Автор: Vlad Styran

Трохи персональних новин. Відсьогодні я формально припиняю бути лідером Київського відділення OWASP та передаю цю роль команді, яка блискуче зарекомендувала себе за останні роки. Як співзасновник, керуватиме чаптером Ігор Блюменталь, а я продовжуватиму підтримувати діяльність відділення за лаштунками.

Паралельно я докладатиму зусиль до розвитку руху за безпеку програмного забезпечення як член OWASP. Всі спеціалісти BSG відтепер є членами цієї організації, а наша компанія нещодавно стала корпоративним членом.

Також, як учасник OWASP Chapter Committee, я братиму участь в формуванні політики OWASP Foundation щодо регіональних відділень та допомагатиму волонтерам з усього світу створювати чаптери та здійснювати їхню діяльність. Тому якщо у вас є бажання приєднатися до нашої глобальної тусовки – ласкаво прошу, ми з колегами завжди раді допомогти.

Тим часом триває підготовка до першої події OWASP Kyiv цього року: відділення шукає доповідачів та партнерів. Особисто я цього разу долучуся як доповідач, але в організації участі не братиму. Якщо бажаєте доєднатися з доповіддю або воркшопом, подайте заявку на виступ. Якщо хочете стати партнером заходу – повідомте про це Ігорю.

Якщо ви поняття не маєте, про що був цей допис, подивіться це відео 🙂

Невідомі отримали доступ до комп’ютерних систем водоочисної споруди в місті Олдсмар, штат Флорида, і змінили рівень хімічних речовин до небезпечних параметрів. Системи водопостачання є елементами критичної інфраструктури й цей інцидент буде розслідувано дуже прискіпливо.

Атака відбулася у п’ятницю, 5 лютого. Зловмисники отримали доступ до комп’ютерної системи дистанційного керування операціями з очищення води. Первинний доступ було здійснено о 8 ранку. Другий сеанс доступу відбувся пізніше, близько 13:30, тривав довше, близько п’яти хвилин, і був виявлений оператором, який стежив за системою і побачив, як по екрану рухається курсор миші. (Тут яскравий флешбек у зиму 2015-го та кібератаку на Прикарпаттяобленерго).

Продовжити читання “Кібератака на критичну інфраструктуру в Сполучених Штатах”

Нахабної реклами пост. Через шість років після заснування Berezha Security, ми вирішили започаткувати традицію. Ми щороку публікуватимемо звіт про вразливості безпеки та наш бізнес-прогрес за минулий рік. Поряд із висвітленням змін в організації, ми ділитимемося знеособленими даними про наші проєкти та знайдені в них вразливості. Навіщо? На це питання є кілька відповідей.

По-перше, тому що корисність цієї інформації важко переоцінити. Як професіонали з кібербезпеки, ми постійно розповідаємо про якихось хакерів, якісь вразливості, і що всіх зламають, і це лише питання часу. І оце наше гонорове “якщо ви думаєте, що ви в безпеці, то у вас просто пентеста нормального не було” воно ж повинно на щось спиратися, правда? Інакше, з чого б це вам вірити? Ось, власне, і відповідь: те, скільки ми робимо проєктів та в яких галузях, в поєднанні з середніми кількостями вразливостей різного рівня ризику дає вам уявлення, що чекає на вас, якщо ви раптом замислитесь про нормальний пентест.

Продовжити читання “Звіт про вразливості безпеки знайдені у 2020”