Уже несколько раз попадалось видео очередного миллиардера, ставшего экспертом во всех областях. На этот раз человек рассуждает об ИБ, ИТ и ИИ, мешая в одну кучу всё, что только можно. Решил немного прокомментировать данный отрывок. Видео прикладываю для понимания тех, кто его ещё не видел.

1. «В мире не останется ни одного пароля, который может выдержать против квантового компьютера» - тут, судя по всему, смешаны подбор паролей (т.е. bruteforce-атака) и проблемы устойчивости современных шифров к атакам с использованием квантового компьютера. С первым можно успешно бороться минимальными силами, применяя меры, придуманные десятилетия назад – ограничение на число попыток ввода пароля, мультифакторную аутентификацию и т.д. Мощность атакующей системы никак не влияет на её способность обходить эти меры защиты. Пусть даже компьютеры станут мощнее в триллионы раз, если у вас включена мультифакторка, подобрать ваш пароль они не смогут (Кстати, повод пойти и включить её). Со вторым – чуть интереснее. Про постквантовую криптографию как-нибудь напишу отдельный пост, но проблема эта тоже уже решена.

2. «ИИ имеет свойство быть децентрализованным. Он сейчас может находиться на всех компьютерах мира, как на блокчейне» - это уже что-то из фантастических фильмов. Скайнет, Альтрон или что-то такое – что ушло в сеть, как вирус, проникло во все устройства, подключенные к интернету, и что человечество никак не может контролировать… Тут могу успокоить – насколько я знаю, «децентрализованного ИИ, как на блокчейне» не существует. Существует децентрализованный ИИ на блокчейне) И речь, в этом случае, не идёт про то, что ИИ расползается по сотням устройств в сети – серверная часть там не децентрализуется, просто люди предоставляют мощности своих компьютеров для обучения нейронок (которые, на самом деле, ИИ являются очень условно), а взамен получают криптовалюту. Создателям нейронок – мощность, сравнимая с мощностью суперкомпьютера без необходимости аренды этого суперкомпьютера у правительства или корпораций, а пользователям – дешевая крипта. Заразить посторонние устройства таким майнером против воли владельца (чтобы получать деньги за майнинг вместо него), в теории, можно, но большинство современных антивирусов вполне успешно с таким борются.

В целом, суть видео можно свести к одному – «если вдруг, кто-то сейчас совершит технологический прорыв на десятки лет за один день, создаст полноценный ИИ (условный ASI, если такое, вообще, возможно на горизонте в десятки лет), мы окажемся в жопе». Но, в целом, это верно для чего угодно в любой период истории. Если бы кто-то совершил технологический прорыв и создал ядерное оружие (ещё и с возможностью доставки на самолётах) в Первую Мировую или, вообще, в эпоху Наполеоновских войн – у мира было бы очень много проблем. Вопрос в том, что это невозможно – прогресс во всех развитых странах идёт примерно нога в ногу, и, пока одни нейронки учатся ломать системы, другие, точно так же, используются для их защиты.

#безопасность #кибербезопасность #ИИ #AI

В предыдущем посте я упомянул проблему шифрования в эпоху появления квантовых компьютеров. Сейчас попробую объяснить на пальцах, что это за проблема, и почему она касается лично вас.

Начнём издалека… Каковы основные требования к современным шифрам?

1. Криптостойкость (т.е. надёжность, устойчивость ко взлому) – шифр должен быть не взламываемым на протяжении нескольких человеческих жизней с текущим развитием технологий. Тут стоит оговориться, что ни одного реального для эксплуатации шифра, который был бы абсолютно надёжным, взлом которого был бы исключён даже в теории, пока изобретено не было. Но криптографы договорились, что, если шифр может устоять сотню-другую лет, если его будет взламывать самый мощный из существующих суперкомпьютеров – такой шифр можно считать достаточно стойким.

2. Алгоритм шифрования/дешифрования не должен слишком нагружать ваш девайс – если на зашифровку сообщения «Hello world!» у вас уйдёт месяц, не думаю, что вам будет дело до стойкости этого шифра.

3. Ключ для шифрования/дешифрования должен иметь фиксированную длину и не зависеть от длины шифруемых данных. В качестве примера того, почему нарушение этого критерия делает современные криптоситсемы нежизнеспособными, можно глянуть, например, вот эту статью про шифр Вернама.

А теперь, когда разобрались с основными требованиями к шифрам, возвращаемся к нашим квантовым баранам… Итак, квантовый компьютер имеет производительность в миллионы раз превышающую производительность обыкновенных суперкомпьютеров. Пока, насколько я знаю, они могут выполнять довольно ограниченный набор операций, но, в целом, уже давно (первая конференция на эту тему прошла аж в 2006 году) криптографам пришло понимание, что рано или поздно эти самые квантовые компьютеры начнут использоваться для дешифровки шифров. Пусть даже до массового пользователя эта технология доберётся не скоро, иностранные разведки не дремлют, а они доступ к таким ресурсам получат одними из первых.

