CERT запустил Twitter-бота, придумывающего имена для уязвимостей

Специалисты координационного центра CERT (CERT/CC) запустили специального Twitter-бота, который будет «придумывать» случайные и максимально нейтральные имена уязвимостям. Это сделано для того, чтобы специалисты не пугали пользователей громкими названиями вроде Dirty Cow или Heartbleed.

https://xakep.ru/2020/11/02/vulnonym/

Google анонсирует собственный VPN-сервис

Разработчики Google сообщили, что клиенты Google One смогут использовать VPN-сервис компании, что обеспечит им дополнительный уровень защиты в интернете.

https://xakep.ru/2020/11/02/google-vpn/

Хакеры продают данные 34 млн пользователей, похищенные у 17 компаний

Журналисты обнаружили, что в даркнете продают базу, содержащую 34 000 000 пользовательских записей. Продавец утверждает, что эта информация была украдена у 17 различных компаний.

https://xakep.ru/2020/11/02/17-companies-leak/

Правительство США рассказало о новых версиях малвари ComRAT и Zebrocy

Киберкомандование США загрузило на VirusTotal новые версии вредоносов ComRAT и Zebrocy, авторство которых специалисты приписывают российским правительственным хакерам.

https://xakep.ru/2020/11/02/comrat-zebrocy/

В Google Chrome исправили вторую 0-day уязвимость за две недели

Вышел Google Chrome 86.0.4240.183, в котором разработчики устранили 10 различных уязвимостей, включая 0-day баг, уже используемый хакерам.

https://xakep.ru/2020/11/03/one-more-zero-day/

​#реклама
Какое направление в кибербезопасности и Application Security самое трендовое?🔥

3 ноября в 18:00 на бесплатном вебинаре «Автоматизация процессов безопасной разработки и DevSecOps» вы узнаете:

💥Что такое DevSecOps, и почему это направление популярно
💥Какие навыки нужно прокачать, чтобы преуспеть в DevSecOps
💥Про DevSecOps в разработке безопасных приложений
💥И разберете темы безопасности докер-образов, конфигурации kubernetes и облаков

Проведет вебинар и ответит на ваши вопросы Иван Афанасьев — Application Security Specialist и эксперт Vulnerability Management, Penetration Testing и Application Security

Примите участие в бесплатном вебинаре и сделайте первый шаг к развитию в направлении Application Security🤘

Регистрируйтесь по ссылке прямо сейчас: https://is.gd/qMTIbJ

Уязвимости в OAuth. Глава из книги «Ловушка для багов. Полевое руководство по веб-хакингу» #oauth #hack #подписчикам

OAuth — это открытый протокол, который упрощает и стандартизирует безопасную авторизацию в вебе, на мобильных устройствах и в настольных приложениях. Он позволяет регистрироваться без указания имени пользователя и пароля и часто применяется для входа с помощью Facebook, Google, LinkedIn, Twitter и т. д. Уязвимости в OAuth, учитывая их распространенность, заслуживают обсуждения.

https://xakep.ru/2020/11/03/bugtrap-oauth/

Крупнейший киберполигон The Standoff выходит в онлайн

Кибербитва The Standoff пройдет 12-17 ноября 2020 года, в режиме онлайн. В программе мероприятия: масштабные киберучения и онлайн-конференция по кибербезопасности.

https://xakep.ru/2020/11/03/thestandoff-2020/

Oracle выпустила экстренный патч для критического бага WebLogic

Инженеры компании Oracle были вынуждены выпустить «патч для патча», так как обнаружили, что недавно выпущенное исправление для критической уязвимости в WebLogic можно легко обойти.

https://xakep.ru/2020/11/03/cve-2020-14750/

Российский программист получил восемь лет тюрьмы за создание утилиты для обработки логов ботнетов

Российского программиста Александра Бровко приговорили к восьми годами лишения свободы в США. Бровко сотрудничал с операторами крупных ботнетов и создавал для них инструменты, позволяющие скрапить из логов ботов финансовую информацию жертв.

