Episódios

  • Свобода слова та її обмеження

    Як трактувати бан Трампа в соцмережах

    Моральний прогрес

    "Ліві" проти "правих", племінна полеміка, та інші форми ідіотизму

    Як це стосується заборони російських соцмереж

    Мова ненависті

    Посилання на згадані матеріали:

    - The International Data-driven Research for Advanced Modeling and Analysis (iDramaLab) https://idrama.science- Stanford in·ter·net ob·serv·a·to·ry https://cyber.fsi.stanford.edu/io/io- Tranco - A Research-Oriented Top Sites Ranking Hardened Against Manipulation https://tranco-list.eu- How myth-busting backfires in strengthening irrational belief https://www.theatlantic.com/health/archive/2014/12/vaccine-myth-busting-can-backfire/383700/

  • Десятий епізод з серії спеціальних інтерв'ю з успішними спеціалістами з кібербезпеки. Розмовляємо з Олегом Бондаренком про Threat Intelligence як професію та бізнес, як увійти у Threat Hunting, і що читати та де бувати, щоб досягти у ньому успіху. А також про спорт, літературу, музику і ще багато-багато іншого!

  • Estão a faltar episódios?

    Clique aqui para atualizar o feed.

  • Наприкінці року – експериментальний випуск. Трохи більше коментарів та аналітики, отже більше тексту. Зато цей святковий епізод доступний усім одночасно. З прийдешніми!

    Solarflare NewsВ компанії Microsoft підтвердили, що знаходяться під атакою

    Цілком логічно та очікувано.

    Дослідники безпеки повідомляли SolarWinds, що їхній сервер оновлень був доступний з паролем “SolarWinds123”

    Перевірити правдивість цієї інформації наразі дуже складно. Але будемо сподіватися, що уважне розслідування всіх обставин інциденту розставить все по місцях.

    Неповний список організацій, що опинилися під ударом малварі SunburstForensic-експерти стверджують, що існує друга група зловмисників які експлуатують системи SolarWinds

    Даних про цю групу ще небагато, але дослідники погоджуються, що вона не має стосунку до російської APT, яка скомпрометувала ланцюг постачання SolarWinds Orion.

    Від кількох клієнтів надійшов лист з проханням підтвердити, що Berezha Security не є клієнтом SolarWinds та FireEye ¯\_(ツ)_/¯Все що відбувається – чудовий тест на відповідність вашої інфраструктури сучасним вимогам безпеки. Якщо ви все ще вірите в периметр, ви дуже далеко позаду.Загрози ланцюга постачання в жодному разі не нові, а старі загрози нікуди не дінуться.Докладно про головнеСтрасті навколо Huawei та 5G в УкраїніCitizenLab стверджує, що спецслужби ОАЕ та Саудівської Аравії використали zero-click exploit від NSO Group для взлому журналістів каналу Al JazeeraOSINT-розслідування Bellingcat осіб, причетних до замаху на Навального, та запис його розмовиз одним з оперативниківApple, Google, Microsoft та Mozilla забанили сертифікат, який влада Казахстану намагалася використати для прослуховування трафіку громадянКоротко про важливеКомпанія Cellebrite стверджує, що може отримати доступ до чатів в Signal та її оригінальний постз більшою кількістю деталей механізму розшифруванняРозслідування діяльності IT-аферистів жертвою яких стали декілька Українських ІТ-компаній, в тому числі SoftServeSonarQube додає статичний аналізатор безпеки коду для Java, C#, PHP, Python та JavaScriptДепартамент безпеки США застерігає компанії від використання пристроїв та програмного забезпечення, що походять або пов'язані з КитаємФБР та Інтерпол вилучили сервери кардінг-платформи Joker’s StashВ поліції Нідерландів розробили програму обізнаності для молодих хакерівВразливості тижняПристрої Citrix використовують для ампліфікації DDoS атакСтатті та аналітикаЖорсткі дедлайни та строгий CEO - як Pfizer створив вакцину в лімітовані строкиОгляд механізмів цензури на тему Covid-19 в КитаїTools & WriteupsОгляд нової версії Burp від STÖKНовий реліз radare2РекомендаціїТренінг-платформа SecureFlagBpytop - чудовий системний монітор Linux, macOS & FreeBSD
  • Дев'ятий епізод з серії спеціальних інтерв'ю з успішними спеціалістами з кібербезпеки. Розмовляємо з Олексієм Старовим про науку, освіту, приватність, філософію, та психоделіки. І ще багато-багато іншого!

