основы Python, работу с Linux, методологию тестирования и механизмы защиты. В учебной программе — Map, Massdns, HTTP, WAF, Content Security Policy, Same Origin Policy, SSRF, XXE, OAuth 2.0, RCE, Bug Bounty, Penetration Testing и Burp suite. В общем, все, что нужно пентестеру для хорошей охоты.

Курс подходит для новичков! Записывайтесь по ссылке

​​Как обнаружить признаки взлома?☄️☄️☄️

Узнаете на интенсиве "Кибербезопасность: Level 0" от HackerU. Как это будет?

— 3 дня и 15 ак.часов практики
— Видеоконференции и чаты с преподавателями
— Занятия с действующими ИБ-специалистами
— Обратная связь 24/7

Вы разберете эффективные инструменты для анализа безопасности сетей и получите бонусы при поступлении на любые другие курсы по кибербезопасности от HackerU.

Количество мест в группе ограничено! Успейте записаться: https://is.gd/IQ6Kws

Обзор черного рынка “пробива” российских физлиц за 2020 год

Тем, кто до сих пор не знает, что такое «пробив»,  – это предоставление информации по конкретному человеку (или компании) из базы данных организации практически в режиме реального времени, инсайдером, имеющим доступ к этим данным в силу своих служебных обязанностей. Проследим динамику с 2017 года.

Ну что, возвращаемся к работе?

Начнем с самых важных новостей за прошлый месяц. Часть I.
• Атака на Pickpoint
•  2 000 000 долларовна Hackerone
•  Виннику ыынесли приговор
•  Монетизация Telegram
•  Коронавирусная утечка
•  Взлом на заказ
•  Ram для Wi-Fi
•  450 000 за Bitcoin
•  Pwnie Awards 2020
•  Плохая защита смартфонов

Не могу не упомянуть тут отдельно победителей "Оскара" в сфере ИТБ за прошлый год по вер­сии жюри Pwnie Awards:
- Луч­ший баг на сто­роне сер­вера: BraveStarr — RCE в демоне Telnet на сер­верах Fedora 31.
- Луч­ший баг на сто­роне кли­ента: обна­ружен­ная коман­дой Google Project Zero MMS-ата­ка на телефо­ны Samsung, работа­ющая без еди­ного кли­ка.
- Луч­ший баг повыше­ния при­виле­гий: Checkm8 — уяз­вимость, поз­волив­шая осу­щес­твить пол­ный джей­лбрейк любых устрой­ств Apple с чипами от A5 до A11, выпущен­ными меж­ду 2011 и 2017 годами.
- Луч­шая крип­тогра­фичес­кая ата­ка: Zerologon — баг в про­токо­ле аутен­тифика­ции Microsoft Netlogon, исполь­зование которо­го зак­люча­ется в добав­лении нулей в опре­делен­ные аутен­тифика­цион­ные парамет­ры.
- Са­мое инно­ваци­онное иссле­дова­ние: TRRespass — обход защиты TRR в сов­ремен­ной RAM для выпол­нения атак Rowhammer.
- Са­мая жал­кая реак­ция вен­дора: Дэни­ел Дж. Берн­штейн — за то, что не спра­вил­ся с багом в далеком 2005 году.
- Са­мое недо­оце­нен­ное иссле­дова­ние: Габ­риэль Нег­рей­ра Бар­боса, Род­риго Рубира Бран­ко (BSDaemon), Джо Чихула (Intel) за обна­руже­ние CVE-2019-0151 и CVE-2019-0152 в Intel System Management Mode и Trusted Execution Technology.
- Са­мый эпи­чес­кий фейл: Microsoft в свя­зи с проб­лемой CurveBall, суть которой про­явля­ется во вре­мя валида­ции сер­тифика­тов Elliptic Curve Cryptography (ECC), поз­воляя лег­ко под­делывать HTTPS-сай­ты и легитим­ные при­ложе­ния.
- Са­мое эпи­чес­кое дос­тижение: Гуан Гун, извес­тный китай­ский баг­хантер, за обна­руже­ние CVE-2019-5870, CVE-2019-5877, CVE-2019-10567, то есть трех оши­бок, которые поз­воляли уда­лен­но зах­ватить устрой­ства Android Pixel.

