Forwarded from SecAtor
Если шутки про DDoS через зубные щетки остались шутками, то всерьез стоит обратить внимание на исследование Лаборатории Касперского в отношении уязвимостей умных игрушек, которые превращают девайс в чат-рулетку с детьми по всему миру.
Любезно предоставив обучающего робота на опыты исследователям, нойнейм-производитель был очень удивлен, когда выяснилось, что дефекты в безопасности могли быть использованы для доступа к конфиденциальным данным и общения с детьми без ведома их родителей.
Робот предназначен для обучения и развлечения детей, представляя собой интерактивное устройство на базе Android с большим экраном, микрофоном, видеокамерой, а также возможностью передвижения.
Функционал включает игровые и обучающие приложения для детей, голосовой ассистент, подключение к Wi-Fi и связь с родительским приложением для смартфона.
Исследование выявило ряд уязвимостей в API игрушки, связанных с возможностью получения действительного токена доступа, передачей HTTP-трафика в открытом виде, раскрытием ключей доступа к API внешних используемых сервисов (например, QuickBlocks, Azure, Linode), перехватом токена Agora для видеосвязи.
Причем используемый в запросах к API короткий предсказуемый ID позволял осуществлять полный перебор всего множества уникальных идентификаторов с привязкой к IP-адресам, данным владельцев и ребенка.
Особо изощренный злоумышленник в случае успешной атаки на сервер обновлений имел возможность подмены файла-архива в облаке на вредоносный, что обеспечит ему возможность исполнять произвольные команды на всех роботах с привилегиями суперпользователя.
А не особо продвинутый также был способен поколдовать с checkAuthentication и путем перебора перепривязать произвольное устройство к своему аккаунту.
В совокупности весь набор обнаруженных проблем позволял злоумышленнику выкрасть чувствительную информацию (данные ребенка, город проживания, телефон и электронный адрес родителя), а также получить несанкционированный доступ к роботу со всеми вытекающими последствиями.
А это, в свою очередь, может привести к кибербуллингу, социальной инженерии и другим манипуляциям над ребенком вне ведома родителей.
Дабы избежать таких рисков, исследователи рекомендуют внимательно подходить к выбору умных игрушек, а также ответственно относится к обновлениям ПО.
Любезно предоставив обучающего робота на опыты исследователям, нойнейм-производитель был очень удивлен, когда выяснилось, что дефекты в безопасности могли быть использованы для доступа к конфиденциальным данным и общения с детьми без ведома их родителей.
Робот предназначен для обучения и развлечения детей, представляя собой интерактивное устройство на базе Android с большим экраном, микрофоном, видеокамерой, а также возможностью передвижения.
Функционал включает игровые и обучающие приложения для детей, голосовой ассистент, подключение к Wi-Fi и связь с родительским приложением для смартфона.
Исследование выявило ряд уязвимостей в API игрушки, связанных с возможностью получения действительного токена доступа, передачей HTTP-трафика в открытом виде, раскрытием ключей доступа к API внешних используемых сервисов (например, QuickBlocks, Azure, Linode), перехватом токена Agora для видеосвязи.
Причем используемый в запросах к API короткий предсказуемый ID позволял осуществлять полный перебор всего множества уникальных идентификаторов с привязкой к IP-адресам, данным владельцев и ребенка.
Особо изощренный злоумышленник в случае успешной атаки на сервер обновлений имел возможность подмены файла-архива в облаке на вредоносный, что обеспечит ему возможность исполнять произвольные команды на всех роботах с привилегиями суперпользователя.
А не особо продвинутый также был способен поколдовать с checkAuthentication и путем перебора перепривязать произвольное устройство к своему аккаунту.
В совокупности весь набор обнаруженных проблем позволял злоумышленнику выкрасть чувствительную информацию (данные ребенка, город проживания, телефон и электронный адрес родителя), а также получить несанкционированный доступ к роботу со всеми вытекающими последствиями.
А это, в свою очередь, может привести к кибербуллингу, социальной инженерии и другим манипуляциям над ребенком вне ведома родителей.
Дабы избежать таких рисков, исследователи рекомендуют внимательно подходить к выбору умных игрушек, а также ответственно относится к обновлениям ПО.
securelist.ru
Уязвимости детской обучающей игрушки-робота
Исследование безопасности детской обучающей игрушки-робота выявило уязвимости, позволяющие злоумышленнику перехватывать управление устройством и общаться с ребенком по видеосвязи.