  • Докладно про головнеРосійські хакери зламали FireEye та виклали в публічний доступ їх інструменти (більшість яких виявились програмами з відкритим вихідним кодом)Влада Казахстану перехоплює HTTPS трафік в столиці В онлайн форматі пройшли щорічна конференція OWASP Ukraine 2020 та BSides Security WeekКоротко про важливеBGP нарешті може отримати велике оновлення безпекиSalesforce купив корпоративний месенджер Slack CISO компанії Johnson & Johnson стверджує, що організації охорони здоров’я піддаються кібератакам кожну хвилинуAdobe випустили останнє оновлення до FlashВиробник гелікоптерів Kopter зазнав атаки вірусу-вимагачаCydia подала антимонопольний судовий позов проти AppleВразливості тижняДослідники знайшли 33 вразливості в open-source імплементаціях TCP/IP в різноманітних смарт-пристрояхВідео zero-click експлойту під iPhone, який тирить фотки по Wi-FiTools & WriteupsDepix – інструмент відновлення паролів з “пікселізованих” фотографій Пост Павла Жепи (доповідача на цьогорічному OWASP Ukraine) про те, як швидко Amazon реагує на витік API ключів до AWS у публічних репозитаріях GitHub. (Спойлер: дуже щвидко.)РекомендаціїПорівняння методик побудови процесів безпечної розробки BSIMM та SAMM

  • Восьмий епізод з серії спеціальних інтерв'ю з успішними спеціалістами з кібербезпеки. Розмовляємо з Анастасією Конопльовою про бізнес, аудит, етику, стандарти, кібербезпеку, громадську діяльність, навчання себе та інших, та як втиснути все це у 24 години. І ще багато-багато іншого!

  • Докладно про головнеХакери випадково засвітили викрадені ними дані користувачів SpotifyНаціональні кібервійська Великобританії виходять із тініМінцифра проведе багбаунті мобільного застосунку Дія з призовим фондом 1 млн грнКоротко про важливеФутбольний клуб "Манчестер Юнайтед" повідомляє про кібер-інцидентАвстралійський хедж-фонд втратив близько 800 тисяч доларів через фейкове запрошення в ZoomFirefox вводить режим “лише HTTPS”, щоб захистити користувачів від небезпечних з'єднаньАнонсиВ онлайні пройдуть конференції кібербезпеки OWASP Ukraine 2020 (5 грудня) та BSides Ukraine (з 7 по 11 грудня)Добігає кінця перший сезон No Name Special

    Прослухати їх ви можете в основному потоці нашого подкасту, назви цих епізодів починаються словами No Name Special. Наразі записано дев’ять епізодів інтерв’ю з успішними спеціалістами з кібербезпеки. І це ми лише розігрілися.

    Вразливості тижняTesla Model X зламали та викрали за лічені хвилини за допомогою нової атаки на брелокВеб-сайти на Drupal вразливі до атаки double-extensionВразливість розбору PDF у ImageMagick дозволяє зловмисникам виконувати команди операційної системиОбхід другого фактору автентифікації в cPanelVMware виправив RCE в SD-WAN Orchestrator-іДослідник безпеки випадково знайшов 0-day у Windows 7 та Windows Server 2008, працюючи над апдейтом для утиліти PrivescCheckРекомендаціїНайкращі подарунки для хакерівСмі#%^очки

    Начальник служби безпеки Apple звинувачується у торгівлі iPad-ами за дозволи на зброю

  • Докладно про головнеTwitter найняв Пітера “Mudge” Затко на посаду Head of Security Дослідники стверджують, що Китай стоїть за низкою кібератак на великі компанії З наступного року розширення Chrome будуть показувати, які користувацькі дані вони збираютьЗловмисники намагалися отримати доступ до Facebook-аккаунту Уляни СупрунКоротко про важливеEthereum піднімає Bug Bounty виплати перед випуском релізу 2.0 Топ найгірших паролів у 2020 році від NordPassЗастарілі закони у сфері кібербезпеки Сполученого КоролівстваAmazon запускає AWS Network FirewallTor покращить пропускну здатність мережі Нова опція --unique в NMapАнонсиApple розробляє альтернативу Google SearchKPMG проведе серію вебінарів по стратегіях кіберстійкості для організацій В онлайні пройдуть конференції кібербезпеки OWASP Ukraine 2020 (5 грудня) та BSides Ukraine (з 7 по 11 грудня)Вразливості тижняВразливість в Cisco Webex дозволяє зловмисникам приховано приєднуватися до зустрічейЗагроза експлуатації вразливості RCE в Cisco Security Manager Вразливість в Facebook Messenger для Android дозволяла зловмисникам шпигувати за жертвоюДослідники перетворили LiDAR розумного порохотягу в мікрофонРекомендаціїВисокорівневий огляд технік OSINT від Portswigger Смі#%^очкиРепортер зайшов на закрите засідання міністрів оборони ЄС

