Securitylab.ru


МИД РФ против экстрадиции российского хакера-диджея
В МИД считают, что в США давно ведется политически мотивированная охота на «ведьм», «русских хакеров» и «агентов влияния».

 
ФАС признала виновным Apple по жалобе Лаборатории Касперского
Компания ограничивала конкуренцию на рынке распространения инструментов и возможностей для разработки приложений родительского контроля.


 
Глава РКН попросил у Путина право блокировать иностранные ресурсы с данными россиян
Как сообщил Андрей Липов, Роскомнадзор хочет закрепить за собой право по решению суда блокировать иностранные ресурсы.
 
В чипсетах производства Qualcomm была обнаружена серия опасных уязвимостей
Чтобы воспользоваться уязвимостями, хакеру нужно просто убедить жертву установить приложение без особых разрешений
 
Трой Хант откроет исходный код сервиса Have I Been Pwned
Исходный код HIBP будет открываться поэтапно, однако когда он станет полностью доступен, пока неизвестно.
 
Обзор инцидентов безопасности за период с 3 по 9 августа 2020 года
Одним из самых громких инцидентов на прошлой неделе стала публикация в открытом доступе конфиденциальных данных компании Intel.
 
Питерские и казанские программисты стали победителями хакатона DIGITAL SUPERHERO
8 августа шесть проектов в сфере финтех и кибербезопасности стали победителями второго этапа всероссийских соревнований программистов DIGITAL SUPERHERO.
 
Google оштрафована на 1,5 млн руб. за некачественную фильтрацию запрещенного контента
В декабре 2018 года компания уже была оштрафована Роскомнадзором на 500 тыс. рублей за отказ фильтровать запрещенный контент.
 
Barclays уличили в слежке за сотрудниками
Руководство банка отслеживало, сколько времени сотрудники проводят на рабочем месте и сколько времени у них уходит на выполнение задач.
 
Подрядчик правительства США отслеживает миллионы пользователей по их смартфонам
Компания Anomaly Six внедрила в 500 мобильных приложений инструмент для отслеживания местоположения.
 
Исследователи удаленно взломали Mercedes-Benz
Специалисты обнаружили 19 уязвимостей в автомобилях Mercedes-Benz E-Class.
 
Экспертам удалось заставить систему распознавания лиц «увидеть» нереального человека
Специалисты создали изображение, которое для невооруженного глаза выглядело как один человек, а для системы распознавания лиц – как другой.
 
Мошенник из Новосибирска украл более 500 тыс. рублей с банковских карт россиян
Злоумышленник не только крал деньги со счетов, но и оформлял кредиты на бывших владельцев приобретенных им SIM-карт.
 
Китайские власти стали блокировать HTTPS-трафик
«Великий китайский файрвол» теперь блокирует HTTPS-соединение, мешающее фильтровать и цензурировать трафик.
 
Сбербанк тестирует систему обнаружения людей в местах массового скопления
После обнаружения система предлагает самый быстрый маршрут до местонахождения "непрошеного гостя".
 
Ученые поменяли название генов из-за ошибки в Microsoft Excel
Учёные проверили 3597 научных статей и обнаружили, что пятая часть из них пострадала от ошибок Excel.

 
За взлом экрана во время Масленицы виновный отделался штрафом
Суд прекратил дело в отношении  ... bsp;обвиняемого и постановил – назначить ему штраф в размере двадцати тысяч рублей.
 
Уязвимость в HDL позволяла захватить контроль над умным домом
В системе автоматизации для "умного дома" HDL исправлена опасная уязвимость.
 
ЦРУ не нашло доказательств что Tiktok сливает данные спецслужбам
Потенциальная угроза перехвата личных данных пользователей, а также возможность получать доступ к их смартфонам для китайских властей существует.
 
Билл Гейтс сравнил покупку TikTok с чашей яда
«То, что Трамп пытается избавиться от единственного конкурента, – это очень странно».
 
