Архив метки: Минцифры

Прожектор по ИБ, выпуск №18 (13.01.2024): Герои Оземпика in-the-middle

Добавить комментарий

Прожектор по ИБ, выпуск №18 (13.01.2024): Герои Оземпика in-the-mid­dle

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

Первый выпуск в новом году, накопилось много новостей. 🙂

00:00 Здороваемся, обсуждаем новый ноутбук Льва без камеры, радуемся относительно большому количеству просмотров прошлого выпуска
03:10 Внезапно про обновление Heroes III с новыми замками
05:15 Несколько минут здорового самопиара. Говорим про видео-проекты: Ответь за 5 секундпоследнем я участвовал), ИИ несёт бред, Собираем карьеру
09:20 Закладка в прошивке светодиодной гирлянды
13:04 NVD включили заднюю в вопросе отключения СVЕ-фидов
15:39 Итоги 2023 года от Qualys Threat Research Unit
21:47 Январский Microsoft Patch Tues­day и MitM
29:14 Июньская Authen­ti­ca­tion Bypass уязвимость Share­point (CVE-2023–29357) в активной эксплуатации; конкурс: на что заменить Share­point?
32:15 Cis­co исправили критичную Arbi­trary File Upload / RCE уязвимость в Uni­ty Con­nec­tion (CVE-2024–20272); конкурс: на что заменить CUC?
37:45 Атаки на Ivan­ti Con­nect Secure / lvan­ti Pol­i­cy Secure с использованием 0Day RCE уязвимости (CVE-2023–46805, CVE-2024–21887)
41:06 Курьёзная критичная уязвимость в Git­Lab — восстановление пароля от аккаунта на левый email (CVE-2023–7028); конкурс стихов 😅
44:10 ИС Антифишинг от Минцифры
45:38 Всемирный совет церквей (WCC) был атакован вымогателями
48:50 МВД России предупреждает о новых способах мошенничества
50:24 Цукерберг берет деньги за отказ от сбора и использования личных данных под целевую рекламу
51:29 Почти 170 случаев утечек персональных данных россиян зафиксированы в 2023 году
54:41 Прощание от Mr.X про Оземпик

Прожектор по ИБ, выпуск №15 (09.12.2023): Нейролингвистические атаки на ИИ

Добавить комментарий

Прожектор по ИБ, выпуск №15 (09.12.2023): Нейролингвистические атаки на ИИ

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:00 Здороваемся и смотрим статистику по прошлому эпизоду
01:56 Про конференцию Код ИБ Итоги 2023
08:14 Фишинговая атака на админов Word­Press и настоящая RCE
13:39 У NVD превратятся в тыкву фиды и API 1.0, что делать?
17:36 Нейролингвистические атаки на ИИ и автоматическая конвертация BASH в Python
26:00 Стратегия развития области связи
34:17 Премия Киберпросвет
38:59 Прощание от Mr.X

Прожектор по ИБ, выпуск №13 (26.11.2023): Метания Альтмана, кошко-девушки и тормозной CISA KEV

Добавить комментарий

Прожектор по ИБ, выпуск №13 (26.11.2023): Метания Альтмана, кошко-девушки и тормозной CISA KEV

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:00 Здороваемся, смотрим статистику по прошлому эпизоду и комментарии
02:30 Впечатления от Кибердома, потенциальная книга по VM от Pos­i­tive Tech­nolo­gies
12:44 CISA KEV люто тормозит
20:19 Про спор ОМП и Ред Софт об AOSP в реестре Минцифры
31:58 USB-стиллер против Win­dows Hel­lo и про биометрию вообще
41:04 8 млрд рублей перевели мошенникам жители РФ, не доверяйте входящим звонкам
47:08 Хакеры требуют кошко-девушек
49:59 Карьерные метания товарища Альтмана
54:45 Несёт ли бред ИИ?
56:57 Прощание от Mr.X

Про спор ОМП и Ред Софт об AOSP в реестре Минцифры

1 комментарий

Про спор ОМП и Ред Софт об AOSP в реестре Минцифры

Про спор ОМП и Ред Софт об AOSP в реестре Минцифры. Выглядит как принципиальный вопрос о будущем российской мобильной экосистемы. Можно ли не париться и просто клепать устройства на AOSP от Google или нельзя?

