Підтримайте нас та станьте Патроном, щоб отримувати повні нотатки до епізодів у електронну пошту.
Докладно про головне
Враження від нової версії OWASP Top 10. styran.com
Китай повністю забороняє всі криптотранзакції: усі операції в криптовалютах відтепер нелегальні в КНР. Bloomberg
Коротко про важливе
Міністерство оборони Литви рекомендує вам припинити купувати мобільні телефони, що виробляються в Китаї, та викинути ті, які ви вже мали необережність придбати. Reuters
В п’ятнадцятій версії iOS та iPadOS Apple додала для користувачів можливість збирати та переглядати інформацію про доступ застосунків до чутливих даних та периферії на мобільних пристроях. Apple
Сполучені Штати Америки нарешті розпочали щось робити зі своїми колишніми федеральними агентами та експертами з кібербезпеки, що шпигують за журналістами, активістами та дисидентами на замовлення урядів тоталітарних країн. Substack Reuters
Microsoft більше не вимагає в користувачів введення паролю для входу у їхні облікові записи. BleepingComputer
Адміністратор Freedom Hosting отримав 27 років ув’язнення за розміщення в інтернеті дитячого порно. TheRecord
Румунська кібербезпекова фірма Bitdefender опублікувала універсальну утиліту для розшифрування файлів минулих жертв криптоздирників REvil. TheRecord
Apple та Google вилучили зі своїх систем публікації застосунків додаток російського політика Олексія Навального. NewsWeek
Атаки та інциденти
Китайські хакери вломилися до внутрішніх мереж щонайменше 10 індонезійських міністерств та відомств. TheRecord
GetHealth – агрегатор даних з кількох систем аналізу активності та занять спортом, таких як Fitbit, Misfit Wearables, Microsoft Band, Strava та Google Fit – залишив 61 мільйон записів публічно доступними в інтернеті, без шифрування. ZDNet
Криптоздірники пошифрували всі системи Міністерства юстиції Південно-Африканської Республіки. BleepingComputer
Ботнет Meris здійснив найбільшу наразі DDoS атаку, в тому числі на вебсайт Браяна Кребза. KrebsOnSecurity
Російські криптоздирники REvil та BlackMatter відновили операції. BlippingComputer BlippingComputer
Вразливості та патчі
Дослідник безпеки дропнув 5 Proof-of-Concept експлойтів до вразливостей в iOS. BleepingComputer
У Microsoft Exchange Autodiscover знайдено вразливість, через яку можна масово тирити реквізити доступу поштових клієнтів. TheRecord
Zero-day у macOS Finder дозволяє приховане виконання команд. BleepingComputer
Компанія Apple виправила zero-day в iOS, через який поширювалася скандальна спайварь Pegasus виробництва ізраїльської компанії NSG Group. BleepingComputer
Аналітика
Китайська Народна Республіка розширює вплив кампаній дезінформації в соціальних медіа, онлайн форумах, веб-сайтах та інших платформах. FireEye
Щорічний звіт про кібербезпеку австралійського уряду. ACSC
Матеріали фабрик тролів так чи інакше потрапили перед очі 140 млн американців протягом місяця перед виборами 2020 року. TechnologyReview
Компанія Malwarebytes опублікувала підбірку неочевидних покращень безпеки macOS 11. Malwarebytes
Аналіз масштабів втручання Facebook у приватність користувачів WhatsApp. Propublica
Дві третини атак на хмарні інфраструктури можна було зупинити за допомогою регулярних перевірок налаштувань безпеки. Ми у компанії BSG використовуємо для цього утиліту ScoutSuite і всім її радимо. ZDNet ScoutSuite
91% ІТ-підрозділів змушені послабляти заходи кібербезпеки під тиском пріоритетів бізнесу. ZDNet
Анонси
OWASP відзначив своє двадцятиріччя онлайн-конференцією, на якій ми підбили підсумки роботи організації та познайомили аудиторією з прогресом найважливіших проєктів. Зареєстровані учасники можуть ознайомитися із записами відео сесій. OWASP
Осіння зустріч відділення OWASP Kyiv відбудеться 10 жовтня. Тривають прийом заявок на виступи та реєстрація.
Я проведу авторський тренінг Кібербезпека для бізнес-лідерів на початку листопада. Опис тренінга та реєстрація за посиланням. Якщо ви керуєте високотехнологічним бізнесом то ця програма для вас. Якщо ні, передайте цю новину знайомому бізнесмену або менеджеру, який дістає вас питаннями про кібер.
Рекомендації
Вийшов Kali Linux 2021.3. BleepingComputer
Смі#$%oчки
Брюс Шнаєр зізнався, що він не Сатоші Накамото. SchneierOnSecurity