Арестован болгарский хакер Instakilla
Считается, что хакер причастен к атаке на Национальное агентство по доходам и других государственных учреждений.
 
Группировки Magecart прячут скиммеры с помощью доменов-омоглифов
Злоумышленники воспользовались визуальным сходством символов для создания мошеннических версий доменов.
 
Суд приостановил работу сервиса такси из-за отказа передавать геолокацию властям
Точные данные геолокации можно легко соединить с другими наборами данных и, в результате, идентифицировать и самого пассажира.
 
Госдеп США подтвердил рассылку СМС сообщений гражданам России
В  в госдепартаменте уточнили, что речь идет о киберпреступниках
 
Процессоры Intel, ARM, IBM и AMD уязвимы к новым атакам по сторонним каналам
Специалисты установили истинную причину уязвимостей Meltdown и Foreshadow.
 
Обнаружен способ обхода защиты Apple и Microsoft от вредоносных макросов
Уязвимости представляют собой так называемые zero-click, и для их эксплуатации не требуется участие жертвы.
 
Межблогерский вебинар. Аудит процессов обработки и защиты персональных данных

 
Новые ИБ-решения недели: 7 августа 2020 года
Коротко о новинках прошедшей недели.
 
Уязвимость в Windows позволяет вредоносам запускаться с правами администратора
Проблема затрагивает диспетчер очереди печати Windows, управляющий процессом печати.
 
Открыть «умный» замок U-Tec UltraLoq можно было с помощью одного лишь MAC-адреса
Проблема с безопасностью в U-Tec UltraLoq позволяла похитить токены для разблокировки замка.
 
Capital One будет оштрафована на $80 млн за утечку данных

 
В Сеть утекли 20 ГБ конфиденциальных документов и спецификаций Intel
Утекшая база данных содержит файлы Intel, на которые распространяется соглашение о неразглашении.
 
Кабель Ethernet может использоваться для обхода межсетевых экранов
Метод EtherOops позволяет атаковать устройства во внутренних сетях непосредственно из интернета.  
 
Дональд Трамп подписал указы о запрете WeChat и TikTok
Согласно указам, WeChat и TikTok представляют угрозу национальной безопасности США.
 
Уязвимости в SAP Solution Manager позволяют получить привилегии суперпользователя
Эксплуатация уязвимостей позволяет неавторизованным преступникам читать и изменять финансовые записи или банковские реквизиты.
 
ЛК: Россияне чаще всего подвергаются незаконной слежке
Программы используются  для скрытого наблюдения и вторжения в личную жизнь человека.
 
Обнаружен способ перехвата сообщений через подделку «Избранного» в Telegram
Пока команда мессенджера Telegram никак не реагирует на ситуацию.
 
В Судебный процесс по взлому Twitter вмешались пранкеры
Ао время трансляции кто-то решил потроллить судью и участников процесса, запускав порноролики, громко включав музыку.
 
Россиянам приходят СМС с предложением 10 млн долларов за донос
Ссылка в сообщении ведет на верифицированный Twitter-аккаунт программы Госдепартамента США «Вознаграждение за помощь правосудию»
 
Google заблокировал 90 политических русскоязычных YouTube каналов
Большая часть из российских каналов публиковала видео на русском языке о внутренней политике РФ.
 
Хакер похитил $5,6 млн у Ethereum Classic в результате двух атак
В результате кибератак в блокчейне Ethereum была проведена реорганизация 4 тыс. добытых блоков.
 
Участвовавший во взломе Twitter британский подросток не был арестован
В отличие от американских сообщников 19-летний Мэйсон Шеппард остается на свободе.  
 
Средство обновления Microsoft Teams позволяет устанавливать вредоносное ПО
Уязвимость можно проэксплуатировать, используя поддельный пакет Microsoft Teams с подлинным приложением Update.Exe.
 
Positive Technologies и Oreol Security представили совместное решение для защиты АСУ ТП
Совместное решение Positive Technologies и Oreol Security гарантирует изолированность сегмента АСУ ТП.
 