​​Какие уязвимости будут в топе для эксплуатации в 2021 году?🧨🧨🧨

Поговорим об этом на интенсиве «Pentesting: Level 0», где вы также узнаете, из чего состоят будни пентестера на практике. Как это будет?

— 3 дня и 15 ак.часов практики в формате турнира (CTF)
— Проверка дз практикующими пентестерами
— Видеоконференции и чаты с преподавателями
— Обратная связь 24/7

Вы разберете типичные задачи RedTeam, изучите процессы взлома и инструменты для работы с анализом защищенности, а также получите бонусы при поступлении на любые практические курсы по кибербезопасности!

Не пропустите запуск интенсива! Запись по ссылке: https://is.gd/4rMEXq

Важные новости за декабрь. Часть II

• Фермы против банков
• Годы на исправление уязвимостей
• Казахстанский «Сертификат безопасности»
• 12 января 2021 Года
• Яндекс против расширений
• 270 000 владельцев Ledger
• Закрытие «Хакерских» VPN
• Rdp-атаки
• Взлом Exmo

​​Онлайн-мероприятие Cisco для малого и среднего бизнеса!

За время пандемии мы осознали, что его можно вести, не будучи привязанными к своим традиционным рабочим местам. Теперь мы можем работать из любой точки мира, где есть Интернет, к которому можно подключить свой ноутбук, планшет или смартфон и получить доступ к приложениям и данным, находящимися в нашем ЦОДе или в облаке.
Но с этими возможностями пришли и новые страхи:
• могу ли я доверять облачным сервисам или личным устройствам работников?
• как мне обезопасить подключение удаленного или мобильного работника?
• как гарантировать, что к моим данным не получит доступ злоумышленник, прикрывающийся учетной записью моего сотрудника?
• как быть уверенным, что к моим приложениям не подключится теща или свекровь моего сотрудника с его домашнего компьютера?
На предстоящем онлайн-мероприятии Cisco 21 января Алексей Лукацкий, бизнес-консультант по безопасности Cisco, ответит на эти и многие другие вопросы, возникающие в процессе перехода к новой, постковидной реальности.

Ждем вас:
🗓 21 января с 11.00 до 13.00 (МСК)
на мероприятии:
Офис-2021: гибридное настоящее. Как работать эффективно в любых условиях, не теряя производительность бизнеса.
Зарегистрироваться можно здесь: http://bit.ly/3pymI2q
Приходите, будет интересно и полезно: все участники получат практичный чек-лист, который позволит оценить, насколько их компании уже сейчас готовы к работе с учетом всех вопросов кибербезопасности.

Самый беззащитный — уже не Сапсан.

Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.

В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин.

То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».

К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора:
Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.

И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан

Власти РФ намерены лицензировать мессенджеры Skype, Viber, WhatsApp

Федеральное агентство связи РФ заинтересовано в лицензировании на территории РФ Skype, Viber, WhatsApp и других мессенджеров, позволяющих осуществлять звонки по Сети на городские и мобильные телефоны. Лицензия могла бы упростить органам безопасности контроль над подобными сервисами.

Как сообщается в тендерной документации на портале госзакупок от 13 января, начальная стоимость исследования оценивается в 50,2 млн руб. Исполнителю нужно будет провести исследование нормативной базы РФ регулирования интернет-сервисов, осуществляющих голосовые вызовы на сети связи общего пользования, виртуальных АТС и деятельности операторов передачи данных. Также исполнителю поручено проанализировать существующую организацию пропуска трафика VoIP (Voice over IP) в телефонной сети общего пользования.

Под регулирование могут попасть мессенджеры Viber, WhatsApp, Skype, «Mail.ruMail.ru Агент» и Hangouts.

Эксперты полагают, что на практике реализовать подобное решение будет невозможно, поскольку компании не захотят раскрывать детали своих технологий.
#новости

​​Онлайн-мероприятие Cisco для малого и среднего бизнеса!

