Представьте: вы заходите в банк для закрытия счёта. На нём лежит значительная часть ваших средств. Какой из способов аутентификации как владельца счёта самый удобный и безопасный для вас?
Anonymous Poll
37%
Паспорт и договор в моих руках, я не верю в новые технологии
30%
Биометрия: голос/лицо/отпечатки пальцев
31%
Мультифакторная аутентификация, ключом которой выступает мой смартфон
3%
Я знаю вариант получше и расскажу в комментариях 🙂
О самой безопасной аутентификации: с минимальным отрывом у нас победили консерваторы, которые верят в силу двух бумаг: паспорта и договора. А самый проверенный метод предложила Евгения: «Микрочип, встроенный в коронку на зубе».
Баланс между безопасностью и удобством найти и правда сложно. Ремень безопасности не так уж удобен, но в критичных авариях в 70% случаев именно он поможет выжить. И как внешний вид такого ремня многократно менялся с 1885 года, так и правила защиты данных постоянно совершенствуются. Часто благодаря неприятным инцидентам.
Про перехват SMS. Ещё несколько лет назад можно было купить новую симку для номера человека по его поддельным данным, чтобы получить доступ к подтверждению его банковских операций. Сейчас банки стараются отслеживать такие истории, главное – не отвечать на звонки из ненастоящего банка.
Можно ли подделать биометрию? Конечно. В «Гаттаке» герой Итана Хоука показал, что, если очень хочется, то можно всё. Именно так это и делается: похожее лицо или даже фотография лица, слепок отпечатков пальца. И нейросеть ошибётся. (У них вообще с пальцами проблемы). Так что близнецы могут друг за друга не только экзамены сдавать, но и разблокировать доступ.
Но надо отдать должное ИИ: сейчас он зачастую лучше охранника определяет, действительно ли это тот человек, чья фотография есть в базе данных. Для этого системы распознавания анализируют не только черты лица, но и liveness – живой перед камерой человек или нет и как он движется. И определяют степень риска при открытии доступа.
Мультифакторная аутентификация позволяет сразу несколькими способами подтвердить, что вы – это действительно вы, стоите в банке с телефоном в руке:
• Know – уникальное знание;
• Have – принадлежащий вам смартфон;
• Are – ваше свойство. Бесподобный цвет глаз.
Важно: имя вашего кота – это не очень секретное знание. (Предъявите кота в комментариях, пожалуйста).
Если нужно защитить что-то важное, ключ должен состоять из нескольких элементов. А пятый элемент – это любовь ❤️ К мультифакторной аутентификации.
Баланс между безопасностью и удобством найти и правда сложно. Ремень безопасности не так уж удобен, но в критичных авариях в 70% случаев именно он поможет выжить. И как внешний вид такого ремня многократно менялся с 1885 года, так и правила защиты данных постоянно совершенствуются. Часто благодаря неприятным инцидентам.
Про перехват SMS. Ещё несколько лет назад можно было купить новую симку для номера человека по его поддельным данным, чтобы получить доступ к подтверждению его банковских операций. Сейчас банки стараются отслеживать такие истории, главное – не отвечать на звонки из ненастоящего банка.
Можно ли подделать биометрию? Конечно. В «Гаттаке» герой Итана Хоука показал, что, если очень хочется, то можно всё. Именно так это и делается: похожее лицо или даже фотография лица, слепок отпечатков пальца. И нейросеть ошибётся. (У них вообще с пальцами проблемы). Так что близнецы могут друг за друга не только экзамены сдавать, но и разблокировать доступ.
Но надо отдать должное ИИ: сейчас он зачастую лучше охранника определяет, действительно ли это тот человек, чья фотография есть в базе данных. Для этого системы распознавания анализируют не только черты лица, но и liveness – живой перед камерой человек или нет и как он движется. И определяют степень риска при открытии доступа.
Мультифакторная аутентификация позволяет сразу несколькими способами подтвердить, что вы – это действительно вы, стоите в банке с телефоном в руке:
• Know – уникальное знание;
• Have – принадлежащий вам смартфон;
• Are – ваше свойство. Бесподобный цвет глаз.
Важно: имя вашего кота – это не очень секретное знание. (Предъявите кота в комментариях, пожалуйста).
Если нужно защитить что-то важное, ключ должен состоять из нескольких элементов. А пятый элемент – это любовь ❤️ К мультифакторной аутентификации.
Membrana можно не только любоваться – её можно создавать. Вместе с нами.
Если в прошлом посте с вакансиями вы не узнали себя – возможно, в этот раз всё сложится.
4 человека, для которых мы уже приготовили места в нашем экипаже (с очень красивым видом):
Старший системный аналитик с инженерным складом ума, который свяжет бизнес-потребности и разработку. С чем предстоит работать: проработка сценариев и реализации, сложные интерфейсы, диаграммы последовательностей и схемы.
