Hacker news - новости из мира хакинга и IT-технологий!

2021-12-14 11:51:02 Законен ли веб-парсинг? Начиная от неэтичного взлома, кражи личных данных, интернет-мошенничества, социальной инженерии и многого другого, мы слышим и видим правила, прямо пытающиеся пресечь все формы преступности и мошенничества в сети. Но позиция интернет-закона о законности веб-парсинга остается спорной. https://goo.su/9I9e Открыть/Комментировать

2021-12-13 12:03:38 Чрезвычайно критическая уязвимость Log4J подвергает риску значительную часть Интернета Apache Software Foundation выпустила исправления, содержащие активно эксплуатируемую уязвимость нулевого дня, затрагивающую широко используемую библиотеку ведения журналов Apache Log4j на основе Java, которая может быть использована для выполнения вредоносного кода и обеспечения полного захвата уязвимых систем. Эта проблема, отслеживаемая как CVE-2021-44228 и именами Log4Shell или LogJam, касается случая неаутентифицированного удаленного выполнения кода (RCE) в любом приложении, использующем утилиту с открытым исходным кодом, и затрагивает версии Log4j 2.0-beta9 до 2.14. 1. Ошибка получила высшую оценку 10 из 10 в рейтинговой системе CVSS, что указывает на серьезность проблемы. «Злоумышленник, который может управлять сообщениями журнала или параметрами сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена подстановка поиска сообщений», - сообщает Apache https://goo.su/Xgb Открыть/Комментировать

2021-12-10 12:16:04 Вредоносные установщики Notepad ++ отправляют вредоносное ПО StrongPity Группа хакеров, известная как StrongPity, распространяет установщики Notepad ++, которые заражают вредоносными программами.

Эта хакерская группа, также известная как APT-C-41 и Promethium, ранее распространяла троянизированные установщики WinRAR в период с 2016 по 2018 год, так что этот метод не нов. https://goo.su/T4P Открыть/Комментировать

2021-12-08 15:36:03 Децентрализованная идентификация: стоит ли рисковать конфиденциальностью? Пользователи все чаще делятся своей конфиденциальной личной информацией в обмен на удобные услуги. Разработчики децентрализованной идентичности считают, что есть способ сохранить конфиденциальность, когда они живут все более взаимосвязанной жизнью. https://goo.su/w6i Последняя версия Firefox 95 включает песочницу RLBox для защиты браузера от вредоносного кода Mozilla начинает развертывание Firefox 95 с новой технологией песочницы под названием RLBox, которая предотвращает появление ненадежного кода и других уязвимостей безопасности, вызывающих «случайные дефекты, а также атаки на цепочку поставок». https://goo.su/CUR Открыть/Комментировать

2021-12-07 13:49:40 Российская хакерская группа использует новую скрытую вредоносную программу Ceeloader Хакерская группа Nobelium продолжает взламывать правительственные и корпоративные сети по всему миру, нацеливаясь на своих поставщиков облачных и управляемых услуг и используя новую специальную вредоносную программу «Ceeloader».

Nobelium - это имя Microsoft в честь злоумышленника, стоящего за прошлогодней атакой цепочки поставок SolarWinds, которая привела к компрометации нескольких федеральных агентств США. Считается, что эта группа является хакерским подразделением Службы внешней разведки России (СВР), широко известным как APT29, The Dukes или Cozy Bear. Хотя Nobelium - это продвинутая хакерская группа, использующая специальные вредоносные программы и инструменты , они по-прежнему оставляют следы деятельности, которые исследователи могут использовать для анализа своих атак. https://goo.su/OFB Открыть/Комментировать

2021-12-06 12:00:21 Шпионское ПО NSO Group использовалось для взлома iPhone Госдепартамента США Как сообщает Reuters, по меньшей мере девять iPhone, которыми пользовались сотрудники Госдепартамента США, были взломаны с помощью шпионского ПО, разработанного NSO Group.
Недавно США наложили санкции на NSO Group за «злонамеренную кибер-деятельность». По данным Министерства торговли США, NSO Group «разрабатывала и поставляла шпионское ПО правительствам других стран».
В свою очередь, министерство обороны Израиля сократило количество стран, в которые израильские компании могут экспортировать киберинструменты.
Источники утверждают, что взлом произошел в последние несколько месяцев и ударил по официальным лицам США, сосредоточившим внимание на вопросах, касающихся восточноафриканской страны Уганды. Неясно, кто стоял за атакой, и NSO Group заявила, что не имеет никаких указаний на использование своих инструментов, сообщает Reuters.
«Если наше расследование покажет, что эти действия действительно произошли с инструментами NSO, такой клиент будет удален безвозвратно, и будут приняты судебные иски», - сказал представитель NSO.
По данным Reuters, представитель Госдепартамента отказался комментировать вторжения, вместо этого указав на недавнее решение Министерства торговли включить израильскую компанию в список юридических лиц, что затрудняет ведение дел с американскими компаниями.
Шпионское разработанный НСУ Группа действует через мобильные устройства iPhone и Android и позволяет ему получить доступ к сообщениям, электронные письма, фотографии, или даже тайно записывать звонки и активировать микрофоны. https://goo.su/FHF Открыть/Комментировать