  • Сьомий епізод з серії спеціальних інтерв'ю з успішними спеціалістами з кібербезпеки. Розмовляємо з Володимиром Сидоренко про реверсинг, програмування, менеджмент, кібербезпеку як хобі, та звісно ж про його перемогу в NoNameCon 2020 Badge CTF. І ще багато-багато іншого!

  • Докладно про головне“Дія” запускає Bug BountyУчасники Tianfu Cup знайшли критичні вразливості в VMWare ESXi, Google Chrome, Windows 10, iOS 14 та інших продуктахPaypal прийматиме криптовалютуІнженер Microsoft отримав 9 років тюрми за крадіжку 10 мільйонів в подарункових картахКоротко про важливеОдин з найбільших виробників лептопів Compal зазнав атаки вірусу-вимагача Chrome матиме окреме сховище сертифікатівMicrosoft стверджує, що принаймні три APT-групи атакували виробників вакцин від COVID-19Криптобіржа Binance виплатила винагороду у $200.000 за розслідування кібератакиApple вимагатиме стандартизовані “мітки приватності” на застосунках в App Store Нестача кадрів в кібербезпеці вперше скоротилася, повідомляє ISC(2)АнонсиЗавершився цьогорічний NoNameCon Badge CTFЗавершується Call for Papers на OWASP Ukraine 2020, який пройде 5 грудня в онлайн форматіBSides Ukraine пройде в онлайні з 7 по 11 грудня: https://securitybsides.org.uaВразливості тижняДемо iOS Jailbreak для iPhone 12 та iOS 14.2Патчі безпеки від Apple, Google та MicrosoftFacebook виплатив $25k за DOM-based XSSРекомендаціїЕтичний кодекс для спеціалістів кібербезпеки Microsoft закликає відмовитись від MFA прив'язаного до телефонуСмі#%^очки"Sassy Justice" – сатиричне шоу з використанням штучного інтелекту та діпфейків від творців South Park

  • Докладно про головнеДепартамент Юстиції США заарештував вкрадені біткоіни Silk Road на $1 млрдХакери вкрали програмний код в державних агенцій США та приватних компаній через неправильно налаштований SonarQubeFacebook видалив мережу ботів, пов’язаних із Юлією ТимошенкоЖиття кіберзлочинців не таке захоплююче, як здаєтьсяКоротко про важливеДослідники знайшли версію вірусу-вимагача Ransomexx під LinuxWhatsApp додає зникаючі повідомленняCampari зазнала атаки вірусу-вимагачаАнонсиПочався цьогорічний NoNameCon Badge CTF. Змагання триватимуть увесь тиждень, а завдання на деякий час залишатимуться онлайн після його завершення. За ходом змагань можна спостерігати тут: https://ctf.techmaker.ua/scoresТриває Call for Papers на OWASP Ukraine 2020, який пройде 5 грудня в онлайн форматі.BSides Ukraine пройде в онлайні з 7 по 11 грудня: https://securitybsides.org.uaВразливості тижняCode Injection в GitHub ActionsTools and write-upsFireEye випустив ThreatPursuit, “Kali на вінді” для дослідників загроз Смі#$%очкиДослідники знайшли вразливість в грі-квізі по кібербезпеці від Deloitte

