В США без объяснения причин был задержан Маркус Хатчинс (Marcus Hutchins), известный тем, что первым остановил распространение вируса WannaCry. Такие дела.

Источник: https://motherboard.vice.com/en_us/article/ywp8k5/researcher-who-stopped-wannacry-ransomware-detained-in-us-after-def-con

Сайт, где вы можете проверить, попала ли ваша электронная почта в списки утечек, произошедших за последние 10 и более лет, а так же проверить свой пароль на нахождение в этих же списках.
https://haveibeenpwned.com

Пользователь под ником "Hack-with-Github" опубликовал свою коллекцию полезных ссылок под названием "Awesome Hacking". В списке есть книги, исходные коды, эксплоиты, техники и другие полезные материалы для пентестеров, хакеров и ресечеров в области ИБ. Enjoy!

https://github.com/Hack-with-Github/Awesome-Hacking

Шпаргалочка о том, как пользоваться сканером сети nmap, подготовленная компанией Stationx для мамкиных хакеров и забывчивых пентестеров.

В США разгорается скандал вокруг Disney, мол компания, несмотря на закон о конфиденциальности детей в Интернете (COPPA), через свои приложения собирает и хранит данные детишек без согласия их родителей. В Disney информацию не подтверждают и готовы оспаривать позицию в суде. Но мы то знаем, как все устроено на самом деле 😏

Источник: http://news.softpedia.com/news/disney-sued-for-spying-on-kids-using-iphone-android-apps-517324.shtml

А вот TechCrunch сообщает, что Apple все таки прогнулась и удалила VPN приложения из китайского AppStore. Кто не знает, в Китае уже давно существует интернет-цензура, и заблокированы все попопулярные соцсети и даже Google. VPN был их последней надеждой.

Напомним, что 21 июля в России был принят закон, запрещающий обходить блокировки Роскомнадзора с помощью VPN или анонимайзеров, а тут вот опыт Китая подоспел. Такие дела.

https://techcrunch.com/2017/07/29/apple-removes-vpn-apps-from-the-app-store-in-china/

Вы ещё не делаете бекапы? Тогда новая версия шифровальщика Локи идёт к вам. Способ распространения классический, через почтовое вложение, которое содержит VBS скрипт, который при запуске скачивает во временную папку, а затем запускает необходимые шифровальщику компоненты. Дальше классика - шифрование файлов системы, затирание следов, генерация htm странички с выкупом. Просят целых $1,600 баксов! Отличная черта новой версии Локи это расширение .diablo6. Доступного лекарства - нет, ну если только бекап, но это уже совсем другая история...

Подробнее здесь: https://www.bleepingcomputer.com/news/security/locky-ransomware-returns-with-spam-campaign-pushing-diablo6-variant/

Но не будем о грустном, ведь в мире существует такое чудо, как программа Bug Bounty, и в Google она работает вполне исправно. Например школьнику из Уругвая заплатили $10000 за то, что он с помощью Burp Suite и заголовка Host в GET запросе получил доступ к закрытому разделу компании Google. И конечно же сразу же сообщил об этом
😔

Об этом он написал в своем блоге: https://sites.google.com/site/testsitehacking/10k-host-header

Немного о наболевшем. Министерство связи и массовых коммуникаций РФ подготовило проект приказа «об утверждении требований к оборудованию и программно-техническим средствам, используемыми организаторами распространения информации в сети «Интернет», который подготовлен с целью реализации пакета Яровой и ряда других регулирующих деятельность организаторов распространения информации (ОРИ) нормативных документов. Сами понимаете, что под "ОРИ" понимается, как наш любимый мессенджер, так и любая соц.сеть или новостной сайт, а также многое другое. В законопроекте много воды (классика), но суть одна - ОРИ должны будут установить определенные программно-технические средства для осуществления сбора и хранения информации в рамках государственной интернет-слежки. За чей счет они должны это делать, а также, как эти требования впишутся в конституцию и законы других стран пока не ясно, но документ сейчас выставлен на общественное обсуждение на Федеральном портале проектов нормативных правовых актов, и вы даже можете высказать свои замечания. Демократия!

Официальный документ тут: http://regulation.gov.ru/projects#npa=18013
Подробнее о проекте приказа на сайте Роскомсвободы: https://rublacklist.net/31045/

Для скучающих практиков предлагаем целую библиотеку материалов по хакингу. Больше знаний, больше жогова!