Компания Canon стала жертвой вымогательского ПО Maze
По словам злоумышленников, они похитили 10 ТБ внутренних данных компании.
 
Уязвимости в Gmail и iCloud позволяют скрыть отправителя
Манипуляция полями заголовка письма позволяет проводить различные типы атак для обмана получателя.
 
2020 год стал рекордным по количеству атак вымогательского ПО на КИ
Организация CARE обновила свой реестр публично раскрытых атак вымогательского ПО на критическую инфраструктуру.
 
Стоимость сделки по приобретению TikTok может достичь $30 млрд
Переговоры с китайской компанией ByteDance должны быть завершены в течение следующих трех недель.
 
Правительство США заплатит $10 млн за сведения о хакерах, пытающихся вмешаться в выборы
За три месяца до президентских выборов Госдепартамент США объявил награду за информацию об иностранных хакерах.
 
США защитит свои сети от «агрессивного вторжения» Китая с помощью плана Clean Network
Новый план включает пять инициатив, распространяющихся на операторов связи, приложения, облака и подводные кабели.
 
Обнаружены 4 новых варианта атаки HTTP Request Smuggling
Web-серверы и HTTP-прокси-серверы по-прежнему уязвимы к HTTP Request Smuggling даже спустя 15 лет с момента их обнаружения.
 
Пароли, их восстановление и надежность: взгляд реверс-инженера и пентестера
Как правильно работать с паролями — как их хранить и, самое главное, как защищать?
 
Мошенники ограбили московскую пенсионерку на 30 млн рублей
Как именно злоумышленник смог вывести деньги, предстоит узнать правоохранителям.
 
Задержан житель Бреста, обвиняющийся во взломе 150 тысяч аккаунтов соцсетей
Если денег не было, то занимался накруткой лайков и голосов, после чего пытался продать аккаунт подороже.
 
Дуров раскритиковал действия США против TikTok
Он считает, что попытки США надавить на работу TikTok в стране «узаконивают тактику вымогательства, ранее применявшуюся только авторитарными режимами».


 
Взоман DeFi протокол Opyn
Opyn подверглась атаке с двойным расходом на свои пут-опционы Ethereum, что привело к потере не менее 371000 долларов пользовательских средств.
 
В Chrome Web Store обнаружены расширения, внедряющие рекламу в результаты поиска
Вредоносные расширения были загружены из магазина более 80 млн раз.
 
На Defcon создадут «армию» недорогих спутниковых трекеров
Технология спутниковой связи на низкой околоземной орбите NyanSat создана на базе ПО с открытым исходным кодом и недорого «железа».
 
Уязвимость в Apple Touch ID позволяла взломать учетные записи iCloud
Проблема была связана с реализацией биометрической функции TouchID.
 
В Московском метрополитене будет установлена система распознавания лиц
Эксперты предполагают, что система будет использоваться для слежки за гражданами.
 
ТикТок: Логи, логи, логи
На данный момент ТикТок не замечен в чем-то подозрительном и в отсылке специфических данных.
 
Хакер опубликовал пароли от более 900 корпоративных VPN-серверов
Список опубликован на хакерском русскоязычном форуме, который часто посещают операторы вымогательского ПО.
 
WastedLocker обязан своим успехом уникальному механизму обхода решений безопасности
WastedLocker сбивает с толку решения для защиты от вымогательского ПО, базирующиеся на анализе поведения.
 
IoT-ботнеты из высокомощных устройств могут повлиять на рынок электроэнергии
С помощью ботнета из высокомощных устройств можно вызывать небольшие изменения в потреблении электроэнергии и влиять на рыночные цены.
 
Для предполагаемого русского мошенника назначен суд во Франции
Власти обвиняют Александра Винника в мошенничестве в отношении более 100 человек в шести французских городах.
 
Взломанный через пять лет после изъятия смартфон стал главной уликой в крупном расследовании
Через пять лет после изъятия австралийским криминалистам удалось взломать зашифрованное устройство BlackBerry.
 