  • Докладно про головнеСхоже, що Твіттер-аккаунт Дональда Трампа знову хакнули підібравши пароль – «maga2020!»А веб сайт його виборчої кампанії зазнав атаки вірусу-вимагачаСША висунули санкції проти російського науково-дослідного інституту через розробку вірусу Triton, який був націлений на системи індустріального контролюBellingcat опублікував розслідування діяльності спеціального відділу ГРУ РФ, що займається розробкою хімічної зброї, в тому числі “Новічка”Facebook хоче закрити проект університету Нью-Йорку з дослідження політичної рекламиOffensive Security випустили новий курс та сертифікацію Коротко про важливеGithub прибрав 18 репозиторіїв через позов Асоціації Індустрії ЗвукозаписуРозслідування діяльності ransomware-групи RyukОгляд історії Phantom Secure – компанії, що розробляла “безпечні” телефони для злочинцівАнонсиOWASP Ukraine 2020, що пройде 5 грудня в онлайн форматі, відкрив Call for PapersВразливості тижняGoogle Project Zero виявив вразливість нульового дня для Windows та декілька вразливостей у ChromeРекомендаціїІнтервью з інженером NASA, який займається кібербезпекоюAwesome Android Security на GitHubОгляд розв’язків FlareOn - Reverse Engineering CTF’у від FireEyeBellingcat Podcast https://www.bellingcat.com/category/resources/podcasts/

  • Шостий епізод з серії спеціальних інтерв'ю з успішними спеціалістами з кібербезпеки. Розмовляємо з Андрієм Барановичем про роботу, дозвілля, кіберконфлікти, хактивізм, VXHeaven, Український кіберальянс, політику та важку наукову фантастику. І ще багато-багато іншого!

    Увага, дорослий вміст.

  • Докладно про головнеГігант розробки програмного забезпечення Software AG зазнав атаки крипто-здирниківВихід українського додатку держпослуг ДІЯ 2.0 TikTok оголосив про старт bug bounty програми спільно з HackerOneBritish Airways нарешті оштрафували на 20 мільйонів фунтів через витік даних США висунули звинувачення російським хакерам, що стоять за NotPetya, KillDisk, та OlympicDestroyerКоротко про важливеZoom додає end-to-end шифрування до усіх дзвінківДитячий “Wearable”-смартфон з Китаю має вбудовані механізми для шпіонажуАрхів Usenet-бордів викладуть в Інтернет Google у 2017 році відбив DDoS атаку на 2.54TbНімецькі правоохоронці провели рейд на компанію FinFisherВразливості тижняRemote Code Execution в SonicWall VPNШкідливі npm-пакети з віддаленим доступомTools and write-upsAWS Security HubIdentity Management фреймворк від Hashicorp PoC для jailbreak’у сопроцесора T2 від Apple Смі#%*очки Судове слухання про взлам твіттер-акаунтів був перерваний відео з PornHub Шок-сенація. Невідомі використали masscan для сканування мережі Nobody gets hacked. “To get hacked you need somebody with 197 IQ and he needs about 15 percent of your password.” - Donald Trump

  • Докладно про головнеХакери запевняють, що створили “jailbreak” для сопроцесора T2 від AppleНові політики приватності в iOS 14, а Google Chrome на смартфонах перевіряєваші паролі в скомпрометованих базах даних і не тількиH&M оштрафували за порушення GDPR, а справа Marriott та British Airways все ще зависає по судахКоротко про важливеП’ять власників французьких кафе заарештовано через відсутність логів в їхніх Wi-Fi мережахРезультати Azure Sphere Security Challenge: 16 репортів, $374300 виплатSwiss Post відкриває текст бріфу bug bounty для вільного використанняРозширення до Chrome використовує машинне навчання для виявлення фішингових посиланьОгляд використання безпілотників в конфлікті у КарабахуВразливості тижняВразливість в HP Device Manager дає хакерам повний контроль над тонкими клієнтамиВисокорівневий огляд вразливості в NetLogon від Cisco TalosTools and write-upsОгляд вразливостей знайдених в продуктах Apple від Sam Curry10k$ за вразливість в додатку Facebook на AndroidРозслідування ФБР підпалу машини свідка як приклад OSINTРекомендаціїCybercraft keynote від GrugqСмі#%*очкиЕлектронний "пояс вірності" як новий вектор для рансомварі

  • Докладно про головнеЛітаки “Судного Дня” в небі після того, як Дональд Трамп здав позитивний тест на COVID-19Поліцейський доброчинний фонд купив GreyKey - інструмент для взламу iPhoneFacebook відреагував на нещодавну документалку “The Social Dilemma” на NetflixКоротко про важливеTalos повідомляє про зліт експлуатації вразливості ZerologonОгляд трендів кібербезпеки від MicrosoftЦентри 911 були недоступні в кількох штатахTools and write-upsMeduza by @kov4l3nko - “Universal” SSL-unpinning інструмент для iOS GitHub запускає безкоштовний сканер безпеки коду для відкритих репозитаріївРекомендаціїАртем Карпінський в ефірі 4 каналу “How to destroy digital surveillance capitalism” by Cory DoctorowБрюс Шнайєр про криптографію: спеціальне інтерв’ю на NoNameConСмі#%*очкиВірус Emotet бере участь в виборах президента США

