Информация опасносте

2021-02-19 15:37:44 === РАБОТА ===

Всем привет!

«Нетология» приглашает специалистов по InfoSec/DevSecOps преподавать на курсе «Специалист по информационной безопасности»: netology.ru/programs/informationsecurity

Мы ищем лектора, который знает следующие темы:


Тестирование на проникновение, уязвимости веб-приложений:
Архитектура современных веб-сервисов;
Уязвимости веб-сервисов;
OWASP;
Тестирование на проникновение

Организация безопасности:
Настройка и администрирование СЗИ;
Мониторинг событий безопасности;
Регламентация процесса;

Какие есть возможности:

Поделиться знаниями и опытом с молодыми спецами по InfoSec;

Работать удаленно на part-time с гибкой системой заработка: лучшие эксперты зарабатывают больше 100 000 рублей в месяц, совмещая преподавание с основной работой;

Получить опыт преподавания и новые знания в своей сфере

Вам не обязательно знать все темы или иметь опыт преподавания: если чувствуете, что готовы делиться знаниями и помогать другим освоить новую профессию — смело пишите в Telegram @klotze2 или на почту r.pshenichnikov@netology.ru! Открыть/Комментировать

2021-02-19 10:25:06 Там вчера Apple опубликовала обновленную версию своего документа Platform Security Guide, в котором есть очень много разных и интересных деталей про то, как работает в устройствах и сервисах компании обеспечение безопасности и самих устройств, и информации пользователей.

https://support.apple.com/guide/security/welcome/web

Вот ПДФ https://manuals.info.apple.com/MANUALS/1000/MA1902/en_US/apple-platform-security-guide.pdf

Из того, что обновилось, рассказы про изменения в новых версиях операционных систем для смартфонов, планшетов (iOS/iPadOS 14) и Маков (macOS Big Sur). Изменения в Маках с процессорами Arm (отказ от kernel extensions в будущем, изменения в процессе загрузки, бинарная трансляция приложений в Rosetta, и тд.
Про фичу мониторинга паролей, где система проверяет хеши паролей на предмет их утечки (https://support.apple.com/guide/security/password-monitoring-sec78e79fc3b/web), или же про изменения процесса загрузки айфонов (https://support.apple.com/guide/security/memory-safe-iboot-implementation-sec30d8d9ec1/web). Я неоднократно говорил, что это один из самых интересных документов, который публикует Apple, и он даёт возможность посмотреть на то, как компания обеспечивает многослойный уровень защиты, от комплилятора до операционных систем, и до железа. Открыть/Комментировать

2021-02-19 08:10:05 Если вы в прошлом году бывали на Ямайке, то у меня для вас плохие новости. База данных сайта, который подрядчик разрабатывал для правительства Ямайки, и на котором хранились записи о посетителях острова, оказалась незащищенной паролем и доступной в интернете, и все эти данные, скорей всего, утекли. Там еще и данные с тестами на Ковид19 тех, кто на остров прилетал, были, и все это, что нажито непосильным трудом, все было в интернете. Правительство пока организовало расследование, чтобы выяснить, был ли доступ к данным, собственно. Никогда такого не было, и вот опять

https://techcrunch.com/2021/02/17/jamaica-immigration-travelers-data-exposed/ Открыть/Комментировать

2021-02-18 14:34:19 Действительно смешно https://twitter.com/0xw2w/status/1362078365835014146?s=21 Открыть/Комментировать

2021-02-18 09:00:20 === Реклама ===
DevSecOps Wine

В 2017 году происходит масштабная утечка данных Equifax в следствие отсутствии проверки SCA в процессе разработки.

В 2019 году уязвимость, связанная с runC, подвергает опасности тысячи кластеров Kubernetes.

В 2020 осуществляется серия атак на API Docker со стороны группировки TeamTNT с помощью легитимных образов Ubuntu и Weave Scope.

В 2021 уязвимость Dependency Confusion позволила внедрить вредоносный пакет в цепочки поставок Microsoft, Apple и сотни других компаний.

Все это является следствием упущений в обеспечении DevSecOps.

DevSecOps Wine - канал про выстраивание безопасной разработки и AppSec. Автор поднимает темы безопасности Kubernetes, Docker, облаков (AWS, GCP, Azure), а тажке того, что касается современных SAST, DAST, SCA и других средств, встраиваемых в CI/CD. Все это разбавляется техниками тестирования на проникновение и защитой веба.

=== Реклама === Открыть/Комментировать

2021-02-18 07:46:07 Тут вот уже пишут, что современные вирусописатели вирусов для Мак осознали, что надо идти в ногу со временем, и начали компилировать свои вирусы под новую Arm-архитектуру процессоров М1. Само приложение - рекламное, показывает в браузере всякую рекламу и купоны, но сам факт, что оно уже нативно на М1 Маке, забавен

https://objective-see.com/blog/blog_0x62.html Открыть/Комментировать

2021-02-17 23:29:51 красиво (как полиция Нидерландов и Украины получила контроль над инфраструктурой ботнета Emotet)


Открыть/Комментировать

2021-02-17 15:47:29 как мне напоминают читатели, надо обратить внимание на то, что менеджер паролей LastPass вводит новую политику монетизации, по которой бесплатная версия может работать только на одном типа устройства пользователя — компьютере или смартфоне. Что в современном мире несколько неудобно и, соответственно, потребует либо заплатить денег, либо искать другой менеджер паролей. удачи!

https://blog.lastpass.com/2021/02/changes-to-lastpass-free/ Открыть/Комментировать

2021-02-17 12:55:08 кстати, вот пару дней назад пропустил еще тему. Эпол, похоже, решила поругаться со всеми соседями по долине. В браузерах Safari есть тема, что там показываются предупреждения о потенциально вредоносных сайтах (фишинг там, вот это все), а эта система использует данные Google Safe Browsing. Формально там Safari отправляет Google не весь УРЛ, а только хешированную часть, и технически Google не получает от браузера информации о том, какой именно УРЛ запрашивает пользователь. Тем не менее, Google могла получать IP-адрес пользователя, и вот в новой версии iOS Apple выкатила изменение, в котором Google Safe Browsing работает через прокси-сервер Apple, и таким образом Google вообще никакой информации о пользователе не получает.


https://the8-bit.com/apple-proxies-google-safe-browsing-privacy/

https://www.reddit.com/r/iOSBeta/comments/lg10f3/ios_145_beta_1_apple_proxies_google_safebrowsing/ Открыть/Комментировать

2021-02-17 07:49:01 Читатель прислал о местных утечках:

В Литве утекла база сервиса каршеринга: https://raidforums.com/Thread-CityBee-LT-Database-Leaked-Download (вот тут продавали за 1000$)

https://www.delfi.lt/verslas/transportas/teisingumo-ministre-apie-citybee-skandala-rizika-del-duomenu-panaudojimo-yra-bet-ji-zema.d?id=86495451
тут по-литовски - тут министр юстиции втирает, што ничего страшного. банковские карты и права рекомендует не менять. хз, насколько в современном мире это ценный совет.
https://www.delfi.lt/ru/news/economy/glava-kompanii-citybee-prizyvaet-klientov-menyat-paroli.d?id=86494971
тут по-русски

данные не самые свежие, но потекло: имена, фамилии, персональные коды (National Identity Card Number), номера телефонов, эл. почта, адреса, номера водительских удостоверений Открыть/Комментировать