👍23❤5🔥2😱2🤬1🌚1🗿1
☝️ Это вам на почитать в этот прекрасный пятничный вечер. Как вы вообще относитесь к пересылкам годного контента из других каналов? Или вы сугубо за авторский стафф? 😏
Please open Telegram to view this post
VIEW IN TELEGRAM
👍47❤10❤🔥4🔥3⚡2👾2
Всем привет 👋
Что-то в канале стало слишком мало реакций, что очень сильно меня расстраивает. При этом, во втором канале происходят какие-то аномалии по этому показателю.
И нет, количество реакций не влияет на привлекательность для рекламодателей или размер моего эго. Это скорее метрика, по которой я могу судить о том, насколько полезным или интересным именно для вас был тот или иной пост. А это позволяет мне корректировать контент в канале в нужном направлении.
Так что давай попробуем понять, почему так произошло, и как нам с этим бороться👇
Что-то в канале стало слишком мало реакций, что очень сильно меня расстраивает. При этом, во втором канале происходят какие-то аномалии по этому показателю.
И нет, количество реакций не влияет на привлекательность для рекламодателей или размер моего эго. Это скорее метрика, по которой я могу судить о том, насколько полезным или интересным именно для вас был тот или иной пост. А это позволяет мне корректировать контент в канале в нужном направлении.
Так что давай попробуем понять, почему так произошло, и как нам с этим бороться
Please open Telegram to view this post
VIEW IN TELEGRAM
🕊35👍33🎉26❤20🥰17👏14🤩14🔥10⚡1😢1
Почему ты перестал(а) ставить реакции под постами?
Anonymous Poll
8%
Контент перестал быть интересен
3%
Контент перестал быть полезным
33%
Просто лень тыкать на реакции
36%
Не думал(а), что это важно для кого-то
10%
Я всегда ставлю, всё супер
1%
Раньше было лучше
5%
Хочу, чтобы автор страдал и делал длинные опросы
6%
Тут нет моего варианта ответа (напишу в комментариях)
❤25👍11🎉9🤔6🐳4😁2❤🔥1🤬1🫡1
Ну что, вы хотели подкастов, кулуарных разговоров про кибербез и вот этого вот всего?
Собственно, мы это сделали, осталось только дождаться монтажа и запастись попкорном🥔
Собственно, мы это сделали, осталось только дождаться монтажа и запастись попкорном
Please open Telegram to view this post
VIEW IN TELEGRAM
❤18⚡8☃4👍3🕊1
Forwarded from Cyber Media
Media is too big
VIEW IN TELEGRAM
🔥 Пятый выпуск нашего подкаста совсем скоро!
Уже 6 марта на нашем YouTube канале обсудим отношения между службой ИБ и другими отделами компании. Гостем выпуска стал Роман Панин, руководитель архитектуры ИБ, автор блога «Пакет безопасности».
▶️ Подписывайтесь на наш канал в YouTube, чтобы не пропустить новые видео. А также смотрите предыдущий выпуск.
Уже 6 марта на нашем YouTube канале обсудим отношения между службой ИБ и другими отделами компании. Гостем выпуска стал Роман Панин, руководитель архитектуры ИБ, автор блога «Пакет безопасности».
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20❤10🔥7⚡6❤🔥2🙈1💘1
Йоу йоу, напоминаю всем про розыгрыш подарка, по которому уже завтра будем подводить итоги и вычислять победителя 🏆
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Пакет Безопасности
Всем привет!
Ну вот и настал тот день, о котором я несколько раз говорил в прошлых постах. Настало время розыгрыша (в этот раз физического) приза!
И это – АВТОМОБИЛЬ смартфон! Да, пока не айфон (всё впереди), но уже "топ за свои деньги", а именно – ||Redmi…
Ну вот и настал тот день, о котором я несколько раз говорил в прошлых постах. Настало время розыгрыша (в этот раз физического) приза!
И это – АВТОМОБИЛЬ смартфон! Да, пока не айфон (всё впереди), но уже "топ за свои деньги", а именно – ||Redmi…
🔥11❤7🎉4⚡2👍2
Ну что, друзья, настало время подведения итогов разыгрыша призов (пока в единственном экземпляре) в нашем любимом канале. Под постом накопилось аж 44 комментария!
Всем, кто принял участие в этой активности, спасибо большое. Всё, что вы написали, так или иначе повлияет в будущем на контент и вектор развития канала.
Не буду долго распинаться на тему того, что мне было сложно выбирать и вот это вот всё (конечно блин было сложно ). Скажу только то, что в следующий раз точно надо делать больше призов, чтобы всё было максимально честно и никому не обидно (а мне не больно ).
