Являются ли найденные уязвимости просчетом разработчиков или намеренно оставленной программной закладкой (бэкдором) - вопрос открытый.
Уязвимости - не единственная опасность, с которой можно столкнуться при использовании приложения. Whatsapp также передает персональные данные своих пользователей в Facebook, о чем открыто заявляет. Подобная практика началась еще в 2016 году и объяснялась необходимостью усилить меры по борьбе со спамом.
Помимо этого были несколько утечек данных - в 2017, 2018 и 2020 годах. Также можно вспомнить печально известную историю с распространением через Whatsapp приложений для слежки Pegasus и Chrysaor.
Поэтому я бы не рекомендовал пользоваться whatsapp, а тем, кто его все-таки использует - начать подыскивать ему замену.
#эксперты
Уязвимости - не единственная опасность, с которой можно столкнуться при использовании приложения. Whatsapp также передает персональные данные своих пользователей в Facebook, о чем открыто заявляет. Подобная практика началась еще в 2016 году и объяснялась необходимостью усилить меры по борьбе со спамом.
Помимо этого были несколько утечек данных - в 2017, 2018 и 2020 годах. Также можно вспомнить печально известную историю с распространением через Whatsapp приложений для слежки Pegasus и Chrysaor.
Поэтому я бы не рекомендовал пользоваться whatsapp, а тем, кто его все-таки использует - начать подыскивать ему замену.
#эксперты
Вакансии для разработчиков и лидов разработки в командах Positive Technologies💥
Если ваша команда тоже ищет крутых спецов, кидайте нам описание вакансии на [email protected] и мы опубликуем в следующих постах.
1. Python-разработчик для развития веб-сканера WebEngine и SaaS-сервиса
BlackBox Scanner — сканер, предназначенный для поиска веб-уязвимостей методом черного ящика.
📌 Нужно отлично знать Python, в том числе принципы разработки многопоточных и асинхронных приложений.
Подробнее
2. Python-разработчик (Team Lead) в команду продукта PT CERT
Команда разрабатывает ПО, которое поможет наладить взаимодействие между государственными и коммерческими организациями. Их совместная работа касается сбора, хранения и обработки информации о защищенности инфраструктуры.
Стек: Python 3.10 (Flask, SQLAlchemy, Multiprocessing), PostgreSQL, RabbitMQ, ELK, Docker, GitLabCI.
Подробнее
3. Ведущий разработчик Go в команду нового продукта DevSecOps
Проект будет выполнять функции обеспечения безопасности кластеров и контейнеров на всех этапах жизни сервиса, от сборки до рантайма. Подразумевается глубокая интеграция с k8s (контроль сети, Admission Controller, парсинга манифестов), Docker, Linux, а также SSO, Notify.
📌 Ищем сильного Go-разработчика, которому интересны инфраструктура и информационная безопасность, в идеале — с опытом DevOps. Нужно понимать микросервисную архитектуру, иметь опыт работы с Docker и Kubernetes, а также хорошо знать Linux-системы.
Подробнее
4. Team Lead C++ для новой команды С++ под разработку продукта сетевого балансировщика для мониторинга больших потоков данных
📌 Ищем опытного тимлида, который сам пишет код (это тоже нужно будет делать), имеет опыт оптимизации производительности высоконагруженных системных компонент (приложений/драйверов), хорошо знает Linux, глубоко разбирается в сетевых технологиях и готов набирать команду с нуля.
Подробнее
5. Lead Frontend Developer в продукт SIEM
Продукт SIEM дает полную видимость IT-инфраструктуры и выявляет инциденты информационной безопасности.
В задачах руководство командой из 7 человек, разработка архитектуры фронта, решение сложных технических задач и тесное взаимодействие с продуктовыми менеджерами. В перспективе рост до Group Lead.
Подробнее
✉️ Отправляйте резюме на почту: [email protected]
Присоединяйтесь к команде наших экспертов! 🔐
Если ваша команда тоже ищет крутых спецов, кидайте нам описание вакансии на [email protected] и мы опубликуем в следующих постах.
