Інтерв'ю з Катериною Жиленко (https://www.facebook.com/katrena.cat) про рекрутинг в Application Secuirty.

Всім привіт. Це Володимир Стиран і ви слухаєте No Name Update.

Це перший епізод зі спеціальної серії випусків, в яких ми коротко розповідатимемо про події, новини та відкриття в галузі кібербезпеки та суміжних областях. Випуски міститимуть короткий опис новин, статей, відео та інших матеріалів та посилання на зовнішні джерела, або ж невеликі есе від авторів подкасту.

Такі щотижневі дайджести будуть доступні патронам NoNamePodcast у окремому аудіо-фіді. Нагадуємо, що патрони подкасту мають змогу переглядати відеозаписи епізодів, в тому числі в прямому ефірі, а також мають доступ до Slack-воркспейсу подкасту, де ми обговорюємо новини та події світу кібербезпеки. Стати патроном може кожен, адже наші плани підтримки починаються від одного долара на місяць.

Основна серія епізодів NoNamePodcast продовжує бути доступною для прослуховування усіма охочими і залишиться безкоштовною та вільною від реклами завдяки нашим патронам.

 

Новини безпеки

Elastic SIEM https://www.elastic.co/blog/introducing-elastic-siem

Еластік анонсував вихід власного СІЕМу. Багато хто має досвід збірки такого сетапу із ElasticSearch, LogStash & Kibana. Як я розумію, тепер цей процес стане простішим. Зокрема щось базове можна буде встановити зовсім просто, а в Кібані з'явиться спеціальна аппка суто для безпеки. І так, здається, все це безкоштовно. 

Elastic SIEM basic setup https://haveyousecured.blogspot.com/2019/06/elastic-siem-set-up.html

 

AWS Security Hub Now Generally Available https://aws.amazon.com/blogs/aws/aws-security-hub-now-generally-available/

Це сервіс, який надає автоматичні перевірки комплаянсу та інші безпекові примочки різних інших сервісів AWS. Ігор Кравчук, який користувався ним в беті, каже, що це класна штука, тому якщо ви крутите щось на АВСі – зверніть увагу.

 

Microsoft Adds 2FA-Protected "Personal Vault" Within OneDrive Cloud Storage https://thehackernews.com/2019/06/microsoft-onedrive-personal-vault.html

Microsoft додала в OneDrive фічу по створенню окремих персональних сховищ, які можна захистити другим фактором автентифікації. Багато хто вважає це покращенням. Якщо чесно, я вважаю, що опціональний захист окремої зони на хмарному диску – це неефективно та протирічить принципам побудови захищених систем. Особливо зважаючи на те, що двохфакторку можна ввімкнути у OneDrive для всього диску.

 

КМУ видав Загальні вимоги до кібербезпеки об'єктів критичної інфраструктури https://www.kmu.gov.ua/storage/app/uploads/public/5d0/b77/002/5d0b770024939250210058.doc

Я досить різко розкритикував цей документ, але не буду давати тут посилання на свій блог, щоб ви мали змогу прочитати документ самостійно та зробити власні висновки.

 

Кига: Joseph Menn: Cult of the Dead Cow https://www.amazon.com/Cult-Dead-Cow-Original-Supergroup/dp/154176238X/ref=cm_wl_huc_item

https://www.youtube.com/watch?v=104wAb1Sd3s&feature=youtu.be

Джозеф Менн написав книгу про CDC, яку багато хто вже вважає найкращою книгою про хакерів. За посиланням інтерв'ю автора в подкасті Triangulation.

 

Рекомендації

How to get started with Threat Modeling, before you get hacked https://hackernoon.com/how-to-get-started-with-threat-modeling-before-you-get-hacked-1bf0ea3310df

Класна стаття, яка описує процес моделювання загроз програмного забезпечення. Автор описує всі кроки процесу, дає поради щодо складу команди моделювання загроз та вибору юзкейсів, наводить приклади корисних методів та інструментів. Рекомендується для прочитання всім розробникам та спеціалістам з безпеки ПЗ.

 

Passwords Advice https://adam.shostack.org/blog/2019/06/passwords-advice/

Адам Шастак в своєму блозі посилається на порівняльну таблицю вимог ASVS версій 3 та 4 щодо імплементації захисту паролів в ПЗ. Четверта версія Application Security Verification Standard вийшла 1 березня 2019 року і цікаво спостерігати, як вимоги безпеки прогресують між версіями стандарту. Спойлер: рекомендована довжина паролю тепер 12 символів.