Старший архитектор, который будет помогать разрабатывать сложные архитектуры сервисов с высокой нагрузкой. K8, Kafka, S3, gRPC, сокеты и вот это всё.
DevOps – инженер, помогающий нам в построении полной инфраструктуры разработки. Используем Gitlab CI, Kubernetes, Kafka, S3, сервисы на Java, Python, Rust.
Android разработчик. Перфекционист мобильной разработки, который поможет нам сделать приложение Membrana быстрым, удобным и надёжным. Поддерживаем только современные версии ОС, clean architecture, Compose, coroutines/flow.
Откликнуться можно по ссылкам. Ещё больше вакансий в команде Future Crew есть здесь.
О пентестерах расскажем чуть позже 🙂 Но резюме уже можно присылать.
Если в прошлом посте с вакансиями вы не узнали себя – возможно, в этот раз всё сложится.
4 человека, для которых мы уже приготовили места в нашем экипаже (с очень красивым видом):
Старший системный аналитик с инженерным складом ума, который свяжет бизнес-потребности и разработку. С чем предстоит работать: проработка сценариев и реализации, сложные интерфейсы, диаграммы последовательностей и схемы.
Старший архитектор, который будет помогать разрабатывать сложные архитектуры сервисов с высокой нагрузкой. K8, Kafka, S3, gRPC, сокеты и вот это всё.
DevOps – инженер, помогающий нам в построении полной инфраструктуры разработки. Используем Gitlab CI, Kubernetes, Kafka, S3, сервисы на Java, Python, Rust.
Android разработчик. Перфекционист мобильной разработки, который поможет нам сделать приложение Membrana быстрым, удобным и надёжным. Поддерживаем только современные версии ОС, clean architecture, Compose, coroutines/flow.
Откликнуться можно по ссылкам. Ещё больше вакансий в команде Future Crew есть здесь.
О пентестерах расскажем чуть позже 🙂 Но резюме уже можно присылать.
Ну что, где проведёте выходные? Впрочем, это не наше дело. И ничьё.
А чтобы не делиться геолокацией со всеми подряд и не получать потом предложения оценить ресторан, АЗС или отель в горах – стоит отключить отслеживание в фоновом режиме.
В настройках геолокации и на Android, и на iPhone можно как полностью отключить её, так и определить для каждого приложения: предоставлять доступ к местоположению при использовании или всегда. По умолчанию сервисы стараются 24/7 следить, что, где, когда и с кем вы делаете.
Чтобы Google забыл о вас хотя бы ненадолго – зайдите свой аккаунт – Конфиденциальность и персонализация – Что вы делали и где бывали. Здесь можно поиграть с настройками истории приложений и веб-поиска, историей местоположений и YouTube. Кстати, какое последнее видео вы там посмотрели?🙂
А если на iPhone зайти в Настройки – Конфиденциальность – Службы геолокации – Системные службы – Важные геопозиции, можно узнать о местах, которые устройство считает важными для вас, и где вы недавно проводили время. Эти следы тоже можно стереть.
Мы не знаем, где вы будете на выходных. Но мы уверены, что вы знаете лучшие секретные места.
А чтобы не делиться геолокацией со всеми подряд и не получать потом предложения оценить ресторан, АЗС или отель в горах – стоит отключить отслеживание в фоновом режиме.
В настройках геолокации и на Android, и на iPhone можно как полностью отключить её, так и определить для каждого приложения: предоставлять доступ к местоположению при использовании или всегда. По умолчанию сервисы стараются 24/7 следить, что, где, когда и с кем вы делаете.
Чтобы Google забыл о вас хотя бы ненадолго – зайдите свой аккаунт – Конфиденциальность и персонализация – Что вы делали и где бывали. Здесь можно поиграть с настройками истории приложений и веб-поиска, историей местоположений и YouTube. Кстати, какое последнее видео вы там посмотрели?
А если на iPhone зайти в Настройки – Конфиденциальность – Службы геолокации – Системные службы – Важные геопозиции, можно узнать о местах, которые устройство считает важными для вас, и где вы недавно проводили время. Эти следы тоже можно стереть.
Мы не знаем, где вы будете на выходных. Но мы уверены, что вы знаете лучшие секретные места.
Please open Telegram to view this post
VIEW IN TELEGRAM
Но если не секрет – какие планы?
(Можно выбрать не один 🙂)
(Можно выбрать не один 🙂)
Anonymous Poll
26%
Буду трудиться
18%
Шашлыкиии!
9%
Выставки, театр, кино, концерты
13%
Я на спорте: велосипед, волейбол и всё такое
19%
А у меня огород
3%
А я иду в поход
13%
Путешествие ✈️
41%
Дома отдохну 😌
Эх, грустно будет без Тиндера 🥺
Он делал всё, чтобы узнать нас как можно лучше, и хранит тонны секретной и не очень информации.