И, если раньше увеличение мощностей злоумышленников компенсировалось увеличением мощностей защищаемых систем (то есть, люди просто жертвовали 2 и 3 пунктом в угоду первому), то, когда речь идёт о квантовых компьютерах, сделать это уже не выйдет – для того, чтобы обычные шифры остались достаточно устойчивыми к квантовым злоумышленникам, нагрузка на ресурсы и длина ключа должна возрасти тысячи, если не миллионы, раз. То есть, загрузку сайтов, например, (да, в этом процессе тоже участвует шифрование) вы будете ждать пару часов, пока не купите свой персональный квантовый компьютер.

Решений этой проблемы, на самом деле, найдено немало (кстати, любопытно, что многие русскоязычные ресурсы в этом вопросе говорят об отсутствии решения, ссылаясь на википедию, которая, в свою очередь, опирается на статью 2009 года) – есть варианты с усложнением применяемых алгоритмов, есть полностью новые стандарты. На самом деле, главная проблема сейчас – это запоздалое появление единого признанного мировым сообщество стандарта. Google долгое время использовали свои алгоритмы, Apple – свои. Только в этом году NIST (обычно, именно их стандарты становятся общепризнанными, либо, если мы говорим о каких-нибудь ГОСТовых алгоритмах, то стандарты NIST-а часто берутся за основу своих собственных, импортозамещённых стандартов) представил несколько основных стандартов постквантового шифрования. Учитывая, что с момент принятия единого стандарта до его повсеместного внедрения, обычно, проходит несколько лет, а некоторые сферы криптографии пока так и остались неохваченными этим стандартом, в ближайшей перспективе это может аукнуться не очень хорошо.

#безопасность #шифрование #квантовые_компьютеры

Добрался я, наконец, до нашумевшего вчера законопроекта, «Который обяжет операторов предоставлять РКН информацию о пользователях VPN”… В принципе, всё оказалось примерно так, как я и предполагал, прочитав заголовки – в текущей редакции закон никак не позволит выявлять пользователей VPN, СМИ раздули из мухи слона. Но в далёкой перспективе, учитывая\ изощрённый разум законодателей в РФ, последствия этот закон может иметь не очень приятные.

Давайте по порядку. Что случилось?

Вчера СМИ облетела новость о том, что РКН разработал приказ, который позволит ему вычислять всех пользователей VPN, которые используют его для обхода блокировок.

По сути, операторы должны будут предоставлять в РКН информацию о том, какой IP-адрес закреплён за тем или иным пользователем, а потом передавать ему логи, когда какой адрес подключался к каким ресурсам.

Вопросы начинаются уже здесь. Если у РКН будет информация, которая позволит ему соотносить IP и конкретного пользователя – зачем ему логи от операторов? Эти же логи он сможет собирать со своих ТСПУ. Тут можно обратить внимание не любопытный момент в документе – статистику РКН по обеспечению операторов ТСПУ. Официальная инфа – 493 оператора из 1981. Учитывая, что РКН ещё в 23 году отчитывался о 100% покрытии ТСПУ, эти цифры звучат странно. Возможно, опять Потёмкинская деревня, когда в СМИ одни цифры озвучиваются, а в реальности – другие. Но, скорее всего, в данном приказе речь идёт и о виртуальных операторах, типа Yota, которые не имеют своего оборудования и пользуются взятыми в аренду чужими мощностями.

Следующий вопрос, который возник у меня, как только я увидел заголовки новостей – «А зачем они будут просто собирать инфу, если могут блокировать?» Если они могут определить, что пользователь делает а-та-та, то почему просто не запретить ему этим заниматься? Если они не могут этого определить – тогда какой смысл в сборе этих логов?

Последний вопрос адресован уже не законодателю, а СМИ, которые понесли эту информацию – а как РКН должен будет определять цель использования VPN? Почти любой VPN шифрует траффик пользователя, вплоть до информации о назначении этого траффика. По сути, для любого ТСПУ это такой чёрный ящик – доказать, что VPN используется для посещения запрещённого в РФ Фикбука, например, а не просто для защиты своего траффика или для удалённой работы на иностранную компанию, у РКН не выйдет.

В общем, реальные проблемы этот законопроект может составить только в том случае, если в какой-то момент VPN решать запретить, как класс продуктов – вообще, для любых целей – и штрафовать пользователей в случае, если будет обнаружена попытка его использования, даже если попытка была заблокирована… Но в это я, всё ещё, верю слабо – какие бы одарённые люди не сидели в РКН, подобный уровень идиотизма, хочется верить, не доступен для них.

Но, кстати, к разговору о гениальности законодателей - можно вспомнить Бразилию, где их местный РКН даже превосходит российский.

Недавно он, например, объявил штрафы в 9000$ за доступ к Твиттеру через VPN. Вопросы выше актуальны и для них. Вроде, никто этот штраф не получил. Твиттер разбанили уже через месяц...

Это, так сказать, напоминание - российским регуляторам есть, куда тупеть)

Что-то давно я не писал тут о своей подборке материалов в помощь начинающему ИБшнику.

