#Событие
Google, например, запустила на Hackerone программу bug bounty для Google Play.

Сейчас можно получить вознаграждение за уязвимости, найденные в приложениях Google, а также в ряде других приложений, вроде Tinder, DropBox, Мейл.ру и пр. (Полный список на Hackerone)

Надеемся, что в будущем этот список будет увеличен.

Источник: https://hackerone.com/googleplay

#Событие #Полезное
А вот это интересно!

Канадская служба разведки и безопасности (CSE) выложила в открытый доступ свою платформу для анализа вредоносов. Говорят, очень пригодится ресечерам и аналитикам, а также малому и среднему бизнесу.

Система с открытым кодом и уже доступна для скачивания на BitBucket. Из коробки предустановлено mcafee, fsecure,  касперский и другое антивирусное ПО.

Если кто из подписчиков уже успел протестировать - делитесь впечатлениями!

Источники: CSE, BitBucket

#Событие
Вы пришли в себя после начала трудовой недели? За бортом середина осени. Время активизации маньяков, шизофренников и безопасников. Журнал "Хакер" анонсировал новый квест на предстоящем 16-17 ноября Zero Nights. Медленно, но верно популяризация инфобеза, неограниченный доступ в интернет и таки развивающийся, пусть и не так хорошо, как это могло быть в наших ванильных мечтах, рынок делают свое дело. И хотя среди нас не мало людей с пробелами образования, процент "шаристых" специалистов продолжает расти. Такая ситуация не может не радовать. Поэтому, если вы молоды, амбициозны и/или у вас есть свободное время, задумайтесь об участии в подобных непотребствах: это отличная возможность прокачать скиллы и обзавестись полезными знакомствами (а если повезет, то и найти хорошую работу). Подробности по ссылке: https://xakep.ru/2017/10/20/zeronights-hack-and-go/ Оставайтесь в безопасности, друзья!

#Событие #CTF
А для тех, у кого шило в заднице и ждать основную часть мероприятия невтерпеж, можете смело приступать к HackQuest - ежегодному CTFчику от Zero Night, первая секция которого уже началась - http://hackquest.zeronights.org/

#Полезное
Вышел обновленый релиз Топ-10 уявзимостей веб-приложений OWASP 2017 RC2 Final

https://github.com/OWASP/Top10/blob/master/2017/OWASP%20Top%2010%202017%20RC2%20Final.pdf

#Событие
Group-IB хайпанули на новом шифровальщике BadRabbit. Под прицелом Россия и Украина, но все не так страшно, как вы могли подумать. И тем не менее...

http://telegra.ph/BadRabbit-prygnul-10-24

#Событие - Огонек!

Помните историю с антивирусом Касперского и файлами АНБ? Мы еще писали, что Касперский запустил внутреннюю проверку по этому поводу.

Компания подняла архивы за 2014 и 2015 годы и отчиталась в своем блоге.

Пишут, что файлы Equation Group (та самая группа хакеров, работающая на АНБ) действительно были обнаружены и направлены в лабораторию Касперского на анализ, где и были обработаны одним из аналитиков компании. После чего об инциденте было доложено руководству и судя по тому, что дело попахивало пиздецом, Евгений лично поручил немедленно удалить файлы.

Associated Press сообщает, что в понедельник утром Евгений подтвердил информацию в телефонном разговоре с журналистом.

Такие дела.

Иточники: Kaspersky Blog, Associated Press

Похоже, авторы шифровальщика BadRabbit являются ярыми фанатами сериала Игра Престолов. Серый червь тронут :3

#Ликбез #Оффтопик
Любопытным нам показалось поведение команды Group-IB за последние несколько недель. Видели, что они вытворили запоследнии дни?! СММ и маркетинг отработали на 5 баллов - сотни публикаций, тысячи подписчиков, сотни тысяч всяких репостов. Название компании мелькает по всему миру. Аналитики в поте лица подгоняли новые актуальные данные, мгновенно появлялись публикации и интервью. Как будто ребята готовились и знали о чем-то заранее...

Но давайте на секундочку отойдем от балабольства и просто разложим все в хронологическом порядке.

10 октября - стартует конференция CyberCrimeCon (оргиназитор - Group-IB).

13 октября - появляется твит, где Илья Сачков (основатель и владелец компании) участвует в проекте ЛидерыРоссии, победители которого смогут войти в кадровый резерв президента.

16 октября - материал на НТВ "Илья Сачков готов возглавить Министерство кибербезопасности".

23 октября - в интервью Известиям, Илья топит за создание Национальный центр реагирования на киберинциденты для защиты граждан от киберугроз.

24 октября - старт эпидемии BadRabbit, и одними из первых инцидент фиксируют... Group-IB :)

Настоящее время - дикий форс компании по миру, хайп, который свет не видовал.