- С кем вы хотели бы познакомиться;
- Когда, где и с кем вы переписывались;
- Что именно вы обсуждали;
- Как менялись (или оставались неизменными) ваши предпочтения в жизни;
- Ваши фотографии из профиля и из связанных соцсетей;
- Ваши друзья в связанных соцсетях;
- Ваше образование и места работы;
- Что вы слушаете, что вы едите, места, где вы бываете;
- История лайков во всех связанных аккаунтах.
Но самое главное – зная это всё, помог ли он вам найти любовь или хотя бы немного нежности? ❤️
Сейчас узнаем в опросе.
P.S. Где теперь вечеринки для тех, кому немного за 30?
Он делал всё, чтобы узнать нас как можно лучше, и хранит тонны секретной и не очень информации.
- С кем вы хотели бы познакомиться;
- Когда, где и с кем вы переписывались;
- Что именно вы обсуждали;
- Как менялись (или оставались неизменными) ваши предпочтения в жизни;
- Ваши фотографии из профиля и из связанных соцсетей;
- Ваши друзья в связанных соцсетях;
- Ваше образование и места работы;
- Что вы слушаете, что вы едите, места, где вы бываете;
- История лайков во всех связанных аккаунтах.
Но самое главное – зная это всё, помог ли он вам найти любовь или хотя бы немного нежности? ❤️
Сейчас узнаем в опросе.
P.S. Где теперь вечеринки для тех, кому немного за 30?
Будем скучать по Тиндеру?
Anonymous Poll
8%
Да, есть что вспомнить 😁
5%
Да, он помог найти любовь
13%
Нет, мне там встречались странные люди
74%
Нет, меня там не было и не будет
На неделе многие СМИ и Telegram-каналы облетела новость о том, что хакеры впервые в истории получили контроль над спутником и человечество в опасности.
Действительно ли это так? Не совсем.
Во-первых, не впервые. Ещё в 1998 году хакеры направили солнечные панели спутника ROSAT X-Ray прямо на Солнце, что привело к завершению миссии.
А во-вторых, это специалисты из французской компании Thales провели показательную атаку на специально созданном тестовом стенде Европейского космического агентства. Но если бы у них была задача получить контроль над действующими спутниками – они бы тоже с ней справились: это дало бы возможность изменять данные, отправляемые на Землю, в том числе незаметно модифицировать изображения.
Устаревшие, но действующие на орбите спутники ещё более уязвимы. Именно на это и обратил внимание вице-президент Thales по решениям в кибербезопасности Пьер-Ив Жоливе: «С ростом количества военных и гражданских приложений, которые сегодня зависят от спутниковых систем, космическая отрасль должна учитывать кибербезопасность на каждом этапе жизненного цикла спутника, от первоначального проектирования до разработки и обслуживания систем».
Помимо атак на сами спутники, хакеры охотятся и за данными космических компаний. Так, в марте вымогательская группировка LockBit заявила , что украла 3000 чертежей, созданных инженерами SpaceX. Прекрасно зная о подобных угрозах, в 2022 году SpaceX запустила программу выплаты вознаграждений белым хакерам за обнаруженные уязвимости в своих системах, а самых талантливых исследователей они приглашают к себе работать.
Если хакеры захотят захватить все спутники и сделают это, то они смогут организовать массовый сбой систем навигации. Интернет не пропадёт, но значительно замедлится. Худшие сценарии применения спутников не по назначению сейчас не рассматриваем.
Почему хакеры не взламывают спутники, если могут? Нет мотивации. А ещё – дорогостоящего оборудования и знания протоколов. А это значит, что нет повода преувеличивать риски: космические компании готовы к разным сценариям.
Действительно ли это так? Не совсем.
Во-первых, не впервые. Ещё в 1998 году хакеры направили солнечные панели спутника ROSAT X-Ray прямо на Солнце, что привело к завершению миссии.
А во-вторых, это специалисты из французской компании Thales провели показательную атаку на специально созданном тестовом стенде Европейского космического агентства. Но если бы у них была задача получить контроль над действующими спутниками – они бы тоже с ней справились: это дало бы возможность изменять данные, отправляемые на Землю, в том числе незаметно модифицировать изображения.
Устаревшие, но действующие на орбите спутники ещё более уязвимы. Именно на это и обратил внимание вице-президент Thales по решениям в кибербезопасности Пьер-Ив Жоливе: «С ростом количества военных и гражданских приложений, которые сегодня зависят от спутниковых систем, космическая отрасль должна учитывать кибербезопасность на каждом этапе жизненного цикла спутника, от первоначального проектирования до разработки и обслуживания систем».
Помимо атак на сами спутники, хакеры охотятся и за данными космических компаний. Так, в марте вымогательская группировка LockBit заявила , что украла 3000 чертежей, созданных инженерами SpaceX. Прекрасно зная о подобных угрозах, в 2022 году SpaceX запустила программу выплаты вознаграждений белым хакерам за обнаруженные уязвимости в своих системах, а самых талантливых исследователей они приглашают к себе работать.