И да, я поздравляю @Vados_1111 с победой! Пиши мне в лс, герой, будем думать, как тебе передать заветный приз 🎁
Всем отличного завершения выходных❤️
Всем, кто принял участие в этой активности, спасибо большое. Всё, что вы написали, так или иначе повлияет в будущем на контент и вектор развития канала.
Не буду долго распинаться на тему того, что мне было сложно выбирать и вот это вот всё (
И да, я поздравляю @Vados_1111 с победой! Пиши мне в лс, герой, будем думать, как тебе передать заветный приз 🎁
Всем отличного завершения выходных
Please open Telegram to view this post
VIEW IN TELEGRAM
👏24👍12❤5❤🔥4🎉2🙏2🔥1🕊1🐳1
Вот бывает такое, что вроде и кибермем, но не смешно. Вот у меня так с этой картинкой. К слову, эта штука реально продается на Алиэкспрессе .
#КиберМем
Твой Пакет Безопасности
#КиберМем
Твой Пакет Безопасности
😁30🔥6🤯5👀3👍2✍1❤1⚡1
Подписка, лайк и колокольчик
Сразу скажу, пост будет для кибербезопасников. Возможно кто-то из вас уже знает (а может и нет ) о таком сервисе как tl;dr sec. Это сервис рассылок всего полезного в мире кибербезопасности от одного небезызвестного парня в индустрии – Клинта Гиблера.
На самом деле, тут и рассказывать особо нечего, всё банально, просто и эффективно. Вы подписываетесь на эту рассылку на сайте и, после этого, каждый четверг получаете себе на почту полезную информацию о новых инструментах, инфоповодах, докладах или исследованиях из мира кибребеза.
И да, это всё абсолютно бесплатно. Клинту спасибо, что сделал такую штуку, мне спасибо за то, что я вам про эту штуку рассказал, ну а вам спасибо за то, что дочитали до этого места. Всем мир.
#Полезное
Твой Пакет Безопасности
Сразу скажу, пост будет для кибербезопасников. Возможно кто-то из вас уже знает (
На самом деле, тут и рассказывать особо нечего, всё банально, просто и эффективно. Вы подписываетесь на эту рассылку на сайте и, после этого, каждый четверг получаете себе на почту полезную информацию о новых инструментах, инфоповодах, докладах или исследованиях из мира кибребеза.
И да, это всё абсолютно бесплатно. Клинту спасибо, что сделал такую штуку, мне спасибо за то, что я вам про эту штуку рассказал, ну а вам спасибо за то, что дочитали до этого места. Всем мир.
#Полезное
Твой Пакет Безопасности
⚡18❤12👍6🔥5🫡2👏1🤩1
Социальная инженерия, которую мы заслужили
Пока опытные злоумышленники пытаются изобрести новую фишинговую схему, чтобы украсть чьи-то учетные записи, а обиженные на своих бывших работодателей сотрудники устанавливаются замудрённые бэкдоры (это такие штуки, чтобы потом можно было удаленно получить доступ к внутренним ресурсам компании), обычный парень из Твиттера просто взял и переименовал себя в корпоративном мессенджере, что позволило ему следить за рабочими переписками даже после своего увольнения из компании.
Чуть раскрою суть, так как история просто до боли комичная и поучительная (всё как мы любим). Наш главный герой Том Маккей какое-то время работал в одной компании, где все сотрудники использовали для коммуникации корпоративный мессенджер Slack (который, к сожалению, покинул нашу страну). И в этом мессенжере, как и в Телеграме, есть свои боты, которые помогают управлять чатами, группами и делают взаимодействие удобнее.
Так вот, когда Том Маккей покидал компанию, он просто взял и переименовал свою учетную запись в Слаке на того самого бота Slackbot, поменял аватарку и даже имитировал поведение бота в тех чатах, где он был. Он еще и обошел ограничения на то, что сам Слак запрещает пользователям брать себе уже используемые имена. Таким образом, он оставался незамеченным аж несколько месяцев. Вот тут можно почитать подробнее и на русском.
Не думаю, что он делал это с целью корпоративного шпионажа или нанесения вреда компании (к счастью бывшего работодателя), но факт остаётся фактом. А всё почему? Правильно – потому что кто-то в ИБ не позаботился о том, чтобы блокировать учётки сотрудников сразу же после увольнения (и не важно, какое у них название). Такие вещи нужно автоматизировать в первую очередь, завязывая всё на информации из HR. И да, касается это далеко не только мессенджеров.