Офис-2021: гибридное настоящее. Как работать эффективно в любых условиях, не теряя производительность бизнеса.

🗓 21 января с 11.00 до 13.00 (МСК)

Приглашаем вас на онлайн-мероприятие Cisco, где мы обсудим, как компании при ограниченных бюджетах могут изменить свою организацию, чтобы повысить эффективность бизнеса.

У нашей встречи две ключевые цели:

Первая: Даже в условиях новой реальности – пандемия, удаленка, возросшие нагрузки на ИТ, новые угрозы безопасности – бизнес для своего выживания может быстро и без особых проблем измениться, используя технологические достижения.

Вторая: Cisco – это не всегда дорого и не только для крупных компаний. У нас есть, что предложить малому и среднему бизнесу.  

21 января мы поговорим о трех главных вызовах и, одновременно, возможностях: сети, организация удаленной работы и, конечно же, безопасность. Вы услышите не только наших экспертов в области сетей, решений для совместной работы и безопасности, но и наших заказчиков, которые поделятся своим опытом. Нам есть что рассказать!

Присоединяйтесь, будет интересно и полезно.

Зарегистрироваться на мероприятие можно здесь: http://bit.ly/3pymI2q

Маркетологи владеют специализированными сайтами и продают услуги по формированию репутации

В российском интернет-сегменте есть десятки сайтов с отзывами о товарах и услугах. Прежде чем что-то купить или даже устроиться на работу люди заходят на сайты-«отзовики» в надежде прочитать честные комментарии других пользователей. Однако хитрые digital-агентства делают бизнес на управлении выбором потребителя. Создаются целые сетки ресурсов, чтобы размещать на них заказные положительные мнения. Фейковые отзывы иногда публикуют и на сайтах крупных интернет-магазинов или сервисов «Яндекса» и Google.

​​С чего начать обучение в сфере кибербезопасности? 🔒⚔️🛡

С полного погружения в рабочие задачи ИБ-специалиста на интенсиве «Кибербезопасность: Level 0» от HackerU. Какой формат занятий?

— Закрытые видеоконференции и чаты с экспертами
— Обратная связь 24/7
— 3 дня и 15 ак.часов с действующими ИБ-специалистами
— Только практика и разбор реальных кейсов

После интенсива вы сможете создавать тестовые стенды для анализа безопасности, перехватывать и анализировать сетевой трафик, разворачивать систему обнаружения вторжений (IDS) на основе NextGen Firewall, а дальше больше!

Количество возможных участников ограничено. Записывайтесь на интенсив по ссылке: https://is.gd/IQ6Kws

ИИ на службе преступников: чего ждать в ближайшем будущем

Злоумышленники, как и вполне законопослушные граждане и компании, заинтересованы в более эффективной автоматизации и совершенствовании процессов. У авторов исследования Trend Micro Malicious Uses and Abuses of Artificial Intelligence особую тревогу вызывают перспективы преступного применения ИИ, которые уже в ближайшие годы позволят злоумышленникам еще больше повысить изощренность своих атак и сделать их совершенно невыявляемыми. Поговорим о будущем киберпреступного применения технологии искусственного интеллекта.

- Вредоносные программы нового поколения
- Имитация живых людей
- Социальная инженерия нового поколения
- Поиск значимых данных в массивах похищенной информации
- Отравление данных глубокого обучения
- Поможет ли отказ от ИИ?

​​👀 Слежка за гражданами, кража персональных данных, другие киберпреступления — заметили, как часто мы стали слышать новости об этом? И это не удивительно, ведь подобные инциденты все чаще и чаще происходят не только с крупными компаниями, но и с обычными гражданами (а ведь кто-то этого даже не замечает).

Именно поэтому мы хотим познакомить вас с телеграм-каналом Большой брат, который ведут наши хорошие друзья, являющиеся экспертами в области цифровой безопасности.

Подписывайтесь на их канал @mediainsider и следите за актуальными новостями из сферы IT и законодательного регулирования.