Если хакеры захотят захватить все спутники и сделают это, то они смогут организовать массовый сбой систем навигации. Интернет не пропадёт, но значительно замедлится. Худшие сценарии применения спутников не по назначению сейчас не рассматриваем.
Почему хакеры не взламывают спутники, если могут? Нет мотивации. А ещё – дорогостоящего оборудования и знания протоколов. А это значит, что нет повода преувеличивать риски: космические компании готовы к разным сценариям.
А вы обращаете внимание на домен сайта, где покупаете авиабилеты? Чем экзотичнее домен, тем выше вероятность, что такому ресурсу не стоит передавать данные банковской карты. Даже если билеты там дешевле.
В этом году фишинговые ресурсы реже регистрируются в доменной зоне .ru и чаще в малоизвестных .ml, .tk и подобных. Мошенникам так удобнее вести дела: дешевле оформить адрес, сложнее его заблокировать.
Почему так – рассказывает Алексей Кузнецов, технический руководитель направления анализа защищённости центра инноваций Future Crew.
Количество фишинговых ресурсов в российском сегменте сети исчисляется тысячами, в сегменте .com – десятками тысяч. Фишинг и скам продолжают набирать популярность, активно эксплуатируя новые актуальные в инфополе темы.
Продолжает расти спрос на доменные имена в экзотических доменных зонах: .ml, .tk, .cf, .ga и .gq, благодаря простоте регистрации доменов в этих зонах. Действительно, «Роскомнадзору» проще дотянуться до мошеннических ресурсов в доменах .ru, .rf и .su, что отчасти сдерживает рост объема фишинговых сайтов в рунете.
Дело в том, что есть домены верхнего уровня gtld, которые управляются централизованно, и домены cctld, которые зачастую управляются различными частными организациями. В доменных зонах cctld сложнее добраться до регистратора и вынудить его разыменовать фишинговый домен.
В материале «Коммерсанта» – подробнее об этой тенденции со статистикой и мнениями наших коллег из кибербеза.
В этом году фишинговые ресурсы реже регистрируются в доменной зоне .ru и чаще в малоизвестных .ml, .tk и подобных. Мошенникам так удобнее вести дела: дешевле оформить адрес, сложнее его заблокировать.
Почему так – рассказывает Алексей Кузнецов, технический руководитель направления анализа защищённости центра инноваций Future Crew.
Количество фишинговых ресурсов в российском сегменте сети исчисляется тысячами, в сегменте .com – десятками тысяч. Фишинг и скам продолжают набирать популярность, активно эксплуатируя новые актуальные в инфополе темы.
Продолжает расти спрос на доменные имена в экзотических доменных зонах: .ml, .tk, .cf, .ga и .gq, благодаря простоте регистрации доменов в этих зонах. Действительно, «Роскомнадзору» проще дотянуться до мошеннических ресурсов в доменах .ru, .rf и .su, что отчасти сдерживает рост объема фишинговых сайтов в рунете.
Дело в том, что есть домены верхнего уровня gtld, которые управляются централизованно, и домены cctld, которые зачастую управляются различными частными организациями. В доменных зонах cctld сложнее добраться до регистратора и вынудить его разыменовать фишинговый домен.
В материале «Коммерсанта» – подробнее об этой тенденции со статистикой и мнениями наших коллег из кибербеза.
Коммерсантъ
Хакеры нащупали точку роста
Фишинг переходит с доменов .ru
Пентестер? Ждём тебя во Future Crew
Мы создаём Cicada 8 – продукт по мониторингу уязвимостей и поиску угроз для внешнего периметра.
Сейчас в команде нам нужны:
• Penetration Tester
• DevOps
• Senior Python developer
• Ведущий эксперт (DFIR)
Senior Python developer – это человек с опытом работы с продуктами в кибербезопасности (возможно, с профильным образованием) или же с большим интересом к этой сфере. Желателен опыт работы 3+ лет и опыт в построении команд и процессов с нуля. Желателен навык работы с оптимизацией SQL запросов и структур данных. В продукте планируем использовать Python 3.9, FastAPI, Postgres, k8s, Cold data storage.
Для пентестеров: мы строим большую и сильную команду и ищем талантливых ребят, желательно с опытом в CTF и поиске нестандартных решений. Работаем с проектами по пентестам и Red Team (самые разные инфраструктуры – от банков до производства). Также есть возможность поучаствовать в создании продукта для автоматизации рутинных работ пентестера, нормально поресерчить и повыступать с этим на конференцияхпо новым технологиям и защите компьютерных программ. Кстати, весь код писать не нужно – этим занимается отдельная команда разработки.
Почему с нами круто:
• Экспресс-погружение во всякие offensive cybersecurity и threat intelligence штуки.
• Команда растёт и возможен быстрый карьерный рост.
• Во всём поможем, не только в решении сложных технических проблем.
• Нет техдолга/можно выбрать технологии по своему вкусу.
