SweKerhet - tråden om säkerhet

Permalänk
Medlem

https://ileakage.com/

"We present iLeakage, a transient execution side channel targeting the Safari web browser present on Macs, iPads and iPhones. iLeakage shows that the Spectre attack is still relevant and exploitable, even after nearly 6 years of effort to mitigate it since its discovery. We show how an attacker can induce Safari to render an arbitrary webpage, subsequently recovering sensitive information present within it using speculative execution. In particular, we demonstrate how Safari allows a malicious webpage to recover secrets from popular high-value targets, such as Gmail inbox content. Finally, we demonstrate the recovery of passwords, in case these are autofilled by credential managers."

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem

Microsoft gör satsning på att stärka cybersäkerheten...
https://omni.se/microsoft-gor-satsning-pa-att-starka-cybersak...

Visa signatur

Nerd is the new Cool

Permalänk
Medlem

Kinas största bank: ICBC drabbad utav ransomware.

https://www.ft.com/content/8dd2446b-c8da-4854-9edc-bf841069cc...

Permalänk
Medlem
Permalänk
Skrivet av Mortal1ty:

Bra att de inte betalar ut. För det stora säkerhetsproblemet idag heter pengar att tjäna.
Det är lite därför man hör så sällan talas om bankrån idag..

Permalänk
Medlem
Skrivet av Mortal1ty:

I alla kyrkor nu under julen; "Dagens kollekt kommer att gå till att betala lösensumman..."

Bra de inte betalar, det känns väl ändå som att det är vanligare så bland de som offentligt går ut med infon.

Permalänk
Medlem

Kul tråd. Missat att den skapats.
Jag har jobbat inom IT-säkerhetsområdet i 13+ år nu och en stor del av detta som teamledare och säkerhetsanalytiker i en SOC. Dock lämnat detta sedan sommaren och är nu säkerhetsarkitekt istället.

Det finns gott om publika nyhetskällor som kan användas även om en hel del bra källor måste betalas för.
Av det jag kan komma på i huvudet som är och varit morgonomvärldsbevakningen på jobbet under massa år är:

https://www.risky.biz/ - Podcast om säkerhetsprodukter och angrepp.
https://darknetdiaries.com/ - Podcast om "händelser".

https://infosecindustry.com/ - Aggregerad vy av nyheter och sårbarheter från "enterprise-världen".
https://www.bleepingcomputer.com/ - Dagliga nyheter om angrepp och sårbarheter
https://www.theregister.com/ - Allmänt bra nyhetskälla för datanyheter inklusive sårbarheter
https://cert.se/ - Skaffa prenumeration på deras alerts.
https://cert.europa.eu/publications/security-advisories/2023 - Sårbarhetsinfo
https://www.cisa.gov/news-events/cybersecurity-advisories - Sårbarhetsinfo

Det mesta som fanns på twitter förr om åren är borta och begränsad del har flyttat till Mastodon.
Men mångt och mycket börjar också publika flöden om sårbarheter och exploits att tyna bort.

Permalänk
Medlem
Skrivet av Sidde:

Kul tråd. Missat att den skapats.
Jag har jobbat inom IT-säkerhetsområdet i 13+ år nu och en stor del av detta som teamledare och säkerhetsanalytiker i en SOC. Dock lämnat detta sedan sommaren och är nu säkerhetsarkitekt istället.

Det finns gott om publika nyhetskällor som kan användas även om en hel del bra källor måste betalas för.
Av det jag kan komma på i huvudet som är och varit morgonomvärldsbevakningen på jobbet under massa år är:

https://www.risky.biz/ - Podcast om säkerhetsprodukter och angrepp.
https://darknetdiaries.com/ - Podcast om "händelser".

https://infosecindustry.com/ - Aggregerad vy av nyheter och sårbarheter från "enterprise-världen".
https://www.bleepingcomputer.com/ - Dagliga nyheter om angrepp och sårbarheter
https://www.theregister.com/ - Allmänt bra nyhetskälla för datanyheter inklusive sårbarheter
https://cert.se/ - Skaffa prenumeration på deras alerts.
https://cert.europa.eu/publications/security-advisories/2023 - Sårbarhetsinfo
https://www.cisa.gov/news-events/cybersecurity-advisories - Sårbarhetsinfo

Det mesta som fanns på twitter förr om åren är borta och begränsad del har flyttat till Mastodon.
Men mångt och mycket börjar också publika flöden om sårbarheter och exploits att tyna bort.

Vacker lista, precis sånt jag var ute efter när jag skapade tråden. Kul att den hålls igång!