1. Python-разработчик для развития веб-сканера WebEngine и SaaS-сервиса
BlackBox Scanner — сканер, предназначенный для поиска веб-уязвимостей методом черного ящика.
📌 Нужно отлично знать Python, в том числе принципы разработки многопоточных и асинхронных приложений.
Подробнее
2. Python-разработчик (Team Lead) в команду продукта PT CERT
Команда разрабатывает ПО, которое поможет наладить взаимодействие между государственными и коммерческими организациями. Их совместная работа касается сбора, хранения и обработки информации о защищенности инфраструктуры.
Стек: Python 3.10 (Flask, SQLAlchemy, Multiprocessing), PostgreSQL, RabbitMQ, ELK, Docker, GitLabCI.
Подробнее
3. Ведущий разработчик Go в команду нового продукта DevSecOps
Проект будет выполнять функции обеспечения безопасности кластеров и контейнеров на всех этапах жизни сервиса, от сборки до рантайма. Подразумевается глубокая интеграция с k8s (контроль сети, Admission Controller, парсинга манифестов), Docker, Linux, а также SSO, Notify.
📌 Ищем сильного Go-разработчика, которому интересны инфраструктура и информационная безопасность, в идеале — с опытом DevOps. Нужно понимать микросервисную архитектуру, иметь опыт работы с Docker и Kubernetes, а также хорошо знать Linux-системы.
Подробнее
4. Team Lead C++ для новой команды С++ под разработку продукта сетевого балансировщика для мониторинга больших потоков данных
📌 Ищем опытного тимлида, который сам пишет код (это тоже нужно будет делать), имеет опыт оптимизации производительности высоконагруженных системных компонент (приложений/драйверов), хорошо знает Linux, глубоко разбирается в сетевых технологиях и готов набирать команду с нуля.
Подробнее
5. Lead Frontend Developer в продукт SIEM
Продукт SIEM дает полную видимость IT-инфраструктуры и выявляет инциденты информационной безопасности.
В задачах руководство командой из 7 человек, разработка архитектуры фронта, решение сложных технических задач и тесное взаимодействие с продуктовыми менеджерами. В перспективе рост до Group Lead.
Подробнее
✉️ Отправляйте резюме на почту: [email protected]
Присоединяйтесь к команде наших экспертов! 🔐
spb.hh.ru
Вакансия Senior Python/Go разработчик (PT Blackbox) в Санкт-Петербурге, работа в компании Positive Technologies (вакансия в архиве…
Зарплата: не указана. Санкт-Петербург. Требуемый опыт: 3–6 лет. Полная занятость. Дата публикации: 13.01.2023.
📃 Еженедельная подборка новостей от POSIdev
📌 The Hacker News порассуждали на тему актуальности OWASP Top 10 в наши дни
📌 Опубликована вторая статья из цикла, посвящённого теоретическим основам компьютерной безопасности
📌 Google рассказала о механизмах безопасности линейки телефонов Pixel 7 и вышедшего в релиз Android 13
📌 Эксперты Positive Tecnhologies примут участие в экспертной зоне безопасности приложений на конференции Highload 24-25 ноября
📌 Лаборатория Касперского представила отчёт с анализом вредоносного клона WhatsApp
_________________
Хотите поделиться своей новостью? Пишите на [email protected] и мы опубликуем её в следующих постах.
#новости
📌 The Hacker News порассуждали на тему актуальности OWASP Top 10 в наши дни
📌 Опубликована вторая статья из цикла, посвящённого теоретическим основам компьютерной безопасности
📌 Google рассказала о механизмах безопасности линейки телефонов Pixel 7 и вышедшего в релиз Android 13
📌 Эксперты Positive Tecnhologies примут участие в экспертной зоне безопасности приложений на конференции Highload 24-25 ноября
📌 Лаборатория Касперского представила отчёт с анализом вредоносного клона WhatsApp
_________________
Хотите поделиться своей новостью? Пишите на [email protected] и мы опубликуем её в следующих постах.
#новости
💻 А давайте чекнем какой язык программирования самый распространенный среди участников комьюнити?
