​​Начните свое утро с поиска эксплоитов на https://sploitus.com/

Помимо эксплоитов сервис коллекционирует полезные инструменты, а в ближайшем будущем автор обещает добавить возможность пользователям отправлять ссылки самостоятельно.

Чуваки из Cloudflare прям люто топят за пользовательскую приватность. Они все лето работали над новой шифрованной версией Server Name Indication (SNI) и сегодня технология увидела свет!

ESNI - это усовершенствованная версия расширения для TLS, которое служит для работы нескольких https веб-приложений на одном IP-адресе. Сейчас хост, куда пользователь намеревается отправиться передается в открытом виде и лишь после всех рукопожатий и поднятия TLS сессии, трафик шифруется.

«В текущих реалиях, зная, какие сайты вы посещаете, можно составить точную картину того, кто вы» — заявляют в Cloudflare.

- Первым браузером с поддержкой ESNI будет Mozilla Firefox.
- Пока ESNI работает только в сетях Cloudflare.
- Компания выложила черновик RFC и призывает других не отставать.
- Над проектом работали еще Apple, Fastly, Mozilla и другие менее известные ребята.

Кто, если не Cloudflare новая корпорация добра?

https://blog.cloudflare.com/esni/

Facebook. 50 млн аккаунтов. Дыра в функции View As, которая позволяла видеть, как выглядит собственный профиль для кого-то другого.

В настоящий момент сброшены все токены доступа для этих 50 млн. человек и еще у 40 млн. потенциальных жертв, а также временно отключена функция View As.

Технических деталей к сожалению пока не раскрывается, а рынок уже отреагировал падением акций более чем на 3%. Пристегни ремни, Марк.

https://newsroom.fb.com/news/2018/09/security-update/

Бодрого понедельника, друзья!

Есть такой ресурс Hack the Box, который предлагает своим пользователям целое разнообразие практических лабораторных работ из категории "поломай меня если сможешь" с разными уровнями сложности. Причем уже при регистрации гостю необходимо проявить смекалку и получить заветный инвайт, в противном случае сокровища HTB так и останутся для него лишь игрой воображения.

В любом случае, если вас привлекает все, что связано с CTF и тестированием на проникновение, аккаунт на HTB вы завести просто обязаны.

https://www.hackthebox.eu/

Помимо этого, игроки частенько публикуют свои решения лабораторных, что в совокупности делает HTB мастхев площадкой для прокачки своих технических навыков.

Вот, например, несколько таких блогов:
https://spz.io/
https://hkh4cks.com/blog/
https://medium.com/ctf-writeups/tagged/hack-the-box

Есть даже отдельный репозиторий, где финалисты делятся своими опытом друг с другом, т.к многие задачи решаются по-разному и пройдя один раз самостоятельно, хочется изучить ход мыслей соперников.

https://github.com/Hackplayers/hackthebox-writeups

Правда стоит отметить, что заметки доступны лишь владельцам конечного флага. Но ведь не мне вас учить пользоваться интернетом, верно?

#KB #SANS #OnlineStudying

Хотите узнать, как учат безопасности у буржуев?

Пока у нас расцветают доморощенные Яндексы и Пентестеты, а Group-IB, Digital Security, Касперский, Positive Technologies устраивают стажировки и создают курсы, на западе продолжают развиваться школы и практики существующие десятилетиями. Проблема одна - если вы законопослушный гражданин и не готовы искать краденые записи и виртуалки, вам может просто не хватить денег, чтобы пройти такое обучение. Особенно в такой именитой организации как SANS. Но бывают и светлые моменты: с недавнего времени SANS предлагает бесплатные демо-версии своих самых популярных образовательных программ в режиме онлайн.

Редакция обращает внимание, что если вы находитесь в начале карьеры ИБ или не знайте, что делать дальше, SANS является одним из лучших источников для планирования карьеры безопасника и получения чек-листа знаний и навыков, которые вам понадобятся в той или иной нише.

https://www.sans.org/course-preview?utm_medium=Email&utm_source=House+List&utm_campaign=SANS+Welcome&utm_content=Email6_CoursePreviewButton_EMEA

#cybercrimecon #GroupIB #Event #КриптоНяша

Закончился первый день конференции Group-IB с обзором отраслевых трендов и ландшафта угроз ИБ. Подробный отчет о происходящем с разбивкой по спикерам можно прочесть на канале Group-IB (https://t.me/Group_IB ). Мы же поговорим о ключевых идеях конференции, которые отметил наш спецкор - КриптоНяша.

Во-первых, масштабы любимой отрасли. По данным Interpol, со ссылкой на исследование https://www.bromium.com/, за прошедший год киберпреступники заработали 1,5 трл. долларов. Для сравнения сверхприбыльный геймдев сделал примерно 115 млрд. долларов, а кинематограф что-то около 30. Вдумайтесь в эти цифры, господа. И вы осознайте масштабы проблемы и личные перспективы.