Permalänk
Medlem

Någon här som har erfarenhet av flera AV/EDR-lösningar på systemen? För mig har det alltid varit ett "big no no" att köra det, vilket t.ex. av-comparatives med tycker: https://www.av-comparatives.org/why-you-should-never-have-mul...

Det finns såklart flera aspekter i det, både när det gäller förmågan att döda processer/ta bort filer och prestandapåverkan. Anledningen till att ha flera är väl att öka skyddet, men personligen tror jag det är bättre att välja det man tror är bäst och köra på det.

Sen har vi frågan om traditionellt signaturbaserat skydd kontra "next gen", som helt jobbar med beteende. Generellt tycker jag att de tester som finns visar på att "next gen" har sämre skydd och fler false positives än traditionella skydd. Att i princip allt upptäcks vid exekvering ser jag som en rätt stor nackdel med .En kombination av dessa där båda delarna är bra verkar helt klart bäst, där ser t.ex. Kaspersky ha lyckats rätt bra. Man vill ju ha något som tar "simpla" cryptolockers såväl som avancerade attackkedjor.
Speciellt ni som suttit/sitter i en SOC, vad har ni för erfarenheter av detta? Vilka EDR (som jag gissar att många företag gått eller går över till) har ni bra erfarenheter av? Det ska ju inte loggas/varnas om för mycket irrelevant så att det som är på riktigt försvinner i mängden, men inte heller påverka systemen alltför mycket heller.

Permalänk
Medlem
Skrivet av Thex:

Någon här som har erfarenhet av flera AV/EDR-lösningar på systemen? För mig har det alltid varit ett "big no no" att köra det, vilket t.ex. av-comparatives med tycker: https://www.av-comparatives.org/why-you-should-never-have-mul...

Det finns såklart flera aspekter i det, både när det gäller förmågan att döda processer/ta bort filer och prestandapåverkan. Anledningen till att ha flera är väl att öka skyddet, men personligen tror jag det är bättre att välja det man tror är bäst och köra på det.

Sen har vi frågan om traditionellt signaturbaserat skydd kontra "next gen", som helt jobbar med beteende. Generellt tycker jag att de tester som finns visar på att "next gen" har sämre skydd och fler false positives än traditionella skydd. Att i princip allt upptäcks vid exekvering ser jag som en rätt stor nackdel med .En kombination av dessa där båda delarna är bra verkar helt klart bäst, där ser t.ex. Kaspersky ha lyckats rätt bra. Man vill ju ha något som tar "simpla" cryptolockers såväl som avancerade attackkedjor.
Speciellt ni som suttit/sitter i en SOC, vad har ni för erfarenheter av detta? Vilka EDR (som jag gissar att många företag gått eller går över till) har ni bra erfarenheter av? Det ska ju inte loggas/varnas om för mycket irrelevant så att det som är på riktigt försvinner i mängden, men inte heller påverka systemen alltför mycket heller.

Eftersom signaturer är så lätt att komma runt för någon som med avsikt vill infektera så hanterar signaturbaserade skydd den grundläggande hygienfaktorn du måste ha för att bli av med alla automatiserade angrepp innan eller när något ska exekveras.

Beteendebaserade är för att hantera alla former av händelser när något skett. Detta är ett kompletterande steg för om något väl får fotfäste behöver du något som både kan upptäcka och vidta åtgärder. Sätta maskiner i karantän eller andra rutiner som ska automatiskt ske.

Det är sjukt lätt att överlogga öht, men samtidigt ska man inte tro att det är år 2000 där man kan kasta personal på att läsa larm.
En viktig del är att kunna följa upp och se vad som faktiskt skett i efterhand för att kunna vidta rätt manuella åtgärder, förbättringar eller lyckas återställa korrekt.

Och undvik rysk mjukvara som Kaspersky

Permalänk
Medlem
Skrivet av immutable:

Krysspostar här med

Permalänk
Medlem
Skrivet av Sidde:

Eftersom signaturer är så lätt att komma runt för någon som med avsikt vill infektera så hanterar signaturbaserade skydd den grundläggande hygienfaktorn du måste ha för att bli av med alla automatiserade angrepp innan eller när något ska exekveras.

Beteendebaserade är för att hantera alla former av händelser när något skett. Detta är ett kompletterande steg för om något väl får fotfäste behöver du något som både kan upptäcka och vidta åtgärder. Sätta maskiner i karantän eller andra rutiner som ska automatiskt ske.

