IT&Безопасность
30.1K members
31 photos
455 links
Многое о безопасности в интернете и не только.
Прокси-бот для обхода блокировки - @FCK_RKN_bot
Вопросы/сотрудничество: fck_rkn@tutanota.com / @it_scrt
Download Telegram
to view and join the conversation
Квантовые компьютеры — для «чайников»

Осенью прошлого года компания Google заявила, что достигла квантового превосходства. Звучит как что-то сложное и не очень нужное простому пользователю? Не совсем так. Суть этой новости в том, что сотрудники Google с помощью специального квантового компьютера смогли решить задачу, с которой даже очень крутой суперкомпьютер за разумное время не справится. Впечатляет, не так ли?

К тому же это имеет прямое отношение к безопасности ваших данных, ведь многие защитные механизмы в цифровом мире основаны как раз на том, что их нельзя взломать за разумное время. Давайте разберемся, что это за квантовый компьютер такой и стоит ли опасаться, что киберпреступники начнут пользоваться им для взлома.
Шифровальщики: сопутствующий ущерб

Зашифрованный банкомат, табло в аэропорту, показывающее записку вымогателей, или игровой автомат, требующий выкуп в биткойнах, — для большинства людей это что-то из разряда городских баек. Однако те, кто три года назад застал эпидемию шифровальщика-вымогателя WannaCry, могли наблюдать подобную картину.

Кому придет в голову шифровать автомат для оплаты парковки или счетчик? Какая здесь может быть выгода? Все дело в том, что авторы WannaCry не выбирали цели. Шифровальщик попадал в сеть через обычные персональные компьютеры и шифровал все, до чего мог дотянуться через незакрытую уязвимость в протоколе SMB. В том числе зацепил и изрядное количество устройств, где не было и не могло быть никаких ценных данных, за которые стоило бы платить выкуп. Так называемый «сопутствующий ущерб».

У многих «коллег» этого вредоноса нет столь удобного инструмента для распространения, но цели их хозяева выбирают столь же «тщательно». То есть порой в жернова шифровальщиков по-прежнему попадают абсолютно невыгодные злоумышленникам устройства. Этому и посвящена наша сегодняшняя подборка самых необычных аппаратов, пораженных шифровальщиками.
​​Интенсив-практикум «Penetration Testing»🔥

Получите опыт проведения анализа и тестирование защищенности программ, операционных систем и веб-приложений а также опыт атак на корпоративные инфраструктуры.

За 4 дня вы научитесь:
- Сканировать локальные сети, узлы в сети Интернет и анализ полученного результата.
- Обнаруживать ряд уязвимостей в веб-приложениях, программах, операционных системах и почтовых серверах.
- Подбирать эксплойты к программному обеспечению с целью тестирования безопасности.
- Эксплуатировать уязвимости через программы для тестирования.

Интенсив ведет: Егор Богомолов, 200+ успешных проектов в области информационной безопасности в таких компаниях, как "Информзащита", "Бизон" и "Валарм".

Читайте подробности и оставляйте заявку на сайте: https://is.gd/A2Xfmj
В Chrome 83 появились расширенные функции безопасности

Компания Google выпустила версию браузера Google Chrome 83 для операционных систем Linux, Windows и macOS, повышающую безопасность пользователей в интернете.

Выпуск Chrome 83 включает множество новых функций, в том числе расширенные элементы управления конфиденциальностью, новые настройки для управления cookie-файлами, новую опцию проверки безопасности, поддержку групп вкладок, новую графику для элементов web-форм, новый API для определения штрих-кодов и новую функцию защиты от XSS-атак (Cross-Site Scripting).

Chrome 83 является первой версией браузера с разделом в настройках, позволяющим пользователям управлять cookie-файлами и удалять их для отдельного сайта без необходимости делать это на всех сайтах сразу и прерывать существующие аутентифицированные сеансы.

Начиная с Chrome 83, в браузере в режиме инкогнито появилась опция, позволяющая пользователям блокировать сторонние cookie-файлы и сохранять конфиденциальность.

Google также добавила в Chrome 83 новую опцию «Проверка безопасности» в настройках конфиденциальности. Функция определяет, запущена ли самая последняя версия Chrome, проверяет пароли пользователя на предмет компрометации в результате взлома, включена ли служба безопасного просмотра и запущены ли у пользователя какие-либо вредоносные расширения.

Google также добавила новый раздел на странице настроек Chrome, позволяющий управлять защитой безопасного просмотра. Теперь в браузере реализован режим расширенного безопасного просмотра, который предоставляет улучшенную защиту от фишинга, вредоносных программ и других web-угроз.

Также в новой версии Chrome 83 было исправлено 38 уязвимостей.