https://xakep.ru/2020/11/03/brovko-sentenced/

Обнаружен еще один вредоносный пакет npm с бэкдором

Специалисты по безопасности удалили вредоносную JavaScript-библиотеку twilio-npm с сайта npm. Библиотека содержала вредоносный код, который открывал бэкдор на компьютеры пользователей.

https://xakep.ru/2020/11/03/twilio-npm/

Компьютер в клавиатуре. Представлена Raspberry Pi 400

Инженеры Raspberry Pi Foundation представили не совсем обычный гаджет, отличный от привычных всем одноплатников. Raspberry Pi 400 – это полноценный компьютер, размещенный в корпусе небольшой клавиатуры.

https://xakep.ru/2020/11/03/raspberry-pi-400/

В Chrome исправили еще одну 0-day уязвимость. На этот раз в версии для Android

Инженеры Google устранили третью уязвимость нулевого дня в Chrome за последние недели. Теперь пользователям Android-устройств рекомендуют как можно скорее обновить Chrome до версии 86.0.4240.185.

https://xakep.ru/2020/11/05/chrome-android-0day/

Японский гигант игровой индустрии Capcom стал жертвой хакерский атаки

Корпорация Capcom сообщила о хакерской атаке, которой подверглась в прошлые выходные. Известно, что взлом повлиял на бизнес-операции разработчика игр, включая работу системы электронной почты.

https://xakep.ru/2020/11/05/capcom-hack/

Качественная склейка. Пишем джоинер исполняемых файлов для Win64 #windows #joiner #подписчикам

Представим, что нам нужно запустить некий зловредный код на машине жертвы. Самым простым вариантом будет вынудить пользователя сделать это самостоятельно, но вдруг он не любит запускать сомнительное ПО? Тут-то и пригодится джоинер — тулза, которая умеет скрытно встраивать зловредный код в безобидные на первый взгляд файлы.

https://xakep.ru/2020/11/05/joiner-win64/

Срочные патчи Adobe устранили критические проблемы в Acrobat и Reader

Разработчики Adobe исправили 14 уязвимостей в Acrobat и Reader, а также удалили компоненты Flash из новых версий своих продуктов.

https://xakep.ru/2020/11/05/acrobat-reader-patches/

​#реклама
В кибербезопасности самое интересное — это практика!

Интенсив «CyberSecurity: Level 0» — это 3 дня практических занятия с действующим ИБ-экспертом🔥

На интенсиве вы научитесь работать с виртуальным средами, системами обнаружения и предотвращения вторжений (IDS/IPS) и выполнять другие задачи BlueTeam-специалистов.

Каждое занятие интенсива — это живое общение с экспертом Ильдаром Садыковым. Ильдар — руководитель департамента ИБ ФБ МСЭ, в управлении которого находится  инфраструктура,  включающая в себя 85 филиалов по РФ.

Начните свой путь в кибербезопасности с практики от успешных экспертов уже сейчас🚀

Записывайтесь на интенсив по ссылке: https://is.gd/L3ruGS

Разработчики шифровальщика REvil приобрели исходники трояна KPOT

СМИ сообщают, что разработчики вымогателя REvil приобрели исходный код трояна KPOT на аукционе, который прошел на хакерском форуме в прошлом месяце.

https://xakep.ru/2020/11/05/revil-kpot/

Производитель игрушек, компания Mattel, пострадал от вымогательской атаки

Американский производитель игрушек, компания Mattel, сообщает, что подвергся вымогательской атаке, которая сказалась на некоторых бизнес-операциях. При этом в Mattel заверили, что компания оправилась от инцидента без значительных финансовых потерь.

https://xakep.ru/2020/11/05/mattel-hack/

Apple выпустила исправления для трех 0-day уязвимостей в iOS

Специалисты компании Apple исправили стразу три уязвимости нулевого дня в iOS, которые уже активно использовались хакерами.

https://xakep.ru/2020/11/06/ios-0days/