Det är sjukt lätt att överlogga öht, men samtidigt ska man inte tro att det är år 2000 där man kan kasta personal på att läsa larm.
En viktig del är att kunna följa upp och se vad som faktiskt skett i efterhand för att kunna vidta rätt manuella åtgärder, förbättringar eller lyckas återställa korrekt.

Och undvik rysk mjukvara som Kaspersky

Hur det funkar vet jag redan, jag var ute efter erfarenheter/åsikter/diskussion om dem.

Kaspersky är pga Rysslandskopplingen inte aktuellt på många ställen, men oavsett det så verkar deras produkter vara bäst både i syntetiska tester och "riktiga" scenarios. Hur de är på management-sidan vet jag dock inte då jag aldrig har jobbat med deras enterprise-produkter.

Permalänk
Medlem

Skulle det vara OK att vi pratar lite om tjänster och arbetsgivare?

Det börjar bli dags för mig att söka nytt och har börjat scanna av marknaden. Lite förenklat ser det ut som de roller som finns att söka är (på svenska eller engelska):
- (Cyber-/IT-/Information-) Security Specialist
- (Cyber-/IT-/Information-) Security Officer
- (Cyber/IT) Security Engineer
- (Cyber/Cloud/IT) Security Architect
- (Cyber/IT) Security Analyst
- DevSecOps Engineer
- Penetration Tester
- CISO/Informationssäkerhetsansvarig

... Och ibland prefixat av "lead" eller "senior" ....

I arbetsbeskrivningarna kan man så klart hitta mer detaljer och inriktningar, men håller ni med om att hela vårt område tycks rymmas inom detta urval titlar?

Permalänk
Medlem
Skrivet av felplacrd:

Skulle det vara OK att vi pratar lite om tjänster och arbetsgivare?

Det börjar bli dags för mig att söka nytt och har börjat scanna av marknaden. Lite förenklat ser det ut som de roller som finns att söka är (på svenska eller engelska):
- (Cyber-/IT-/Information-) Security Specialist
- (Cyber-/IT-/Information-) Security Officer
- (Cyber/IT) Security Engineer
- (Cyber/Cloud/IT) Security Architect
- (Cyber/IT) Security Analyst
- DevSecOps Engineer
- Penetration Tester
- CISO/Informationssäkerhetsansvarig

... Och ibland prefixat av "lead" eller "senior" ....

I arbetsbeskrivningarna kan man så klart hitta mer detaljer och inriktningar, men håller ni med om att hela vårt område tycks rymmas inom detta urval titlar?

Mycket säkerhet kan såklart döljas inom vanlig dev/devops också, beror på roll/företag/produkt/projekt

Men det verkar vara en ganska gedigen lista

Permalänk
Medlem
Skrivet av felplacrd:

Skulle det vara OK att vi pratar lite om tjänster och arbetsgivare?

Det börjar bli dags för mig att söka nytt och har börjat scanna av marknaden. Lite förenklat ser det ut som de roller som finns att söka är (på svenska eller engelska):
- (Cyber-/IT-/Information-) Security Specialist
- (Cyber-/IT-/Information-) Security Officer
- (Cyber/IT) Security Engineer
- (Cyber/Cloud/IT) Security Architect
- (Cyber/IT) Security Analyst
- DevSecOps Engineer
- Penetration Tester
- CISO/Informationssäkerhetsansvarig

... Och ibland prefixat av "lead" eller "senior" ....

I arbetsbeskrivningarna kan man så klart hitta mer detaljer och inriktningar, men håller ni med om att hela vårt område tycks rymmas inom detta urval titlar?

Spontant känns det som att du saknar mycket på röda sidan, men kanske inte är av intresse?
Även inte mycket inom forensik.

Några till titlar.
Cyber Threat Intelligence Officer.
(Cyber-/IT-/Information-)Incident Responder
IT Security and Risk Officer.
SOC Analyst
IT-Säkerhetsanalytiker.

Visa signatur

i9 11900k ||32GB 4000MHz CL15||ASUS ROG STRIX Z590-E||Noctua NH-D15s
Intel Arc a750 ||Samsung 980 pro|| EVGA Supernova G3 850W
Asus xonar essence STX|| Lian-Li O11 Dynamic XL
Asus VG27AQ 165Hz IPS, Sennheiser HD650, Logitech g502 Hero, fUnc f30r, Vortex TAB90M, Audio-Technicha ATR2500x-USB
Server: x10SL7-F, Xeon E3 1230v3, 32GB Samsung ECC ram, 6x3TB WD RED, FD Node 804.

Permalänk
Medlem

Tack för er input!