Такое большое количество нововведений связано с тем, что компания Google отменила выпуск Chrome 82 из-за продолжающейся пандемии коронавируса. В результате некоторые функции Chrome 82 были добавлены в Chrome 83, а другие были перенесены на конец 2020 года.
#новости
Продолжаем цикл вебинаров по DevSecOps. 22 мая в 16.00 в рамках онлайн-мероприятия "SecOps. Средства защиты и контроль доступа к кластеру" поднимем вопрос безопасности процесса DevSecOps с точки зрения управления ИТ-инфраструктурой, покажем, как контролировать доступ на разных уровнях в среде оркестрации. Тема будет интересна специалистам ИБ, а также ИТ-специалистам, желающим взглянуть на процесс глазами ИБ. Регистрация на мероприятие: https://events.webinar.ru/jet/secops2205
Выпущен бесплатный инструмент для мониторинга наличия данных предприятия в даркнете

Отныне с помощью ImmuniWeb Domain Security Test безопасники смогут проверять наличие данных своих компаний в даркнете.

Швейцарская ИБ-компания ImmuniWeb обновила платформу ImmuniWeb Community Edition, позволяющую организациям и предприятиям бесплатно тестировать безопасность своих web-ресурсов, доменов и мобильных приложений. Отныне с помощью сервиса ImmuniWeb Domain Security Test безопасники также могут проверять наличие данных своих компаний в даркнете.

ImmuniWeb Domain Security Test позволяет:
- Осуществлять мониторинг даркнета на предмет наличия в нем данных предприятия;
-Осуществлять мониторинг фишинговых кампаний;
- Осуществлять мониторинг киберсквоттинга;
- Осуществлять мониторинг незаконного использования торговых марок;
- Осуществлять мониторинг поддельных учетных записей в соцсетях.

Для того чтобы проверить упоминание предприятия в даркнете, достаточно лишь ввести основной URL-адрес его сайта в строку поиска ImmuniWeb Domain Security Test и подождать несколько минут. Сервис осуществляет мониторинг постоянно растущих киберпреступных форумов и подпольных торговых площадок, тематических IRC-каналов и Telegram-чатов, paste-сайтов и других ресурсов в так называемой «Глубокой паутине», даркнете и общедоступном интернете, занимающихся рекламой и куплей-продажей похищенных данных.

Чаще всего к таким данным относятся логины и пароли для авторизации на взломанных сайтах, серверах и SaaS-платформах, а также базы данных, исходные коды и документы.

Киберсквоттинг – регистрация доменных имен, содержащих торговую марку, принадлежащую другому лицу с целью их дальнейшей перепродажи или недобросовестного использования.
#новости
​​Вот так выглядит стандартная стойка в наших ДЦ.

В нашем блоге https://tlg.fyi/SelectelNews мы подробно рассказываем об устройстве наших дата-центров, устраиваем вебинары с системными администраторами, объясняем, что такое Switching и Routing, как устроен IP packet, зачем нужны Ethernet frame, NAT и DHCP. Еще проводим техно-квизы и дарим динозавров.
Социальные рейтинги: ваш пост могут использовать против вас

Трудно представить жизнь без соцсетей. В них люди общаются, делятся творчеством и обсуждают последние новости. А еще с их помощью вас могут оценивать: достаточно ли вы надежны, чтобы выплатить кредит? Подходите ли вы на ту или иную должность?

Оценка потенциала человека на основе его прошлых действий, круга общения и прочих факторов называется социальным рейтингом. Он похож на рейтинг, которым пользуются банки, изучающие вашу кредитную историю, прежде чем выдать деньги, но может включать гораздо более разнообразную информацию.

Социальные рейтинги уже используют во многих странах. Например, в США, в Нью-Йорке страховщикам официально разрешено принимать решения относительно стоимости полисов, анализируя данные из соцсетей.

В Китае разрабатывают систему социальных рейтингов государственного масштаба — в Интернете полно статей, в которых об этом рассказывается в духе антиутопии вроде «1984». Правда, существует и другое мнение: подобные системы не только не страшны, но даже полезны, ведь они позволяют сделать жизнь безопаснее. Давайте разберемся, готовы ли люди и технологии к таким проектам.
Яндекс запустил нужные онлайн-сервисы для малого бизнеса, а получить к ним доступ можно будет бесплатно до июня.

Речь идет о Яндекс.Диске и Почте. Теперь можно наладить доступ сотрудников к общим документам и папкам, работать с ними с любых устройств, смотреть историю изменений за 90 дней, а каждый сотрудник получит от 200 ГБ до 2 ТВ облачного пространства. И при этом полностью отключена любая реклама.

С помощью Яндекс.Почты для бизнеса можно создать сколько угодно почтовых ящиков в домене компании — без рекламы, с защитой от спама и вирусов. В адресной книге сотрудников будут адреса всех коллег, так что их не придётся искать. А назначать встречи можно будет через Яндекс.Календарь. Администратор почты получит удобный интерфейс для управления почтовыми ящиками. Кроме того, для него будет действовать приоритетная поддержка Почты и Диска в чате и по почте.