Иранская APT Oilrig первой использовала DNS-over-HTTPS в ходе атак
Участники Oilrig добавили в свой хакерский арсенал новую утилиту DNSExfiltrator.
 
Twitter грозит штраф 250.000.000$
Twitter объявила, что «непреднамеренно» использует адреса электронной почты и номера телефонов пользователейдля направления им рекламных объявлений.
 
Роспечать хочет создать сервис по распознаванию фальшивых новостей
Агрегатор должен учитывать авторитетность источника, время публикации, ссылки, изображения и видео.
 
Bitfinex предложила $400 млн за возврат похищенных биткоинов
Компания обещает заплатить тем, кто сообщит информацию о преступниках, 5% от суммы, которую получится вернуть
 
Федеральная налоговая служба активизировала борьбу с нелегальными азартными играми в сети
В результате незаконной игорной деятельности организованной группы ими извлечен доход в общей сумме более 63 млрд рублей.
 
В онлайн играх в Китае вводится обязательное подтверждение реального имени
С сентября несовершеннолетние геймеры смогут играть до полутора часов в будние дни и не более трёх часов в выходные.
 
Евросоюз приостановил cделку Google по покупке fitbit
Обещание Google не использовать данные с фитнес-трекеров для рекламы не помогло.
 
Киберучения в Сочи для профессионалов отрасли информационной безопасности 13-14 августа всё-таки состоятся
Двухдневная программа учений при участии экспертов пройдёт совсем скоро в горном курорте Роза Хутор
 
Интерпол оценил влияние пандемии коронавируса на рост киберпреступности.
Отдельно Интерпол указывает на возросший объем ложной и непроверенной информации
 
Новый ГОСТ по обнаружению КА и реагированию на инциденты

 
Уязвимость в сервисе Meetup позволяла украсть у пользователей деньги
Другие проблемы также позволяли злоумышленнику получить права соорганизатора.
 
Киберпреступники похитили учетные данные пользователей Zello
В качестве меры предосторожности пароли пользователей были сброшены, и при следующей авторизации нужно будет установить новые.  
 
Взломавший Twitter подросток оказался матерым киберпреступником
Грэм Айвен Кларк начал планировать взлом Twitter спустя всего две недели после того, как попался на краже 100 биткойнов.
 
Россияне смогут вносить биометрические данные через смартфон
Размещение данных будет осуществляться с помощью ПО, предоставляемого оператором единой биометрической системы.
 
Positive Technologies помогла устранить уязвимости в распределенной системе управления CENTUM компании Yokogawa
Уязвимости были найдены в компоненте CAMS for HIS, отвечающем за управление аварийными сообщениями и событиями в системе управления промышленного объекта.
 
В PT Industrial Security Incident Manager появилась возможность пополнять базу знаний пакетами экспертизы
Первый экспертный пакет уже доступен пользователям для загрузки.
 
Киберпреступники выставили на продажу номера паспортов россиян
База данных включает 1,1 млн строк, стоимость каждой из которых составляет $1,5.
 
Жертвам вымогательского ПО проще заплатить выкуп – страховка покроет все
Провайдер облачных услуг Blackbaud открыто признал, что расходы на уплату выкупа покрыла страховка.
 
Операторы Maze опубликовали десятки ГБ данных LG и Xerox
Похищенная информация может включать исходный код прошивки для различных продуктов LG и записи службы поддержки Xerox.
 
Китайские хакеры уже 12 лет незаметно используют RAT-троян TAIDOOR
Троян TAIDOOR используется еще с 2008 года, но был обнаружен только недавно.
 
Великобритания: Если TikTok хочет офис в Лондоне, он должен пройти проверку
Если после покупки компанией Microsoft TikTok «переедет» в Лондон, ему нужно будет предоставить свой код для проверки.
 