• Гибкий график, удалённая работа, но есть и офис в Москве со спортзалом и клубничным мороженым.
• Бюджеты на обучение и конференции.
• ДМС и корпоративная связь.
• У нас аккредитованная IT-компания.
• Зарплата тоже есть. Очень хорошая.
Откликайся по ссылкам выше или отправь этот пост другу.
P.S. В команде есть экспертиза в самых разных сферах :)
Мы создаём Cicada 8 – продукт по мониторингу уязвимостей и поиску угроз для внешнего периметра.
Сейчас в команде нам нужны:
• Penetration Tester
• DevOps
• Senior Python developer
• Ведущий эксперт (DFIR)
Senior Python developer – это человек с опытом работы с продуктами в кибербезопасности (возможно, с профильным образованием) или же с большим интересом к этой сфере. Желателен опыт работы 3+ лет и опыт в построении команд и процессов с нуля. Желателен навык работы с оптимизацией SQL запросов и структур данных. В продукте планируем использовать Python 3.9, FastAPI, Postgres, k8s, Cold data storage.
Для пентестеров: мы строим большую и сильную команду и ищем талантливых ребят, желательно с опытом в CTF и поиске нестандартных решений. Работаем с проектами по пентестам и Red Team (самые разные инфраструктуры – от банков до производства). Также есть возможность поучаствовать в создании продукта для автоматизации рутинных работ пентестера, нормально поресерчить и повыступать с этим на конференциях
Почему с нами круто:
• Экспресс-погружение во всякие offensive cybersecurity и threat intelligence штуки.
• Команда растёт и возможен быстрый карьерный рост.
• Во всём поможем, не только в решении сложных технических проблем.
• Нет техдолга/можно выбрать технологии по своему вкусу.
• Гибкий график, удалённая работа, но есть и офис в Москве со спортзалом и клубничным мороженым.
• Бюджеты на обучение и конференции.
• ДМС и корпоративная связь.
• У нас аккредитованная IT-компания.
• Зарплата тоже есть. Очень хорошая.
Откликайся по ссылкам выше или отправь этот пост другу.
P.S. В команде есть экспертиза в самых разных сферах :)
Уязвимость в Telegram: у кого есть доступ к камере?
Инженер Google Дэн Рева (Dan Revah) рассказал в своём блоге, что приложение Telegram для macOS содержит уязвимость, позволяющую злоумышленнику обойти механизмы защиты Apple и получить доступ к веб-камере и микрофону ноутбука.
Уязвимость была обнаружена ещё в начале февраля, и тогда же команда безопасности Telegram получила письма об этом, но никак на них не отреагировала. Поэтому Рева решил рассказать о проблеме всем. На этот раз Telegram ответил в Twitter, что обновление с патчем уже на проверке у Apple, а Павел Дуров объяснил в Telegram, что угрозы для приватности пользователей нет.
На чьей стороне возникла проблема?
Возможность получить неправомерные полномочия возникла из-за уязвимости в приложении Telegram: в него можно заинжектить стороннюю динамическую библиотеку (Dylib). Такая динамическая библиотека может быть запущена от имени Telegram, чтобы копировать звук и видео и сохранять их в файл. Причём она запускается сама после перезагрузки ноутбука, необязательно даже открывать мессенджер.
В этом случае Telegram обходит механизмы Apple Hardened Runtime и Entitlement, которые отвечают за защиту от вредоносного кода, а также контроль доступа к микрофону, камере и другим компонентам устройства. К тому же на macOS нет жесткого требования по поддержке Hardened Runtime, а на iOS есть.
Стоит ли этого опасаться?
Не стоит. Для эксплуатации нужно, чтобы ноутбук уже был заражен. По сути это подъем привилегий, который позволяет получить доступ к камере.
Что всё-таки предпринять?
1. Скачайте новую версию Telegram, где будет устранена уязвимость.
2. Не доверяйте свой ноутбук посторонним и не скачивайте сомнительные приложения. Эти рекомендации актуальны всегда🙂
Инженер Google Дэн Рева (Dan Revah) рассказал в своём блоге, что приложение Telegram для macOS содержит уязвимость, позволяющую злоумышленнику обойти механизмы защиты Apple и получить доступ к веб-камере и микрофону ноутбука.
Уязвимость была обнаружена ещё в начале февраля, и тогда же команда безопасности Telegram получила письма об этом, но никак на них не отреагировала. Поэтому Рева решил рассказать о проблеме всем. На этот раз Telegram ответил в Twitter, что обновление с патчем уже на проверке у Apple, а Павел Дуров объяснил в Telegram, что угрозы для приватности пользователей нет.
На чьей стороне возникла проблема?
Возможность получить неправомерные полномочия возникла из-за уязвимости в приложении Telegram: в него можно заинжектить стороннюю динамическую библиотеку (Dylib). Такая динамическая библиотека может быть запущена от имени Telegram, чтобы копировать звук и видео и сохранять их в файл. Причём она запускается сама после перезагрузки ноутбука, необязательно даже открывать мессенджер.