Если ОМП в этом споре проиграет велики шансы, что тема с Авророй сдуется, несмотря на все последние успехи. Устройства на AOSP и производить проще, и приложения под Android уже давно разработаны. А то, что лицензия на Android Stu­dio нарушается, код ОС не контролируется (т.к. его чудовищно много и он не разрабатывается сообществом, а выкладывается as is) и прочие аргументы против AOSP, то на это можно и глаза закрыть. Слишком соблазнительно получить лучший для конечного пользователя продукт гораздо меньшими усилиями и затратами. 🤷‍♂️

Если Ред ОС М останется в реестре, то вполне вероятно, что AOSP-based OS появится больше. Возможно подаст признаки жизни и проект мобильной ОС от "Консорциума". 🧐

Посмотрим как сложится. Но в этом споре мне ближе позиция ОМП.

Прожектор по ИБ, выпуск №11 (12.11.2023): не верь описаниям, периметр и Аврора для физиков

Добавить комментарий

Прожектор по ИБ, выпуск №11 (12.11.2023): не верь описаниям, периметр и Аврора для физиков. Записали очередной эпизод нашего еженедельного подкаста. В этот раз записывали таким составом:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Иван Шубин

00:00 Здороваемся и смотрим статистику
02:29 Как Лев съездил на Цифротех
07:52 Не верь описанию уязвимости — может внезапно поменяться (на примере недавней Improp­er Autho­riza­tion в Con­flu­ence CVE-2023–22518)
11:36 Специалисты из Check Point Research раскрыли уязвимость в Microsoft Access, которая может быть использована злоумышленниками для получения NTLM-токенов пользователя Win­dows
15:31 Парочка занимательных аномалий из Nation­al Vul­ner­a­bil­i­ty Data­base
18:27 Про возраст уязвимости и её трендовость
29:38 Ещё один экран Бесконечного VM‑a про сетевой периметр
40:05 Делюсь впечатлениями от покупки первого смартфона на Авроре для физиков
55:19 В преддверии Черной пятницы число веб-атак на ретейл России возросло на 50%
57:27 Минцифры России запускает второй этап программы bug boun­ty, распространив ее на все ресурсы и системы электронного правительства
01:00:47 В Южной Корее робот насмерть прижал мужчину
01:06:11 Иван рекомендует книгу "How vCISOs, MSPs and MSSPs Can Keep their Cus­tomers Safe from Gen AI Risks"
01:10:21 Прощание от Льва

Прожектор по ИБ, выпуск №6 (08.10.2023)

1 комментарий

Прожектор по ИБ, выпуск №6 (08.10.2023). Записали очередной эпизод. В основном мы говорили про уязвимости прошлой недели.

Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:00 Здороваемся, смотрим статистику по просмотрам предыдущего выпуска
02:18 Саша вышел на работу в Pos­i­tive Tech­nolo­gies и чем же он там будет заниматься
04:50 RCE без аутентификации в почтовом сервере Exim (CVE-2023–42115)
08:16 SSRF/RCE в Torch­Serve (CVE-2023–43654, CVE-2022–1471), Shell­Torch
12:05 В Cis­co Emer­gency Respon­der нашли root-овые учётки с захардкоженными паролями (CVE-2023–20101)
16:44 Новый криптографический протокол аутентификации Open­Pub­key
17:56 EoP или обход аутентификации в Atlass­ian Con­flu­ence (CVE-2023–22515)
23:42 Грядет опасная уязвимость cURL и libcurl (CVE-2023–38545)
27:07 Новая bug boun­ty программа Минцифры
30:32 Система бронирования "Леонардо" вновь подверглась DDOS-атаке из-за рубежа
35:22 Экосистема Xiao­mi вышла из строя по всей России
36:38 Qualys‑ы наресерчили EoP/LPE уязвимость во всех Lin­ux-дистрибах, а конкретно в glibc (CVE-2023–4911)
39:19 XSpider‑у 25 лет. Ровно как и всему современному Vul­ner­a­bil­i­ty Management‑у. Обсуждаем в какую сторону развивается VM.
46:42 Прощание от Mr. X

Бесплатный онлайн-курс по оффенсиву на 48 академических часов, да ещё и при поддержке Минцифры

Добавить комментарий

Бесплатный онлайн-курс по оффенсиву на 48 академических часов, да ещё и при поддержке Минцифры. Надо брать. Программа выглядит толково. Кажется хороший вариант для вкатывания в практическую ИБ без каких-либо затрат. Название правда правда такое себе. 🙄 Не люблю h‑word, особенно в сочетании с маской Гая Фокса. Кажется от определенной атрибутики лучше держаться подальше, даже если это в шутку.