Поделитесь в комментариях, что вам нравится и не очень (в тех языках на которых чаще пишите) 😈
Поделитесь в комментариях, что вам нравится и не очень (в тех языках на которых чаще пишите) 😈
Anonymous Poll
60%
Python
15%
Java
4%
Rust
17%
C#
15%
Go
19%
JavaScript / TypeScript
4%
Kotlin
13%
PHP
2%
Swift
13%
Другое (напишу в комментариях)
📃 Еженедельная подборка новостей от POSIdev
📌 Разбор свежей уязвимости к RCE через SSRF в Microsoft Office Online Server
📌 Группа ресёрчеров Cybernews поделилась результатами исследования о раскрытии каталогов .git в opensource-проектах
📌Первая часть статьи от Cyberark, посвящённая реверсингу руткитов и драйверов
📌Новая реинкарнация старой уязвимости от PortSwigger, HTTP/3 connection contamination
📌 В Java-библиотеке Apache Commons Text найдена трендовая уязвимость (CVE-2022-42889), которая может привести к удаленному выполнению кода. Завтра мы выпустим про неё подробный материал 💥
_________________
Хотите поделиться своей новостью? Пишите на [email protected] и мы опубликуем её в следующих постах.
#новости
📌 Разбор свежей уязвимости к RCE через SSRF в Microsoft Office Online Server
📌 Группа ресёрчеров Cybernews поделилась результатами исследования о раскрытии каталогов .git в opensource-проектах
📌Первая часть статьи от Cyberark, посвящённая реверсингу руткитов и драйверов
📌Новая реинкарнация старой уязвимости от PortSwigger, HTTP/3 connection contamination
📌 В Java-библиотеке Apache Commons Text найдена трендовая уязвимость (CVE-2022-42889), которая может привести к удаленному выполнению кода. Завтра мы выпустим про неё подробный материал 💥
_________________
Хотите поделиться своей новостью? Пишите на [email protected] и мы опубликуем её в следующих постах.
#новости
🔉Уязвимость Text4Shell: из-за чего весь «сыр-бор» и что делать
Кажется, изо всех утюгов в мире кибербезопасности уже говорят про новую уязвимость Text4Shell, как в свое время трубили про знаменитую log4shell.
Команда аналитиков PT Application Inspector [Александр Болдырев, Алексей Новгородов, Максим Суслов] подготовили статью, в которой рассказали:
🔒 из-за чего может появиться эта уязвимость в инфраструктуре;
🔒 что творится внутри библиотеки Apache Commons Text;
🔒 как утилита в PT Application Inspector может обнаружить эту уязвимость и есть ли патч;
❗️И самое главное ― эксперты дали пошаговый алгоритм действий для защиты от атак на эту уязвимость.
🌐 Подробнее читайте в нашем материале
#статьи
Кажется, изо всех утюгов в мире кибербезопасности уже говорят про новую уязвимость Text4Shell, как в свое время трубили про знаменитую log4shell.
Команда аналитиков PT Application Inspector [Александр Болдырев, Алексей Новгородов, Максим Суслов] подготовили статью, в которой рассказали:
🔒 из-за чего может появиться эта уязвимость в инфраструктуре;
🔒 что творится внутри библиотеки Apache Commons Text;
🔒 как утилита в PT Application Inspector может обнаружить эту уязвимость и есть ли патч;
❗️И самое главное ― эксперты дали пошаговый алгоритм действий для защиты от атак на эту уязвимость.
🌐 Подробнее читайте в нашем материале
#статьи
Хабр
Из-за чего весь сыр-бор: про уязвимость Text4Shell
За последнюю неделю в сфере инфобеза стали появляться новости о втором пришествии уязвимости Log4Shell, получившей название Text4Shell . Первым об уязвимости сообщил Alvaro Muñoz, который рассказал о...
Forwarded from Positive Technologies
🧑💻 По данным нашего исследования, в сравнении с 2021 годом все больше компаний осознает важность внедрения практик безопасной разработки приложений (DevSecOps).
34% компаний уровня enterprise и 31% представителей малого бизнеса уже внедрили DevSecOps. Это предостерегает их от утечки данных или несанкционированного доступа злоумышленников в инфраструктуру организации.
🔸 Как эволюционирует процесс DevSecOps в России в условиях импортозамещения?