В этом случае Telegram обходит механизмы Apple Hardened Runtime и Entitlement, которые отвечают за защиту от вредоносного кода, а также контроль доступа к микрофону, камере и другим компонентам устройства. К тому же на macOS нет жесткого требования по поддержке Hardened Runtime, а на iOS есть.
Стоит ли этого опасаться?
Не стоит. Для эксплуатации нужно, чтобы ноутбук уже был заражен. По сути это подъем привилегий, который позволяет получить доступ к камере.
Что всё-таки предпринять?
1. Скачайте новую версию Telegram, где будет устранена уязвимость.
2. Не доверяйте свой ноутбук посторонним и не скачивайте сомнительные приложения. Эти рекомендации актуальны всегда
Please open Telegram to view this post
VIEW IN TELEGRAM
19 и 20 мая в Парке Горького в Москве пройдёт масштабный киберфестиваль Positive Hack Days 12. Мы тоже заглянем.
Вадим Шелест, ведущий эксперт по тестированию на проникновение в команде Cicada 8, выступит с докладом «Red Teaming: Методики фишинговых атак».
Вместе со зрителями Вадим проведёт разбор всех этапов эффективных фишинговых атак и расскажет, как написать сообщение, которое точно захочется открыть.
Темы встречи:
• планирование, подготовка и активная фаза социотехнического тестирования;
• современные подходы к созданию инфраструктуры;
• эффективные каналы взаимодействия;
• варианты пейлоадов и способы их доставки;
• методы сокрытия и противодействия обнаружению при проведении фишинговых кампаний;
• требования к содержанию аналитических отчётов и рекомендации по итогам кампаний.
📍Встретимся в субботу в 11:00 в Зале боевых искусств на лекции Вадима.
Вход в тематический парк Кибергород свободный, а на площадки для профессионалов – по билетам. Подробности о конкурсах и лекциях есть на сайте фестиваля.
P.S. Сейчас команда профессионалов Cicada 8 активно растёт, мы нанимаем талантливых исследователей ИБ со всей России. Вакансии в команде здесь. Возможно, ты один из нас? 😉
Вадим Шелест, ведущий эксперт по тестированию на проникновение в команде Cicada 8, выступит с докладом «Red Teaming: Методики фишинговых атак».
Вместе со зрителями Вадим проведёт разбор всех этапов эффективных фишинговых атак и расскажет, как написать сообщение, которое точно захочется открыть.
Темы встречи:
• планирование, подготовка и активная фаза социотехнического тестирования;
• современные подходы к созданию инфраструктуры;
• эффективные каналы взаимодействия;
• варианты пейлоадов и способы их доставки;
• методы сокрытия и противодействия обнаружению при проведении фишинговых кампаний;
• требования к содержанию аналитических отчётов и рекомендации по итогам кампаний.
📍Встретимся в субботу в 11:00 в Зале боевых искусств на лекции Вадима.
Вход в тематический парк Кибергород свободный, а на площадки для профессионалов – по билетам. Подробности о конкурсах и лекциях есть на сайте фестиваля.
P.S. Сейчас команда профессионалов Cicada 8 активно растёт, мы нанимаем талантливых исследователей ИБ со всей России. Вакансии в команде здесь. Возможно, ты один из нас? 😉
Как мы используем МТС Ocean и К8 в разработке – рассказывает CTO Membrana Пётр Левшин
Мы работаем в режиме стартапа. Создаём новые технологии для приватной связи и интегрируем наработки в существующую инфраструктуру. Быстрый старт невозможен без инструментов быстрого разворачивания инфраструктуры проекта – это пространства для командной работы, ландшафты для микросервисов, базы данных, Kafka и т.д.
У нас в МТС есть платформа, которая закрывает все эти потребности – МТС Ocean. Мы используем её с первых дней, за несколько минут можно развернуть кластер Kubernetes, базы данных и отдельные виртуальные машины для интеграционных сервисов, а также Kafka и сервисы для аутентификации и хранения секретов.
Ключевой частью наших ландшафтов является Kubernetes, он же К8, он же «кубик». Мы в процессе роста команды, поэтому знание К8 – важный навык для нас.
Кубик позволяет быстро стартовать разработку, обеспечивает отказоустойчивость и много чего ещё. Вот пара видео об этом инструменте:
• What is Kubernetes?
• Kubernetes Explained in 100 Seconds
(Да, знание английского – тоже важный навык, но можно выбрать автоматический перевод в настройках).
Одним из преимуществ Ocean является быстрая настройка CI/CD. Пишем мы, кстати, в основном на Java, с щепоткой Rust и C++. Мы легко интегрируем наши ландшафты Ocean с Gitlab.
Важная фишка МТС Ocean для разработчиков – это хорошая документация. В таком океане никто не потонет.