Во-вторых, Илья Сачков справедливо акцентировал внимание на необходимости строить безопасность на понимании злоумышленника. Без знания своего врага подготовиться к встрече с ним проблематично. Банальная идея - все слышали про модель угроз и нарушителя. Но скажите честно, как часто вы видите тех, кто строит такую модель со знанием дела, исходя из реальных кейсов ИБ и более менее вменяемой математики?

В-третьих, это наглядная демонстрация изменчивости ландшафта угроз. Как показали Канеман, Тетлок и поведенческая экономика, люди стремятся к легкости в мышлении. Мы упрощаем модели реального мира и любим стабильность. Нам хочется свести все к набору констант, и мы очень не любим вероятностный подход и неопределенность. Плохая новость: мир трудно предсказуем, а тренды постоянно меняются. Поэтому информационная безопасность в какой-то степени похожа на метеорологию. Увы.

Но не расстраивайтесь, друзья. Есть и хорошая новость. Вооружившись статистикой и пониманием трендов эксперты могут достаточно хорошо прогнозировать развитие событий и эффективно готовиться к возможным катастрофам и опасностям. Group-IB поможет нам в этом. Представители компании обещают предоставить результаты своей аналитики в открытом доступе после завершения конференции.

#News #BigData #GDPR #РКН #DigitalResistance #Криптоняша

Россия не может преодолеть проклятья сильного, всеконтролирующего государства. Материал Фонда Карнеги показывает, как под заявления об инновациях и цифровой экономики чиновники делят рынок Big Data между компаниями близкими к руководству страны. Демократия, конкурсы, оценка целесообразности и KPI? Нет, не слышали. Ваши ПДн будут обрабатывать те, кого МЫ выбрали: Ротенберги, Усмановы, Чемезовы. Парламент не место для дискуссий. Точка!

https://carnegie.ru/commentary/77316?mkt_tok=eyJpIjoiWlRrM05UWTBOakEyWkRFMyIsInQiOiIxdDJXVEZOejNkWStNR3VocGFOWXZncVlzS0RuR1wvUTBFTFZYS0E1ZHM5blRSd1haQmd2TGlJbUt0WVc4RlJMWEFBXC9XSFRzVnZWYk1OOHVcL3FwR21HaERiZ2x1dUFWME80Zjg0ZGJJTVVMZURlWmRNakRxdUx5ZUFcL0FcL241Mk1TIn0%3D

Несмотря на все существующие доказательства неэффективности прямого управления экономикой. Несмотря на хорошо известные масштабы коррупции и кумовства в системе государственной власти (не только в России, таковы издержки любой государственной системы). Несмотря на понимание неконкурентоспособности госкорпораций и признание на словах важности рынка и частного бизнеса (см. материалы журналиста Александра Соколова для РБК), мы продолжаем свой особый путь.

Как росчерком высочайшего пера создаются новые монополии в цифровой экономики? Чем грозит засилье приблеженных к чиновникам компаний на рынке Big Data? Стоит ли нам опасаться за свои персональные данные и нарушения режима их обработки? Читаем в полном материале Фонда. Остается заметить, что лозунг эсеров по-прежнему актуален: только в борьбе мы можем обрести свои права. О позитивной истории, связанной с маленькой победой над РКн и Прокуратурой законными методами читайте на Хабре в блоге компании Regberry.ru.

https://habr.com/company/regberry/blog/425829/

#БумажнаяБезопасность #ПДн #Криптоняша

Кому-то из наших подписчиков не посчастливится или уже не посчастливилось, работать над проектами по защите ПДн. Разбираться в запутанной отечественной нормативке, особенно если ты чистый технарь, болезненно, но часто у нас нет другого выбора. Здесь помогают профильные эксперты, которые пытаются упорядочить законодательный хаос. И это не только чтимый всеми хацкерами пресвятой Лука. Всем, кому придется или пришлось столкнуться с проблемой ПДн, посвящаем сегодняшний блог Ксении Шудровой с алгоритмом изучения требований регуляторов в зависимости от природы вашего проекта.

https://shudrova.blogspot.com/2018/10/blog-post.html

#News #USA #Vulners #DoD #Хакер #Криптоняша

Когда маленькие пентестеры впервые попадают на большие проекты, они часто испытывают шок. “Каааак! Неужели в Компании Х работают такие расп%”)яи?! А я ведь у них деньги хранил/верил/надеялся/видел по телику… Как дальше жить?!”. После начального шока наступает смирение и понимание. Независимо от репутации фирмы, статуса, наличия погонов у сотрудников - везде работают обычные люди. В условиях непрозрачности организации, ее закрытости, отсутствия независимых проверок и санкций по результатам найденных несоответствий, гарантировать адекватный уровень безопасности практически невозможно.