 

Відкриття

У нас погані новини http://texty.org.ua/d/2018/mnews/

Дослідження величезної кількості веб-сайтів, які займаються поширенням замовленого контенту: пропаганди, фейкових новин та компромату, за вилучення якого вони вимагають гроші. Також, посилання на рекомендації, як відрізняти справжні новини від брехні, маніпуляцій і напівправди: http://texty.org.ua/pg/article/editorial/read/85998/Jak_vidriznaty_spravzhni_novyny_vid_brehni_manipulacij

 

Controlling Chaos: How Russia manages its political war in Europe https://www.ecfr.eu/publications/summary/controlling_chaos_how_russia_manages_its_political_war_in_europe 

Просто шикарний звіт про те, як Росія здійснює інформаційні операції та інші диверсійні дії проти демократичних країн у всьому світі. Обов'язково для прочитання усім, хто цікавиться інформаційною безпекою. Звіт доступний з 2017 року і нічого з того часу не змінилося. Звіт дає конкретні рекомендації, якими всі, включаючи Україну, нехтують. Найцікавіший висновок: Росія це не патріархальна ієрархія, як може здаватися. Немає чіткої взаємодії між верхівкою та виконавцями, дуже в манері нацистською Німеччиною. Насправді "низи" (олігархи, спецслужби, міністерства та відомства) постійно імпровізують та проявляють ініціативу, а Кремль розподіляє між ініціативами ресурси і розрулює конфлікти. Це дуже нагадує мені Китайську модель, коли партія робить медійну заяву про зміну стратегії, а приватний сектор, кримінал, громадські організації тощо одразу ж починають думати, що вони можуть зробити в угоду владі і потім отримують за це винагороду та преференції.

 

Це все на цей випуск, дякуємо, що слухаєте. Ви можете знайти текст цього випуску в нотатках до епізоду на нашому сайті http://nonamepodcast.podbean.com, а також на нашій сторінці в Facebook. Нагадуємо, що наступні випуски No Name Update видаватимуться в розділі для патронів нашої сторінки на Patreon: http://patreon.com/nonamepodcast. Підпишіться сьогодні менше ніж за шаурму на місяць, щоб мати доступ до оновлень, прямих ефірів та нашого Slack-у. До зустрічі.

Pre-computed Hash Table, v. 1.0 | Andronicus

Security Advisory 2019-06-13 | Yubico

Attacks that allow retrieving all HSM (Hardware Security Modules) secrets remotely

The Platform Challenge: Balancing Safety, Privacy and Freedom — Alex Stamos (DataEDGE 2019)

Researchers use Rowhammer bit flips to steal 2048-bit crypto key

New Pervasive Worm Exploiting Linux Exim Server Vulnerability

Proving that a Russian cryptographic standard is too structured

Why Are Cryptographers Being Denied Entry into the US?

The Cost of Cybercrime

E.U.: Russians interfered in our elections, too

U.S. Escalates Online Attacks on Russia’s Power Grid

Привіт, це невеличкий анонс майбутнього епізоду, який ми запишемо вживу на #NoNameCon. Приєднуйтеся!

Facebook: https://www.facebook.com/events/1024466927752188/

In the Program: https://cfp.nonamecon.org/nnc2019/talk/JJDTFL/

Watch us LIVE on YouTube: https://www.youtube.com/watch?v=_EgwwoLp0VQ

"Computer glitch" may be behind Notre Dame Cathedral fire, rector says - live updates

Unmasked: An Analysis of 10 Million Passwords

The Future of Vulnerabilities Equities Processes Around the World

Security researcher MalwareTech pleads guilty

APT34 Hacking Tools Leak

Facebook password disasters continue

Quantum Annealing for Prime Factorization

Russia fines Facebook $50 for failing to comply with local data privacy law

Amazon Workers Are Listening to What You Tell Alexa

Expensify’s “smart” scanning technology was secretly aided by humans

First ever black hole image released

Chronicle - Product Overview

PuTTY Releases Important Software Update to Patch 8 High-Severity Flaws

Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of Computers

Microsoft takes control of 99 domains operated by Iranian state hackers

Cisco RV320 Command Injection

Over 9,000 Cisco RV320/RV325 routers are vulnerable to CVE-2019-1653

Anyone can make any PGP key unimportable

GCA Cybersecurity Toolkit for Small Business

Inside the Video Surveillance Program IBM Built for Philippine Strongman Rodrigo Duterte

One of Russia’s Neighbors Has Security Lessons for the Rest of Us

U.S. Cyber Command operation disrupted Internet access of Russian troll factory on day of 2018 midterms

Password Managers: Under the Hood of Secrets Management - Independent Security Evaluators

The Definitive 2019 Guide to Cryptographic Key Sizes and Algorithm Recommendations - Paragon Initiative Enterprises Blog

Citrix investigating unauthorized access to internal network | Citrix Blogs

How I abused 2FA to maintain persistence after a password change (Google, Microsoft, Instagram…

Adi Shamir (the “S” in RSA) sent a video to #RSAC because he couldn’t get a visa

Інтерв'ю з Олексієм Барановським

Епізод, в якому ми годину холіворимо на тему, чи є СМС другим фактором автентифікації, а потім відповідаємо на запитання слухачів.

Висвітлено теми:

  1. Як боротись з інформаційними операціями проти України?
  2. Як змінити спеціалізацію в рамках професії кібербезпеки?
  3. Чому спеціалістам з кібербезпеки варто залишатися в цій індустрії та не виїжджати з України?
  4. Якої спеціальності кібербезпеки наразі найбільше бракує на ринку праці?
  5. На які показники роботи відділу кібербезпеки повинні звертати увагу керівники бізнесу?
  6. Які заходи з кібербезпеки варто відвідати в 2019 р.?
  7. Які англомовні інформаційні ресурси з кібербезпеки ви порадите?
  8. Чи етично коли інформація про зламаний сайт викладається відразу в Facebook без повідомлення власника сайту?

- Older Posts »