Первичные пайплайны и процесс сборки описали сами наши разработчики, но мы ищем DevOps-инженеров, которые смогут развить и улучшить нашу инфраструктуру. Особенно это касается более экзотичных контуров и инструментов, о которых мы расскажем в следующих постах.
Мы работаем в режиме стартапа. Создаём новые технологии для приватной связи и интегрируем наработки в существующую инфраструктуру. Быстрый старт невозможен без инструментов быстрого разворачивания инфраструктуры проекта – это пространства для командной работы, ландшафты для микросервисов, базы данных, Kafka и т.д.
У нас в МТС есть платформа, которая закрывает все эти потребности – МТС Ocean. Мы используем её с первых дней, за несколько минут можно развернуть кластер Kubernetes, базы данных и отдельные виртуальные машины для интеграционных сервисов, а также Kafka и сервисы для аутентификации и хранения секретов.
Ключевой частью наших ландшафтов является Kubernetes, он же К8, он же «кубик». Мы в процессе роста команды, поэтому знание К8 – важный навык для нас.
Кубик позволяет быстро стартовать разработку, обеспечивает отказоустойчивость и много чего ещё. Вот пара видео об этом инструменте:
• What is Kubernetes?
• Kubernetes Explained in 100 Seconds
(Да, знание английского – тоже важный навык, но можно выбрать автоматический перевод в настройках).
Одним из преимуществ Ocean является быстрая настройка CI/CD. Пишем мы, кстати, в основном на Java, с щепоткой Rust и C++. Мы легко интегрируем наши ландшафты Ocean с Gitlab.
Важная фишка МТС Ocean для разработчиков – это хорошая документация. В таком океане никто не потонет.
Первичные пайплайны и процесс сборки описали сами наши разработчики, но мы ищем DevOps-инженеров, которые смогут развить и улучшить нашу инфраструктуру. Особенно это касается более экзотичных контуров и инструментов, о которых мы расскажем в следующих постах.
This media is not supported in your browser
VIEW IN TELEGRAM
Хотите создавать продукт, который обеспечивает право частной собственности на личные данные?
Мы немного рассказывали про Цифровой профиль раньше, и даже показывали его. А сейчас расширяем команду. Кстати, этот пост не только для разработчиков.
Кого приглашаем сейчас:
• Юрист
• Rust developer
• iOS разработчик
• Системный аналитик
• Менеджер по продукту
• Бизнес-аналитик
Мы создаём продукт, который даёт возможность безопасно сёрфить в интернете, защищать свои данные от злонамеренного использования и видеть свой цифровой след – аналог ДНК человека, в котором собрана вся онлайн жизнь.
Важно – можно не только изучать его, но и управлять им. Данные о каждом нашем шаге собирают разные компании и сервисы, иногда с нашего согласия, а чаще – нет. Зачастую данные уже не удалить, но прекратить делиться ими в один момент вполне возможно. Мы делаем это возможным.
Некоторые фичи продукта:
• специальные профили пользователя для анонимности в интернете;
• импорт данных из популярных сервисов;
• отзыв согласий на обработку персональных данных;
• защищённое хранилище данных;
• защита от профилирования: блокировка фингерпринтинга, подмена кук и других технологий, которые следят за нами.
Мы не любим, когда кто-то пытается навязать нам не только товары, но и мнение. Мы хотим в любой момент иметь возможность передумать, когда мы уже на что-то согласились (да, это не всегда возможно). Наконец, мы не считаем нужным для получения простой услуги заполнять анкету с датой рождения и телефоном.
Приходите, будет интересно.
Мы немного рассказывали про Цифровой профиль раньше, и даже показывали его. А сейчас расширяем команду. Кстати, этот пост не только для разработчиков.
Кого приглашаем сейчас:
• Юрист
• Rust developer
• iOS разработчик
• Системный аналитик
• Менеджер по продукту
• Бизнес-аналитик
Мы создаём продукт, который даёт возможность безопасно сёрфить в интернете, защищать свои данные от злонамеренного использования и видеть свой цифровой след – аналог ДНК человека, в котором собрана вся онлайн жизнь.
Важно – можно не только изучать его, но и управлять им. Данные о каждом нашем шаге собирают разные компании и сервисы, иногда с нашего согласия, а чаще – нет. Зачастую данные уже не удалить, но прекратить делиться ими в один момент вполне возможно. Мы делаем это возможным.
Некоторые фичи продукта:
• специальные профили пользователя для анонимности в интернете;
• импорт данных из популярных сервисов;
• отзыв согласий на обработку персональных данных;
• защищённое хранилище данных;
• защита от профилирования: блокировка фингерпринтинга, подмена кук и других технологий, которые следят за нами.
Мы не любим, когда кто-то пытается навязать нам не только товары, но и мнение. Мы хотим в любой момент иметь возможность передумать, когда мы уже на что-то согласились (да, это не всегда возможно). Наконец, мы не считаем нужным для получения простой услуги заполнять анкету с датой рождения и телефоном.