🔸 Какие отечественные средства тестирования, анализа исходного кода и автоматизации существуют на рынке?
🔸 Как адаптировать процесс DevSecOps к новым угрозам, исходящим от open source?
Эти и другие вопросы 25 октября в 11:00 эксперты обсудят в онлайн-эфире AM Live. Среди участников — Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies.
🔗 Зарегистрироваться на эфир можно по ссылке
#PositiveЭксперты
34% компаний уровня enterprise и 31% представителей малого бизнеса уже внедрили DevSecOps. Это предостерегает их от утечки данных или несанкционированного доступа злоумышленников в инфраструктуру организации.
🔸 Как эволюционирует процесс DevSecOps в России в условиях импортозамещения?
🔸 Какие отечественные средства тестирования, анализа исходного кода и автоматизации существуют на рынке?
🔸 Как адаптировать процесс DevSecOps к новым угрозам, исходящим от open source?
Эти и другие вопросы 25 октября в 11:00 эксперты обсудят в онлайн-эфире AM Live. Среди участников — Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies.
🔗 Зарегистрироваться на эфир можно по ссылке
#PositiveЭксперты
Плагины Application Inspector. Новая версия🔥
Спасибо всем, кто пользовался нашими плагинами для Visual Studio Code и IntelliJ Platform и давал обратную связь!
🚀 Представляем новую версию 1.2.0.
Что нового:
✅ Возможность сканирования JavaScript и TypeScript кода
✅ Улучшение стабильности работы анализатора
✅ Исправление проблем, возникающих при работе с результатами сканирования
✅ Теперь плагины доступны в маркетах!
🔗 JetBrains Marketplace
🔗 Visual Studio Code Marketplace
___________
❗️Поменялись метаданные плагина, поэтому если у вас предыдущая версия, нужно её удалить перед установкой версии 1.2.0, чтобы они не задублировались 👐🏻
Будем рады комментариям и обратной связи по новой версии в комментариях 👇🏻
#плагины
Спасибо всем, кто пользовался нашими плагинами для Visual Studio Code и IntelliJ Platform и давал обратную связь!
🚀 Представляем новую версию 1.2.0.
Что нового:
✅ Возможность сканирования JavaScript и TypeScript кода
✅ Улучшение стабильности работы анализатора
✅ Исправление проблем, возникающих при работе с результатами сканирования
✅ Теперь плагины доступны в маркетах!
🔗 JetBrains Marketplace
🔗 Visual Studio Code Marketplace
___________
❗️Поменялись метаданные плагина, поэтому если у вас предыдущая версия, нужно её удалить перед установкой версии 1.2.0, чтобы они не задублировались 👐🏻
Будем рады комментариям и обратной связи по новой версии в комментариях 👇🏻
#плагины
JetBrains Marketplace
PT Application Inspector - IntelliJ IDEs Plugin | Marketplace
Overview The PT Application Inspector plugin finds vulnerabilities and undocumented features in application source code. In addition to code analysis, built-in modules...
Компьютерные игры — это обычное программное обеспечение. Однако с защитой в них не все так гладко.
Информационная служба Хабра обсудила с Владимиром Кочетковым некоторые проблемы игровой индустрии и геймдева.
В статье вы узнаете:
🔹Возможны ли взлом и кража данных через онлайн-игры, если не считать социальную инженерию?
🔹Помогает ли технология NFT избежать кражи аккаунтов в онлайн-играх?
🔹Существуют ли белые хакеры, которые взламывают игры и потом рассказывают компаниям об этих уязвимостях?
🌐 Подробнее читайте в нашем материале
#статьи
Информационная служба Хабра обсудила с Владимиром Кочетковым некоторые проблемы игровой индустрии и геймдева.
В статье вы узнаете:
🔹Возможны ли взлом и кража данных через онлайн-игры, если не считать социальную инженерию?
🔹Помогает ли технология NFT избежать кражи аккаунтов в онлайн-играх?
🔹Существуют ли белые хакеры, которые взламывают игры и потом рассказывают компаниям об этих уязвимостях?
🌐 Подробнее читайте в нашем материале
#статьи