Диск доступен в веб-версии, мобильных и десктопных приложениях, а Почта — в веб-версии и приложениях для смартфонов. Яндекс.Диск для бизнеса стоит от 147 рублей в месяц на одного сотрудника, а Почта — от 129. 

Предложение действует для компаний со штатом сотрудников до 100 человек.
#промо
Конфиденциальность в интернете для начинающих

Мы живем в удивительное время. Можем одним нажатием запечатлеть все, что приглянулось; не выходя из дома купить что угодно: от сущей ерунды до автомобиля; через соцсети или блог донести свои мысли до сотен тысяч людей; найти информацию по любой теме в любом объеме в любое время дня.
Еще 30 лет назад все это звучало бы весьма фантастично, а для нас — обычное дело. По-другому просто не бывает. Но, как известно, за все приходится платить. Мы платим своей конфиденциальностью.

Зачем нам конфиденциальность, о межгосударственных союзах, цель которых — массовая слежка, браузеры и ваши «отпечатки» и что с этим всем можно сделать.
​​GitLab проверила своих сотрудников: на фишинговые уловки попался каждый пятый

Недавно платформа GitLab провела проверку безопасности, проанализировав, настолько работающие на дому сотрудники устойчивы перед фишинговыми атаками. Как выяснилось, каждый пятый сотрудник согласился ввести свои учетные данные на поддельной странице логина.

Проведенная GitLab Red Team учебная атака имитировала настоящую фишинговую кампанию, целью которой было узнать учетные данные сотрудников GitLab. С этой целью ИБ-специалисты зарегистрировали доменное имя gitlab.company и настроили его для рассылки фишинговых писем, используя опенсорсный GoPhish и GSuite от Google. Фишинговые послания были составлены таким образом, чтобы имитировать настоящие уведомления от ИТ-отдела, якобы сообщавшие о необходимости обновления ноутбука.

«Целевым пользователям было предложено нажать на ссылку, якобы для того, чтобы согласиться на обновление, но на самом деле данная ссылка вела на поддельную страницу входа на GitLab.com, размещенную на домене gitlab.company», — рассказывают в GitLab.

В ходе учений было разослано 50 таких электронных писем. В итоге 17 (34%) получателей нажали на ссылку в сообщении, перейдя на специальный фишинговый сайт. Из них еще 10 человек (59% из тех, кто перешел на сайт, и 20% от общей тестируемой группы) продолжили работу и ввели на фальшивой странице свои учетные данные. При этом лишь 6 из 50 получателей фишинговых сообщений (12%) сообщили о попытке фишинга сотрудникам службы безопасности GitLab.
​​Представьте ситуацию: вы занимаетесь поддержкой веб-сервиса, созданного на Django, и тут поступает совершенно новая задача от руководства - натянуть новый дизайн на фронт. Вам нужно декомпозировать готовую HTML/CSS вёрстку в модульные шаблоны для Django.
Такое часто встречается в работе fullstack веб-разработчика на Python.
Звучит сложно? А если учесть, что с такой задачей может столкнуться начинающий веб-разработчик?

Не страшно! В SkillFactory предлагают за 9 месяцев пройти специализацию «Fullstack веб-разработчик на Python», где вы получите все необходимые навыки для успешного старта карьеры в веб-разработке.

Специализация включает: HTML/CSS, Javascript, Python, Django, Linux. Git, которые вы закрепляете на тренажерах под присмотром ментора.

Пилим цены пополам до 25 мая, чтобы вы смогли начать свой путь в ИТ! Получите курс со скидкой 50%: https://clc.to/VWAqWQ
Как шантажисты используют ваши необдуманные посты и репосты

Недавний 2018 год в России был богат на события: нам запретили мессенджер Телеграм, а в попытках выполнить запрет и значительную часть интернета, но даже эта тема отошла на второй план перед массой уголовных дел за репосты в социальных сетях.

Специально подготовленные люди, обычно сотрудники органов или учащиеся в системе правоохранительных органов, путешествовали по страничкам социальных сетей и, находя противоправный контент, профессионально оскорблялись. Затем они писали заявление, правоохранительные органы делали запрос руководству социальной сети, а на владельца странички в социальной сети заводилось уголовное дело.
#курс_безопасности_анон
Релиз Project Reunion от Microsoft, покупка Giphy, запуск Facebook Shops и другие новости ИТ за неделю