2021-12-03 12:20:54 Meta расширяет программу защиты Facebook для активистов, журналистов и государственных служащих Компания Meta, ранее известная как Facebook, в четверг объявила о расширении своей программы безопасности Facebook Protect, включив в нее правозащитников, активистов, журналистов и государственных чиновников, которые с большей вероятностью станут мишенью злоумышленников через ее платформы социальных сетей.

«Эти люди находятся в центре критических общественных дискуссий», - сказал Натаниэль Глейхер, глава отдела политики безопасности Meta. «Они позволяют проводить демократические выборы, заставляют правительства и организации подотчетны и защищают права человека во всем мире. К сожалению, это также означает, что они подвергаются сильной атаке со стороны злоумышленников». https://goo.su/a6KC Открыть/Комментировать

2021-12-02 16:29:36 Подробные исследования 17 вредоносных фреймворков, используемых для атак на сети с воздушным зазором Только в первой половине 2020 года были обнаружены четыре различных вредоносных фреймворка, предназначенных для атак на сети с воздушным зазором, в результате чего общее количество таких наборов инструментов достигло 17 и открыло злоумышленникам путь к кибершпионажу и кражи секретной информации.
«Все фреймворки предназначены для выполнения той или иной формы шпионажа, [и] все фреймворки используют USB-накопители в качестве физической среды передачи для передачи данных в целевые сети с воздушными зазорами и из них», - говорят исследователи ESET Алексис Дорайс-Йонкас и Факундо Муньос. говорится в комплексном исследовании фреймворков.
Воздушный зазор - это мера сетевой безопасности, предназначенная для предотвращения несанкционированного доступа к системам путем их физической изоляции от других незащищенных сетей, включая локальные сети и общедоступный Интернет. Это также означает, что единственный способ передать данные - это подключить к нему физическое устройство, такое как USB-накопители или внешние жесткие диски. https://goo.su/xbT Mozilla исправляет критическую ошибку в библиотеке криптографии Network Security Services (NSS) Mozilla исправила критическую проблему повреждения памяти, влияющую на кроссплатформенный набор криптографических библиотек служб сетевой безопасности https://goo.su/9t9f Открыть/Комментировать

2021-12-01 14:12:45 Финляндия столкнулась с метелью текстовых сообщений, распространяющих флуд Банковский троян Flubot покрывает Финляндию, распространяется через телефоны Android, которые отправляют миллионы вредоносных текстовых сообщений. https://goo.su/OGW В приложении для видеоконференцсвязи Zoom обнаружено множество уязвимостей Исследователи из Google Project Zero обнаружили в приложении Zoom многочисленные уязвимости, которые могут подвергнуть пользователей атакам. Zoom исправил недостатки после сообщений об ошибках. https://goo.su/TyB Twitter во вторник объявил о расширении своей политики в отношении частной информации, включив в нее частные СМИ эффективно запрещая обмен фотографиями и видео без явного разрешения лиц, изображенных на них, с целью пресечения доксинга и преследований. https://goo.su/9l9 Открыть/Комментировать

2021-12-01 10:13:10 Ищете лучший способ войти в IT-разработку? Можно попробовать устроиться в IT-компанию тестировщиком, продактом, проджектом или освоить другую около айтишную профессию, но есть риск остаться не программистом, так и не приблизившись к цели. Лучший способ войти в IT и сразу в разработку — это освоить Java.

Как выстроить свою карьерную стратегию через Java? Разберемся 9 декабря в 19:00 в OTUS.
Тимлид в компании Центр 2М Олег Агафонов расскажет, как стартовать в IT с помощью Java.

Что обсудим?
— Варианты карьерных траекторий Java-специалистов
— Требования работодателей к Java-разработчикам уровня Junior+
— Почему не стоит тратить время на обучение в классическом вузе
— Как выстроить эффективную стратегию обучения Java?
— Где находить «вкусные» вакансии и как обсуждать оффер?

А еще пошагово разберем карьерный путь спикера и поделимся лайфхаками, как правильно выстроить свой cобственный.

Регистрируйся https://otus.pw/51Ly/! Тебя ждет 1,5 часа общения с экспертами https://otus.pw/51Ly/ Открыть/Комментировать