  • Докладно про головнеБілоруські хакери зламали сайт Белрадіокомпанії та виклали у прямому ефірі відео силових придушень мирних демонстраційРФ має намір заборонити використання протоколів TLS1.3, DoH, DoT та ESNIРНБО: українських користувачів ВКонтакте “візьмуть на облік”Коротко про важливеЧастина працівників Spotify планує оголосити страйк якщо платформа залишить без редагування деякі епізоди подкасту Joe Rogan ExperienceХости у Airbnb спостерігають доступність “чужих” повідомлень Нова зловмисна програма Alien націлена на більш ніж 226 Android застосунківGoogle/Chronicle анонсує нову систему виявлення загрозTools and write-upsПобудова домашньої лабораторії для пентесту, дослідів та навчання від Offensive SecurityMastering Burp Suite Pro https://twitter.com/MasteringBurp Новий реліз фреймворку для пентесту та дослідження вразливостей Nuclei Збірка наступальних модулів для TerraformРекомендаціїВ подкасті Сема Харріса Making Sense вийшло інтерв’ю з Трістаном Харрісом за мотивами документального фільму the Social DilemmaРевю на книжку “Red Team – How to Succeed By Thinking Like the Enemy” by Mikah ZenkoСмі#%*очкиВихідний код Windows XP потрапив в публічний доступ

  • Докладно про головнеВ онлайн форматі пройшла українська конференція з кібербезпеки NoNameConВ компанії SoftServe через кібератаку стався масштабний витік данихІлон Маск підтвердив, що російські хакери намагалися здійснити атаку на завод Tesla в штаті НевадаOffensive Security забирає курс OSCE та додає дві нові сертифікації. Відбулася глобальна операція з викриття групи, що займалася піратським контентомХакер-тінейджер вийшов в онлайн після дворічної заборони в користуванні інтернетом після злому персональних облікових записів агентів ЦРУКоротко про важливеMicrosoft вважає, що хакерське угруповання з РФ, що стоїть за взломом офісу демократів на минулих виборах зараз націлені на кампанію БайденаІнсайдер з Facebook підтверджує чисельні порушення та маніпуляції системою з боку різних країнІлон Маск презентував технологію NeuralinkЛінуксу 29 років! ZDnet згадує основні події в житті ОСВлада США подала в суд на арешт 280 гаманців Bitcoin та Ethereum UBER цього року влаштував рекордну кількість лобістів до ВашингтонуHuawei запустить конкурента AndroidКомпанія Equinix зазнала атаки вірусу-вимагача Даркент-продавець підконтрольних речовин був ідентифікований по відбиткам пальців на фото Статті та аналітикаВисокорівневий огляд підходів до multi-cloud інфраструктурЯк зменшення бюджету поліції США може залишити американців в небезпеці та під наглядомКінець ери нафтиБрюс Шнайер дав ексклюзивне інтерв'ю в рамках української конференції з кібербезпеки NoNameConTools and write-upsThe Frida script by @kov4l3nko to bypass SSL pinning in the latest InstagramOSINT проти банди MS-13Репорт вразливості RCE в SlackОбхід фікса XSS фільтра в Google MapsФреймворк для аналізу дописів в TwitterRemote Code Execution в MobileIron MDMРекомендаціїSocial DilemmaСміху%очкиНайліпша кібербезпекова вакансія в 2020

  • П'ятий епізод з серії спеціальних інтерв'ю з успішними спеціалістами з кібербезпеки. Розмовляємо з Володимиром Гарбузом про бізнес, безпеку, економіку, психологію, географію та навчання. І ще багато-багато іншого!

    Увага, дорослий вміст.

  • В цьому епізоді ми спочатку трохи говоримо на теми, які ще хоч трохи стосуються кібербезпеки, а потім Стирана уносить, а Руслан потроху наздоганяє.

    Є трохи даних про те, як відбуватиметься NoNameCon 2020. Якщо знайдете, киньте нам мітку часу.

    Питання до патронів: як щодо невеличкого регулярного дикусійного клубу? Якщо назбирається 5 людей, будемо проводити.