Когда-нибудь мы составим свою библиотеку полезных материалов, а пока довольствуемся тем, что есть: https://drive.google.com/drive/folders/0B5rqWHARHFcVNUpNamdoMlRqRm8

Астрологи объявили неделю шифровальщиков. Количество шифрующей малвари увеличилось вдвое. Ресурс Bleeping Computer отчитался по направлению "вымогателей" за прошедшую неделю. Здесь вам и свеженький GlobeImposter и обновленный CryptoMix "Ogonia" и даже про арест Сергея Неверова (ответственного по словам украинских властей за распространение шифровальщика NotPetya) не забыли.

https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-11th-2017-globeimposter-and-cryptomix/

Утра доброго, господа! Ребята из Malware Unicorn выпустили краткую инструкцию для тех, кто всегда мечтал стать ресечером. По пунктам от основ, до разбора тестового вируса с его анализом по нескольким векторам. В общем для тех, кому интересно - welcome.

https://securedorg.github.io/RE101/

Думаете вы все знаете про тотальный контроль? - Ха! Кажется предприимчивые китайцы  тестируют "Будущее" под лейблом борьбы с терроризмом. В правительстве КНР разработали шпионское ПО Jingwang (Безопасность Граждан) и принудительно заставили всех мусульман, проживающих в Синьцзян-Уйгурском районе (на секундочку население там 21,81 млн. человек) устанавливать его на свои гаджеты. Кто не повинуется - в тюрьму на 10 дней для профилактики и т.д. В районе даже поставили блок-посты, где людей проверяют, что правительственный вирус установлен на смартфоны граждан. В свою очередь "Jingwang" собирает всю необходимую правительству информацию: WeChat, Weibo, IMSI, IMEI, авторизационные данные в Wi-Fi сетях и т.д. Такие дела.

Источник: https://www.deepdotweb.com/2017/08/12/chinese-government-requiring-muslims-install-spyware-electronic-devices/

Сегодняшнее утро мы бы хотели начать с краткого рассказа о себе. Учитывая, что наш канал постепенно растет, мы решили, что будет правильно, если рассказать о наших ценностях и целях.

Постарались максимально компактно и ясно изложить http://telegra.ph/Cybershit-08-14

Нам нужно больше золота! ТОП 15 самых востребованных IT сертификатов в мире (по версии Forbes). Как видите, ИБ плотно входит в топ самых восокоплачиваемых профессий в IT. То ли еще будет!

https://www.forbes.com/sites/louiscolumbus/2017/03/18/15-top-paying-it-certifications-in-2017/#310bf19d5676

Для совсем ленивых ТОП отдельной картинкой

Вчера подняли тему сертификатов, поэтому хочется уделить внимание еще такому экзамену, как OSCP (Offensive Security Certified Professional). Простыми словами экзамен для пентестеров. В интернете куча споров по поводу необходимости, а также востребованности этого экзамена, но одно можно сказать точно - это хороший базовый экзамен для будущих специалистов в ИБ, поэтому если вы планируете в ближайшем будущем строить карьеру безопасника, OSCP может стать отличной базой.

Для подготовки советуем:
Лабораторные vulnhub.com
Еще больше курсов на cybrary.it
Еще курсы pentesteracademy.com

Gartner на прошлой неделе опубликовали свой магический квадрат по Web Application Firewall (WAF) за 2017 год. Кто не в курсе, WAF - это инструмент для защиты веб-приложений от атак вроде XSS, CSRF, SQL Injection и пр. веб-пиздеца.

Основные тенденции:

1. Сразу две американские компании Akamai и F5 вырвалась в лидеры.
2. На горизонте появилось облачное решение Amazon Web Services (с хорошими перспективами).
3. Тренд на машинное обучение в WAF сохранен.
4. Российская компания Positive Technologies продолжает висеть в визионерах, без каких-то значительных движений по сравнению с 2016.
5. К 2020 году более 50% (сейчас 20%) всех веб-приложений будет защищено с помощью WAF, объединяющих в себе CDN, защиту от DDoS и ботов.
6. К 2020 году WAF станут предпочтительно облачными решениями.

Всегда помните, что Gartner хоть и отражает примерную картину нашего ИБ мирка, но всегда останется инструментом маркетологов, бабла и капитализма.

https://www.gartner.com/doc/reprints?id=1-4893YUG&ct=170731&st=sb

Magic Quadrant for Web Application Firewalls 2017

Знаете про устройство USB Rubber Ducky? Эта малышка при подключении к ПК притворяется клавиатурой и за считанные секунды может и вирус запустить, и любые данные из системы вытащить. Зависит исключительно от фантазии владельца гаджета. Цена этого устройства правда кусается, просят почти $50 за одну штуку.

Но есть и более дешевые альтернативы. Например микроконтроллер Adafruit Trinket 5V Logic. Он тоже поддерживает нужную библиотеку, поэтому превратить его из фрукта в инструмент взлома не составит сложности. Именно эти мысли посетили Адама Этона (Adam Eatonh), одного из студентов технического факультета одного из вузов США. И в своем блоге он рассказывает, как превратить безобидный микроконтролер в USB Rubber Ducky за $7 вместо $50

https://medium.com/@EatonChips/building-a-usb-rubber-ducky-for-7-c851aae30a1d