Google pushed a one-character typo to production, bricking Chrome OS devices.

Просто прекрасный пример. Прям 10 очепяток из 10.

https://arstechnica.com/gadgets/2021/07/google-pushed-a-one-character-typo-to-production-bricking-chrome-os-devices/

How the Kaseya VSA Zero Day Exploit Worked
https://blog.truesec.com/2021/07/06/kaseya-vsa-zero-day-exploit/

The CWE Top 25
https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html

Выложены доклады DevSecCon24 - 2021
https://www.youtube.com/playlist?list=PLKWDDWZ_ETtDbTF3Xibc2VagzgHbkoKpA

Программа доступна тут
https://www.devseccon.com/devseccon24-2021/

Теперь официально

Представляем Kubernetes-платформу Deckhouse. Теперь в Open Source и для всех
https://habr.com/ru/company/flant/blog/569840/

Запись доклада

Kubernetes: Observability — важная часть Security
https://www.youtube.com/watch?v=2kq42cCG4GM

Отличнейший пост

> What can you do with a stolen laptop? Can you get access to our internal network? That was the question a client wanted answered recently. Spoiler alert: Yes, yes you can. This post will walk you through how we took a “stolen” corporate laptop and chained several exploits together to get inside the client’s corporate network.

https://dolosgroup.io/blog/2021/7/9/from-stolen-laptop-to-inside-the-company-network

The State of Developer Ecosystem 2021 - DevOps

https://www.jetbrains.com/lp/devecosystem-2021/devops/

Плейлист PG Day'21
https://www.youtube.com/playlist?list=PL83V-7Vhzqkpj0qwmOimKR-x3FRVg9lDn

Доклады
https://pgday.ru/ru/2021/papers

National Security Agency. Kubernetes Hardening Guidance. 2021.

Рекомендации от NSA (National Security Agency) и CISA (Cybersecurity and Infrastructure Security Agency) как делать эти ваши Kubernetes'ы защищёнными.

Идёт прием докладов на Chaos Constructions, так же мы приглашаем стать спонсорами и партнерами. По вариантам участия - пишите @lady_noname.

Demoparty - конкурсы по программированию, музицированию и графике, присылайте ваши работы, правила участия на сайте. Соревнования в программировании шейдеров - качественное развлечение для тех, кто умеет в матан, запись в общем чате заранее. Так же с нетерпением ждем демки.

Кроме всего традиционно можно поиграть за старинными компьютерами, состоятся и трационные турниры. А еще нужно принести свои модификации ретро-техники, если они у вас есть и дать интервью нашим коллегам для Chaos TV, по ретротехнике пишите в личку бессменному хранителю выставки - @Mihhru.

Ну и конечно же конференция по новым компьютерным технологиям и защите компьютерных программ, теперь и с трансляцией в Youtube. Темы для обсуждений: всё, что связано с безопасностью ПО и железа. Если есть рассказать про интересное железо - тоже добро пожаловать.

Билеты. Online участие - бесплатно.

Тернистая история Лисп-машин: первый бум AI, война Столлмана и удивительный интерфейс
https://habr.com/ru/company/yandex/blog/519922/

> Как выяснили журналисты Financial Times, Apple намерена внедрить в свои iPhone бэкдор, который позволит ее специалистам сканировать устройства на наличие фотографий жестокого обращения с детьми. Специалисты по безопасности заявляют об опасности тотальной слежки за пользователями смартфонов.

https://habr.com/ru/news/t/571576/

> I have identified the privacy flaws in Telegram's self-destruct chats. One can retrieve audio, video messages, shared locations, and files even after the self-destruct feature works on both devices.

Telegram Self-Destruct? Not Always

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/telegram-self-destruct-not-always/

Проблеме подвержены web-прокси, балансировщики нагрузки, web-акселераторы, системы доставки контента и прочие конфигурации, в которых запросы перенаправляются по схеме фронтэнд-бэкенд. Автор исследования продемонстрировал возможность атаки на системы Netflix, Verizon, Bitbucket, Netlify CDN и Atlassian, и получил 56 тысяч долларов в программах по выплате вознаграждений за выявление уязвимостей. Наличие проблемы также подтверждено в продуктах F5 Networks. Частично проблема затрагивает mod_proxy в http-сервере Apache (CVE-2021-33193) . . . В nginx возможность одновременного указания заголовков "Content-Length" и "Transfer-Encoding были блокированы в прошлом выпуске (1.21.1). Средства для проведения атак уже добавлены в инструментарий Burp и доступны в форме расширения Turbo Intruder.

Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы
https://www.opennet.ru/opennews/art.shtml?num=55601

Начали выкладывать доклады с DEF CON 29

Main Stage Presentations
https://www.youtube.com/playlist?list=PL9fPq3eQfaaBUD1zVxJWJmX86A6d0isBI

Программа тут
https://defcon.org/html/defcon-29/dc-29-schedule.html

Тут @mobile_appsec_world набрал первую тыЩу подписчиков. С чем его и поздравляю.

Если вам интересная тематика безопасности мобильных приложений, тулинга связанного с этим и т.д., то присоединяйтесь, там есть чего почитать на эту тему.

Ведёт его Юрий Шабалин из Swordfish Security, вот один из недавних его постов на Хабре

Развитие механизмов безопасности Android (от версии к версии)
https://habr.com/ru/company/swordfish_security/blog/565092/