Självklart finns det roller inom threat intelligence, incident response, risk och SOC som du skriver, @BergEr. Men vad jag reflekterade över i mitt inlägg var att dessa otaliga specialiseringar faller in under någon av de (i mitt tycke, ändå relativt få) titlar jag listade. Men du har nog rätt. Så klart finns det "forensiker", t ex.

Är det förresten någon som jobbar för ett företag som saknar kontor i Sverige som kan berätta hur det är? Det finns ganska många sådana tjänster att hitta, men för mig känns tanken väldigt abstrakt.

Permalänk
Medlem
Skrivet av felplacrd:

Självklart finns det roller inom threat intelligence, incident response, risk och SOC som du skriver, @BergEr. Men vad jag reflekterade över i mitt inlägg var att dessa otaliga specialiseringar faller in under någon av de (i mitt tycke, ändå relativt få) titlar jag listade. Men du har nog rätt. Så klart finns det "forensiker", t ex.

Man kan tycka att det ska göra det, men i praktiken är det olika titlar.

Kollar man på stället jag jobbar så har vi nog omkring 30 olika titlar på personerna som jobbar inom cybersec.

Visa signatur

i9 11900k ||32GB 4000MHz CL15||ASUS ROG STRIX Z590-E||Noctua NH-D15s
Intel Arc a750 ||Samsung 980 pro|| EVGA Supernova G3 850W
Asus xonar essence STX|| Lian-Li O11 Dynamic XL
Asus VG27AQ 165Hz IPS, Sennheiser HD650, Logitech g502 Hero, fUnc f30r, Vortex TAB90M, Audio-Technicha ATR2500x-USB
Server: x10SL7-F, Xeon E3 1230v3, 32GB Samsung ECC ram, 6x3TB WD RED, FD Node 804.

Permalänk
Medlem

En varning till andra, idag runt kl 0900 försökte någon logga in i mitt Tradera konto men blev stoppad av "ny enhet" och 2FA. Uppenbarligen en robot-inloggning, för sekunder efter försökte de logga in på Paypal kontot med samma mejl/lösen. Också stoppad av SMS verifiering. Paypal kontot är all data på raderad sedan länge men fortfarande.

Varken mejl eller lösenord är av en känd läcka och finns ej på haveibeenpwned. Inte heller är någon av mina enheter kompromissade. Det finns någon ny läcka, lösenordet var ett jag delade på flera sajter och slutade använda cirka 4-5 år sedan. Och har ej använt på skumma sidor.

Permalänk
Medlem
Skrivet av str8forthakill:

En varning till andra, idag runt kl 0900 försökte någon logga in i mitt Tradera konto men blev stoppad av "ny enhet" och 2FA. Uppenbarligen en robot-inloggning, för sekunder efter försökte de logga in på Paypal kontot med samma mejl/lösen. Också stoppad av SMS verifiering. Paypal kontot är all data på raderad sedan länge men fortfarande.

Varken mejl eller lösenord är av en känd läcka och finns ej på haveibeenpwned. Inte heller är någon av mina enheter kompromissade. Det finns någon ny läcka, lösenordet var ett jag delade på flera sajter och slutade använda cirka 4-5 år sedan. Och har ej använt på skumma sidor.

Mjo, det finns ju alltid en ny läcka, känns det som.
(Det kan väl iofs inte 100% uteslutas att du fått in någon skit på någon enhet, även om det inte upptäckts... är ju lite samma sak ur det perspektivet, det är svårt att veta ända tills det är konstaterat.)

I min värld understryker detta främst varför man inte ska återanvända lösenord, samt då att 2FA är en bra grej.

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem

@evil penguin
Om någon av mina enheter hade kompromissats hade väl mina nuvarande lösenord läckt snarare än ett till sajter jag inte loggat in på de senaste 4-5 åren? . Men det gav en en kick i röven att ändra lösen även på dessa gamla inaktiva konton. En del har väl personlig data om något.

Permalänk
Medlem
Skrivet av str8forthakill:

@evil penguin
Om någon av mina enheter hade kompromissats hade väl mina nuvarande lösenord läckt snarare än de till sajter jag inte loggat in på de senaste 4-5 åren? .

Sannolikt (eller allt, eller ...).

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem

https://www.openwall.com/lists/oss-security/2024/03/29/4 festlig grej:
"backdoor in upstream xz/liblzma leading to ssh server compromise"

Verkar ha fångats upp tillräckligt snabbt för att minimera skadan, men ändå...

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem

Jag är helt körd, men förlitar mig på att third party authentication håller mig trygg med det viktigaste...