• Microsoft представила Project Reunion — единую платформу для разработки под Windows. С её помощью разработчики смогут создавать приложения для миллиарда устройств, работающих на Windows 10.
• Apple и Google представили первую версию технологии для отслеживания заболевших Covid-19. Доступ к технологии предоставят только официальным органам здравоохранения.
• Mozilla планирует удалить поддержку Adobe Flash в выпуске Firefox 84, который ожидается в декабре 2020 года. Возможно, для некоторых категорий пользователей в режиме тестирования Flash будет отключен ранее.
• Microsoft выпустила лаунчер PowerToys Run с быстрым поиском приложений и файлов — аналог Spotlight на macOS. Приложение входит в пакет экспериментальных инструментов PowerToys, которые упрощают взаимодействие с Windows 10.
Опубликован релиз платформы Electron 9.0.0 для создания приложений на базе движка Chromium. В новой версии расширены возможности, связанные с проверкой правописания, добавлен API для поддержания собственных списков слов в словаре, включен PDF-просмотрщик.
• Facebook запустила новый сервис Facebook Shops, с помощью которого компании смогут бесплатно создавать виртуальные витрины в Facebook и Instagram.
• Apple выпустила версию 13.5 операционной системы для своих смартфонов, совместимую с новым Exposure Notification API для отслеживания контактов COVID-19.
• Facebook купила сервис для создания и поиска анимаций Giphy. Компания собирается интегрировать платформу в Instagram и другие продукты.
#новости revolt
«ТЕСТИРОВАНИЕ WEB ПРИЛОЖЕНИЙ НА ПРОНИКНОВЕНИЕ»

Старт обучения 1 июня 2020

- Погружение в мир пентеста;
- Самые актуальные методы пассивного сбора информации о web приложении;
- Базовые и продвинутые техники активного фаззинга;
- Эксплуатация и защита от всех видов современных уязвимостей веб приложений;
- Повышение привелегий на скомпроментированном сервере;
- Социальная инженерия для пентестера и защита от неё;
- Практическая лаборатория для продвинутой эксплуатации уязвимостей.

Узнать подробности и записаться на курс можно здесь: https://codeby.net/threads/kurs-testirovanie-veb-prilozhenij-na-proniknovenie.64482/
Особенности национального трекинга: как в мире готовятся следить за заболевшими COVID-19

От технокомпаний ждут, что они придумают что-то, что убережет нас от следующих эпидемий и поможет справиться с этой. Уже несколько месяцев весь мир пытается научиться прогнозировать новые вспышки заболевания, отслеживая контакты заразившихся, но везде решают эту задачу по-разному. На этой неделе запустилась беспрецедентная по своим масштабам система bluetooth-трекинга от Google и Apple, которая потеснила похожие инициативы европейских стран. В России за заболевшими следят с помощью GPS и выписывают штрафы, а пользователи жалуются, что система «Социальный мониторинг» способна превратить жизнь в настоящий ад.
​​Интенсив-практикум «Penetration Testing»🔥

Получите опыт проведения анализа и тестирование защищенности программ, операционных систем и веб-приложений.

За 4 дня вас ждет практика:
— Взлом веб-приложения через эксплуатацию нескольких уязвимостей. Вы разберётесь в типовых уязвимостях веб-приложений и в том, как происходит их эксплуатация.
— Взлом приложения, доступного в сети, при помощи эксплойта из набора в фреймворке Metasploit. Поймете, как работают фреймворки эксплуатации и насколько простым может быть взлом.
— Имитация фишинговых атак через почтовые сервисы и атак на клиентские почтовые приложения. Вы убедитесь в эффективности и опасности фишинга.

Интенсив ведет: Егор Богомолов, 200+ успешных проектов в таких компаниях как «Информзащита», «Бизон» и «Валарм».

Читайте подробности и оставляйте заявку на сайте: https://is.gd/qZBiil
Минкомсвязи не поддержало разблокировку Telegram при режиме повышенной готовности

"Предлагаемая законопроектом поправка в статью 15.4 Федерального закона №149-ФЗ в случае ее принятия может повлечь злоупотребление правом со стороны недобропорядочных организаторов распространения информации в сети Интернет, которые будут умышленно распространять информацию о деятельности государственных органов и органов местного самоуправления в целях ухода от преследования", - говорится в отзыве министерства, который имеется в распоряжении "Интерфакса".

По мнению Минкомсвязи, "с точки зрения юридической техники изложения считаем, что используемые в законопроекте термины (сервис, официальный сервис) не имеют раскрытия в тексте и не подлежат использованию. Вызывает сомнение формулировка "текущая ситуация", имеющая расширительное толкование".

Несмотря на прозвучавшие заявления о невозможности разблокировать мессенджер в обход решении суда и на критику инициативы со стороны должностных лиц и депутатов парламента, Ионин заявил "Интерфаксу", что разработчики не намерены отказываться от своей инициативы. Они считают, что закон может приостановить на время решение суда, что предоставит возможность "представителям спецслужб и Telegram вернуться к разговору о технической возможности передачи ключей шифрования и других не снятых пока вопросов".
#новости