Альтернатива - постоянная угроза реальных инцидентов и потери доступности сервисов, как в системах денежных переводов или у телекоммуникационных операторов, где разочарованные клиенты в один прекрасный момент решат проголосовать рублем и сменить неадекватного провайдера, а злобный Европарламент обложит штрафами по GDPR. Об одном из примеров печальной халатности читаем в новом материале Хакера. Даже Министерство Обороны США не является гарантом защиты контролируемых систем и вооружений. Кто знает, не услышим ли мы когда-нибудь историю о школьнике, который угнал беспилотный бомбардировщик с дефолтной учеткой оператора и разбомбил Нью-Йорк?

https://xakep.ru/2018/10/11/dod-security-fail/

После долгих раздумий, PortSwigger в своем блоге наконец опубликовала финальный ТОП-10 веб атак за 2017 год.

За место под солнцем соревновались 37 номинантов, а победили конечно же сильнейшие. Но это не точно.

https://portswigger.net/blog/top-10-web-hacking-techniques-of-2017

#KB #EDU #GeorgiaTech #Криптоняша

Комплексуете из-за недостатка фундаментального образования? Мечтайте о престижной корочке, но не знаете куда пойти? Не уверены, что найдете время и силы на очную вышку? Предлагаем подписчикам взглянуть на курс Georgia Tech (Топ-10 технических универов США). За 7000$ вас прокачают онлайно и дадут magister degree in computer science. Редакция лично не проверяла, но по отзывам наших инсайдеров это чума. Онлайн вышка, в престижном штатовском ВУЗе, адекватная современным трендам ИТ и ИБ, за доступные 462к по нынешнему курсу. Вся информация по ссылкам ниже.

http://www.omscs.gatech.edu/explore-oms-cs
https://www.omscs.gatech.edu/current-courses

Фишинг — по-настоящему универсальная угроза, независимо от платформы. В настоящее время целевые фишинговые атаки представляют огромный интерес у злоумышленников и горящие задницы у безопасников. Чаще всего фишинг — самый популярный вектор начала целевой атаки.

Для защиты от этой гадости многие прибегают, как к "народным" средствам, так и не очень. Кто-то проводит обучения для сотрудников, кто-то заказывает тестирование на проникновение с использованием социальной инженерии, другие тестируют песочницы.

В любом случае для борьбы нужно всегда знать актуальные техники и практики злоумышленников.

Недавно мы наткнулись на блог ребят из компании Антифишинг, где они постоянно публикуют дайджест различных фишинговых изощрений, а учитывая, что они специализируются только по этой теме, поверьте, примеров там достаточно. К слову они оказывают и одноименные услуги, но сейчас не об этом.

https://blog.antiphish.ru/tags/daydzhest/

#libssh #обновление #exploit

Говорят, это смешно. Похоже на то

Очень модно нынче про libssh писать. Там с версии 0.6 унифицировали код клиента и сервера, и в сервер перекочевал функционал считать аутентификацию успешной после сообщения SSH2_MSG_USERAUTH_SUCCESS. Теперь клиенту достаточно отправить это сообщение вместо запроса на аутентификацию, чтобы получить доступ.

Уязвимость получила номер CVE-2018-10933. Исправление добавлено в выпуски 0.8.4 и 0.7.6.

libssh чаще используется для реализации клиентской стороны, а не серверной, поэтому уязвимых серверов не так уж и много. Один из значимых продуктов, где libssh используется для сервера, - GitHub Enterprise - не подвержен уязвимости, так как libssh в нем модифицирована.

Ну и скрипт для проверки наличия уязвимости, он же PoC, открывающий шелл при успешной "эксплуатации": https://www.openwall.com/lists/oss-security/2018/10/17/5

​​OWASP IoT Project не обновляся с 2014 года, и вот наконец команда проекта готовится родить новый апдейт.

Новостями о взломах сетей через умные чайники и ботнетах из видеокамер сейчас никого не удивишь, но нам по-прежнему не достает бдительности. Фреймворк OWASP позволяет лучше разобраться в угрозах и векторах атаках на IoT девайсы, и хорошенько причесать свой зоопарк по контролям из чек-листа. В условиях растущего числа удаленщиков и политики BYOD новый фреймворк становится вдвойне актуальным, т.к. ничто не мешает злоумышленнику проникнуть в корпоративную сеть через личную инфраструктуру сотрудника.

А вы еще не захарденили свой чайник? Тогда мы идем к вам!

https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project
https://danielmiessler.com/blog/preparing-to-release-the-owasp-iot-top-10-2018/