Скажем так, Киберпиздец видит здесь определенную аномальную активность, а этот пост - созданный для вас инцидент. Закрыть глаза или призадуматься - решать вам, дорогие наши безопасники, но факт в том, что Groub-IB стремительными темпами покушается на ИБ-пирог и делают они это крайне профессионально!

#Событие
Amazon представила свою новую систему Amazon Key, позволяющую вам удаленно открывать входую дверь своей квартиры для курьеров. Fuck? Fuck! Fuck. Fuck...

https://www.amazon.com/b?ie=UTF8&node=17285120011

#ПравилаИгры
А у нас ещё одна инициатива властей. Не успели мы отойти от наступления на свободный интернет и изменений в 382-П (ГОСТ ЦБ РФ, посвященный обязательным внешним аудитам/пентестам банков), как оказываемся узниками очередной "ренновации". На этот раз власти планируют в принудительном порядке страховать киберриски по итогам внешнего аудита финансовых и промышленных организаций. Чудо-стандарт планируют разработать к 2020 году. Рабочую группу по изготовлению стандарта возглавляет заслуженно нелюбимый дорогими россиянами Сбербанк.

Что это: очередной мертворожденный проект наших инноваторов или неотвратимые изменения нашей жизни - покажет время. Желающим лучше понять логику властей и узнать мнение экспертов, предлагаем пройти по ссылке-первоисточнику: https://www.kommersant.ru/doc/3450079

#Событие
Пропали мы совсем, да? Мы исправимся, просто конец года, сами понимаете, на работе полный киберпиздец.

Поэтому немного послоупочим.

Вчера в версии WordPress 4.8.3 пофиксили рабочую SQL иньекцию, объявленную еще в сентябре на Hacker-One. Чувак в своем блоге рассказывает о способе обнаружения, эксплуатации и естественно о пути ее устранения.

Источник: https://blog.ircmaxell.com/2017/10/disclosure-wordpress-wpdb-sql-injection-technical.html

#FYI
Необычная иньекция через Google Календарь, позволяющая с помощью эксплоита от команды Black Hills, автоматически создавать события в календаре жертвы (если такая функция у нее не отключена).

Источник: https://www.blackhillsinfosec.com/google-calendar-event-injection-mailsniper/

#FYI
Раз речь пошла о команде Black Hills, вот еще одна из их свежих разработок - фреймфорк, позволяющий с помощью фишинга получить учетные данные пользователей, даже не смотря на недавно представленный механизм Advanced Protection от Google, использующий физические токены.

Справедливости ради стоит отметить, что трюк не сработает, если ваш браузер поддерживает протокол U2F. Google Chrome, например, умеет в U2F уже из коробки, а для FireFox придется ставить дополнение...

Источник: GitHub

КИБЕРTAIGA! Ну вы поняли.

#FYI #Событие
В твиттере есть чувак с именем главного героя сериала Mr.Robot, который частенько реверсит различные мобильные приложения и публикует обнаруженные им бекдоры, позволяющие разработчикам следить за пользователями.

Например вчера, в одном из предустановленных приложений на смартфоны OnePlus он нашел бекдор, позволяющий получить root доступ по простой ADB команде.

https://twitter.com/fs0c131y/status/930115188988182531

Со слов Эллиота, бекдор присутствует на всех последних моделях OnePlus.

#FYI
Любопытный анализ безопасности Chrome и Safari от Антона (Bo0oM) с бонусом в виде демонстрации уязвимости UXSS в каждом из них.

https://bo0om.ru/chrome-and-safari-uxss

#FYI
Вот вам правило на ночь, дорогие вы наши, хорошие: Не копируйте команды в терминал, пишите от руки! Иначе ненароком можно и лишнего накопировать...

http://thejh.net/misc/website-terminal-copy-paste

#Событие
История о том, как Microsoft устранила уязвимость в MS Office, которую можно было эксплуатировать на протяжении последних 17 лет. Такие дела.

RCE (CVE-2017-11882):
- все версии MS Office
- все версии MS Windows (x86 / x64)
- не требует никакого взаимодействия с пользователем
- не прерывает работу пользователя с MS Office

https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-didnt-know-about

#Событие
Специалисты TrendMicro опубликовали в своем блоге пост про вторичный рынок краденных устройств от Apple.

Схема проста, как два пальца - после того, как жертва активирует функцию "Найти мой iPhone", ей приходит ссылка на якобы найденное устройство. После перехода по ссылке с устройством можно проститься навсегда.

Ха! Без лоха и жизнь плоха - подумаете вы. Также думал и главный редактор техно-блога Rozetked Максим Хорошев, пока неделю назад у него не украли iPhone его девушки. Казалось бы, техноблогер же :)

Источники: Блог TrendMicro, AntiMalware, Максим и iPhone