Пользователи Windows 10 теперь не смогут блокировать телеметрию с помощью файлов HOSTS
Защитник Windows начал обнаруживать измененные файлы HOSTS и определять их как угрозу «SettingsModifier: Win32 HostsFileHijack».
 
Илон Маск рассказал новые подробности о разрабатываемых чипах для мозга
По словам предпринимателя данной системой можно будет управлять с помощью смартфона.


 
В Москве пройдет хакатон о решениях для цифрового гражданства
Общий призовой фонд хакатона «DemHack» составит более 1,5 млн.рублей.
 
Вышло крупнейшее обновление в истории ядра Linux
Новая версия ядра Linux содержит полный отказ от расистского жаргона.
 
Российские хакеры слили почтовую переписку британского министра
Источники не уточняют, какую группировку или организацию подозревают в атаках
 
Новое расширение Chrome раскроет информацию о рекламных объявлениях
Расширение позволит узнать, пoчему именно эти сообщения показываются пользователю.
 
Прокуратура Москвы проведет проверку по факту утечки данных автомобилистов
По результатам проверки будут приняты меры по устранению нарушений и привлечению виновных к ответственности.
 
Эксперты рассказали о цифровом качестве жизни в разных странах
По уровню цифрового качества жизни Россия расположилась практически посередине рейтинга, заняв 42-е место.
 
Хакеры похитили 1,2 млн евро у криптовалютной платформы 2gether
Неизвестный атакующий похитил с инвестиционных счетов 26,79% от всех активов 2gether.
 
Хакеры пытались похитить у Moderna данные о разработке вакцины против COVID-19
Представитель министерства иностранных дел Китая Ван Вэньбинь отрицает обвинения США.
 
Обзор инцидентов безопасности за период с 27 июля по 2 августа 2020 года
Поимка взломщиков Twitter, восстановление сервисов Garmin, многочисленные утечки и пр. – коротко о главном за прошлую неделю.
 
Задержаны хакеры, похитившие более $837 тыс. у 8 белорусских банков
В общей сложности было задержано 10 участников 4 международных киберпреступных группировок.
 
Вслед за Garmin еще одна компания заплатила вымогателям миллионы долларов выкупа
CWT предположительно заплатила $4,5 млн выкупа за восстановление своих файлов после атаки вымогательского ПО.
 
Россияне не смогут пополнять наличными анонимные электронные кошельки
Неидентифицированное физическое лицо должно использовать банковский счет для предоставления денег оператору кошелька.
 
Microsoft планирует купить бизнес TikTok в США
Глава Microsoft Сатья Наделла уже начал обсуждение покупки с президентом США Дональдом Трампом.
 
Динамика выручки производителей ГОСТовых токенов

 
Рекомендации CIS по формированию парольной политики

 
Новая стратегия ENISA по поддержке доверия и кибербезопасности в Евросоюзе

 
Опыт обучения на курсах по SOCам

 
Опыт полутора десятков онлайн-курсов за время самоизоялции

 
Вопросы аудита по ГОСТ 57580.2

 
Видео межблогерского вебинара по персональным данным в Медицине

 
Единый федеральный информационный регистр, содержащий сведения о населении: читаем закон

 
Алгоритм оценки необходимости выполнения НПА по ИБ

 
Обзор правоприменительной практики по ПДн от рабочей группы РКН

 
Что будет нового на июньском вебинаре для кредитно-финансовых учреждений

 
Нужна ли лицензия ФСТЭК для собственных нужд?

 
Что больше нужно предприятию - служба ИБ или функция ИБ?

 
Игра Cybersecurity Alias

 
Три статьи про SOCи - обзор 40 российских SOCов, измерение эффективности и SOC на удаленке

 
Техническая защита ПДн в соответствие с GDPR и ФЗ-152 (презентация)

 
ГОСТ 57580 – лучшие практики ИБ для финансовых организаций?!

 
О проектах Указа Президента и Постановления Правительства по убийству всех СуКИИ

 
Последнее обновление: 10-08-20-pm