Также, в таких случаях помогает заведение корпоративных ресурсов за VPN (если не забывать отзыв сертификатов), но, в данном случае, это кажется уже излишним и будет скорее мешать работать, и пользоваться средствами коммуникации. Короче, следите за учётками, правами и доступами своих сотрудников, а то придется сражаться не только с хакерами.
Твой Пакет Безопасности
Пока опытные злоумышленники пытаются изобрести новую фишинговую схему, чтобы украсть чьи-то учетные записи, а обиженные на своих бывших работодателей сотрудники устанавливаются замудрённые бэкдоры (это такие штуки, чтобы потом можно было удаленно получить доступ к внутренним ресурсам компании), обычный парень из Твиттера просто взял и переименовал себя в корпоративном мессенджере, что позволило ему следить за рабочими переписками даже после своего увольнения из компании.
Чуть раскрою суть, так как история просто до боли комичная и поучительная (всё как мы любим). Наш главный герой Том Маккей какое-то время работал в одной компании, где все сотрудники использовали для коммуникации корпоративный мессенджер Slack (который, к сожалению, покинул нашу страну). И в этом мессенжере, как и в Телеграме, есть свои боты, которые помогают управлять чатами, группами и делают взаимодействие удобнее.
Так вот, когда Том Маккей покидал компанию, он просто взял и переименовал свою учетную запись в Слаке на того самого бота Slackbot, поменял аватарку и даже имитировал поведение бота в тех чатах, где он был. Он еще и обошел ограничения на то, что сам Слак запрещает пользователям брать себе уже используемые имена. Таким образом, он оставался незамеченным аж несколько месяцев. Вот тут можно почитать подробнее и на русском.
Не думаю, что он делал это с целью корпоративного шпионажа или нанесения вреда компании (к счастью бывшего работодателя), но факт остаётся фактом. А всё почему? Правильно – потому что кто-то в ИБ не позаботился о том, чтобы блокировать учётки сотрудников сразу же после увольнения (и не важно, какое у них название). Такие вещи нужно автоматизировать в первую очередь, завязывая всё на информации из HR. И да, касается это далеко не только мессенджеров.
Также, в таких случаях помогает заведение корпоративных ресурсов за VPN (если не забывать отзыв сертификатов), но, в данном случае, это кажется уже излишним и будет скорее мешать работать, и пользоваться средствами коммуникации. Короче, следите за учётками, правами и доступами своих сотрудников, а то придется сражаться не только с хакерами.
Твой Пакет Безопасности
🔥19🤣10❤4👏2👍1
Дорогие дамы, я вас поздравляю с вашим праздником 🥳
Не смог выбрать для вас одну открытку, поэтому берите все сразу 🎁
Твой Пакет Безопасности
Не смог выбрать для вас одну открытку, поэтому берите все сразу 🎁
Твой Пакет Безопасности
❤🔥36👍11👎11💘5❤3🤗3🎉2🍓2🥴1
Кстати, вот и вышел наш видео-подкаст с одним крутым главредом одного крутого кибербезопасного СМИ.
Мы там поболтали на тему того, насколько напряженными бывают отношения в компаниях между ИБ, IT и другими отделами. Как с этим бороться или наоборот это напряжение усиливать.
В общем, заваривайте свой попкорн и погнали смотреть👍
Твой Пакет Безопасности
Мы там поболтали на тему того, насколько напряженными бывают отношения в компаниях между ИБ, IT и другими отделами. Как с этим бороться или наоборот это напряжение усиливать.
В общем, заваривайте свой попкорн и погнали смотреть
Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥25🍾7💘6👍4🥰2🤩2❤1
Ну что, друзья, вот и настало (не опять, а снова) время воскресного дайджеста. Сегодня без долгих вступлений, так что с меня дайджест и открытка, а в вас вагон крутых реакций. Погнали!
⚡️ Неоднозначный кибермем – ссылка
⚡️ Потовые рассылки, которые мы заслужили – ссылка
⚡️ Как уходить с работы красиво – ссылка
⚡️ Задизлайканный пост на 8-е марта (понимаю, что у нас тут больше мужчин, но давайте будем добрее) – ссылка
⚡️ Долгожданный подкаст на тему того отношений между IT и ИБ – ссылка
Твой Пакет Безопасности
Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12⚡3❤3💘3🎉2🐳1🫡1
☝️ Очень крутой пост от одного джентельмена про то, во что надо уметь, чтобы с ноги войти в DevSecOps. Лучше роадмапа, состоящего всего из одного пункта, я еще не видел 👍
Пару инструментов даже забрал к себе в гайдбук для учеников.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤4⚡2🤣1💘1