Приходите, будет интересно.
This media is not supported in your browser
VIEW IN TELEGRAM
В День защиты детей мы хотим поговорить о том, как важен баланс контроля и доверия. И на улице, и в интернете ребёнок может познакомиться с теми, с кем не стоит знакомиться, и увидеть то, что не стоит видеть. Важно, чтобы дети знали, как действовать в таких ситуациях, и доверяли мнению своих родителей.
Мы во Future Crew создаём сервисы не только для приватности взрослых, но и для безопасности детей в интернете, и мы учитываем мнения детей – в том числе мнения о разных сервисах, которыми они делятся в App Store и Google Play.
Рейтинг большинства приложений для родительского контроля низкий: дети не любят, когда ограничивают их свободу. Как и мы все. И решительно высказываются о том, чем они недовольны (орфография и пунктуация отзывов сохранены):
2Уважаемые разработчики. Я уверен, что не только мне, но и всем остальным пользователям вашего приложения не нравится присутствие контроля на телефоне. Подскажите пожалуйста, как его отключить без сообщения родителям и без блокировки телефона. Ставлю одну звезду. Если напишете совет изменю оценку.
Удалите приложение! Все мои друзья с этим приложением и меня бесит то что я например, не могу с другом поиграть вместе потому что он не может скачать Майн, потому что ему запрещают.
Телефон лагает, дети очень обиженны за лемит, и не хотят со мной разговаривать, мол:Ты и так всё знаёшь, через родительский контроль!Они не отвечают на звонки, веть у них истрачен лимит, перестали мне доверять!!!
ПОЙМИТЕ,МНЕ И МОИМ СВЕРСТНИКАМ НЕНУЖЕН ТАКОЙ СИЛЬНЫЙ КОНТРОЛЬЛЬ,ДОСТАТОЧНО ГИОЛОКАЦИИ
Для тех, кто впервые читает о родительском контроле в интернете: такие приложения защищают от нежелательного контента, позволяют управлять временем ребёнка в разных сервисах и определять, какие приложения ему можно скачать, а какие нет. Ещё одна полезная функция – возможность видеть местоположение ребёнка.
А как вы считаете, полезны ли такие приложения? Пользуетесь ли вы и какие впечатления у вас? И как вы решаете проблему баланса ребёнка между виртуальным и реальным мирами?
Мы во Future Crew создаём сервисы не только для приватности взрослых, но и для безопасности детей в интернете, и мы учитываем мнения детей – в том числе мнения о разных сервисах, которыми они делятся в App Store и Google Play.
Рейтинг большинства приложений для родительского контроля низкий: дети не любят, когда ограничивают их свободу. Как и мы все. И решительно высказываются о том, чем они недовольны (орфография и пунктуация отзывов сохранены):
2Уважаемые разработчики. Я уверен, что не только мне, но и всем остальным пользователям вашего приложения не нравится присутствие контроля на телефоне. Подскажите пожалуйста, как его отключить без сообщения родителям и без блокировки телефона. Ставлю одну звезду. Если напишете совет изменю оценку.
Удалите приложение! Все мои друзья с этим приложением и меня бесит то что я например, не могу с другом поиграть вместе потому что он не может скачать Майн, потому что ему запрещают.
Телефон лагает, дети очень обиженны за лемит, и не хотят со мной разговаривать, мол:Ты и так всё знаёшь, через родительский контроль!Они не отвечают на звонки, веть у них истрачен лимит, перестали мне доверять!!!
ПОЙМИТЕ,МНЕ И МОИМ СВЕРСТНИКАМ НЕНУЖЕН ТАКОЙ СИЛЬНЫЙ КОНТРОЛЬЛЬ,ДОСТАТОЧНО ГИОЛОКАЦИИ
Для тех, кто впервые читает о родительском контроле в интернете: такие приложения защищают от нежелательного контента, позволяют управлять временем ребёнка в разных сервисах и определять, какие приложения ему можно скачать, а какие нет. Ещё одна полезная функция – возможность видеть местоположение ребёнка.
А как вы считаете, полезны ли такие приложения? Пользуетесь ли вы и какие впечатления у вас? И как вы решаете проблему баланса ребёнка между виртуальным и реальным мирами?
Пользуетесь ли вы приложениями для родительского контроля?
Anonymous Poll
23%
Да, пользуюсь, в целом нравится
18%
Да, пользуюсь, но не очень нравится
31%
Не пользуюсь
21%
Я не родитель, но такие приложения поддерживаю
7%
Я не родитель, но такие приложения осуждаю
This media is not supported in your browser
VIEW IN TELEGRAM
На ЦИПРе в Нижнем Новгороде работают не только кожаные 😀
Если бы у вас был такой робот, чему бы вы его обучили?
Если бы у вас был такой робот, чему бы вы его обучили?
This media is not supported in your browser
VIEW IN TELEGRAM