А ведь работа над ней продолжается, обновляю её регулярно. Из последних крупных дополнений:
1. Добавлен раздел по документации, обязательной к изучению,
2. Создана коллекция сайтов BugBounty с сортировкой по странам.
3. Переработан раздел, посвящённый стендам - расширен список продуктов, которые являются open-source или предоставляют бесплатные демо-версии своих продуктов для тестов/изучения. Добавлена схема простейшего универсального стенда, который можно поднять на этих продуктах и поотрабатывать, сразу все основные аспекты ИБ - развёртывание и настройку средств защиты, пентест и реагирование на инциденты. (Подробные сценарии работы со стендом пропишу в ближайшее время)
4. Для удобства ознакомления с последними дополнениями, вынес краткое описание последних пяти крупных изменений в начало подборки.
5. Создан раздел с МОК-интервью. Контента там пока мало, но скоро наполню. (Одно интервью уже записано, надо только найти время смонтировать)

#кибербез #войтивАйТи

Чечня - один из самых свободных регионов РФ!

Именно к такому выводу можно прийти, глядя на карту блокировок YouTube от проекта "На связи". Ведь в Чечне, наряду с ещё десятком регионов РФ видеохостинг остаётся стабильно-доступным даже сегодня...

Регуляторы в РФ любят подсматривать за своим старшим восточным братом (У каждого свои предпочтения. Кто мы такие, чтобы осуждать?)... Поэтому, когда мой друг (назовём его Геннадий) поехал на Новый Год в Китай и попросил помочь ему прорубить окно в мир через Великий Китайский Файерволл, я не мог упустить возможности поэкспериментировать. Геннадий протестировал несколько серверов в ЕС и СНГ у разных хостеров, разные алгоритмы и конфигурации серверов. Какие из новостей ниже - хорошие, а какие - нет, решайте сами, но вот краткие результаты экспериментов:

1. Качественные российские алгоритмы обхода блокировок (вроде той же AmneziaWG) вполне успешно обходят и китайское оборудование с их алгоритмами DPI.

2. Китайский интернет всё ещё живёт по принципу блэклиста - "Всё, что не запрещено явно - разрешено". Не думаю, что это когда-нибудь изменится. Хочется верить, что и РКН не решит идти до конца, переходя к вайтлисту, погружая рунет в полную изоляцию.

3. На благо Китайского цензурного ведомства трудится огромное количество доблестных сотрудников, которые прописывают запрет на потенциально проблемные хостинги, VPS на которых люди приобретают для разворачивания своих VPN-серверов. Скорее всего, ребята просто блочат диапазоны адресов, выданные таким хостингам, целиком. По крайней мере, это единственное логичное объяснение, которое пришло мне в голову - большая часть серверов, протестированных Геннадием оказались просто недоступны по IP. Зато, сервер от небольшого хостера в одной из стран СНГ - вполне неплохо сработал (Тестировались одинаковые настройки для разных серверов, а потом решили не мудрить и просто простучаться по ICMP и SSH до этих серваков. Так что, дело, точно, не в протоколе - сервера недоступны, именно, по IP)

4. Московский сервер, кстати, не сработал - не доверяет россиянам их восточный сосед!

#vpn #РКН #блокировки

"Жизнь коротка. Заведи интрижку!" (с)

Какие ассоциации возникают у большинства со словами "последствия утечки данных"? Штрафы, банкротства, вымогательство? А как на счёт смертной казни или массового Роскомнадзора?

Вообще, я наивно полагал, что институт репутации ИБ за пределами РФ присутствует хоть в каком-то виде, но на днях наткнулся на любопытную историю - Netflix выпустил сериал, посвящённый утечке данных, которая привела к последствиям, описанным выше. Решил немного копнуть эту тему, и выяснилось, что компания, история которой рассказана в этом сериале не только не обанкротилась полностью за пару месяцев, но и продолжает вполне успешно вести бизнес до сегодняшнего дня.

Итак, что случилось? В 2002 году основана компания Ashley Madison, которая являлась сайтом для знакомств замужних людей. Она гарантировала 100% приватность, анонимность, удаление данных по запросу и прочее, прочее, прочее... А спустя 13 лет, когда число пользователей приложения достигло нескольких десятков миллионов, компания была взломана, и данные огромного количества людей попали в руки злоумышленников. Те сначала начали шантажировать компанию, вымогать у неё деньги за непубликацию базы данных, а, когда та отказалась, слили данные пользователей в сеть. Более того, были слиты, в том числе, и данные, которые компания обязалась удалить. И даже те данные, за удаление которых пользователи заплатили.

В течение месяца было зарегистрировано несколько случаев самоубийств, которые полиция связала напрямую с утечкой. Плюс, в слитой базе оказалось 1200 учёток граждан Саудовской Аравии, где измена карается смертной казнью...

Общую моральную сторону ситуации предлагаю откинуть. Мне, скорее, интересен этот инцидент, именно, с точки зрения ИБ и последствий её игнора. Как итог, компании пришлось заплатить по 30 центов за каждую утёкшую учётку, временно сменить своё название и заменить свой провокационный девиз "Жизнь коротка. Заведи интрижку!" Но спустя буквально пару лет всё вернулось назад - и название, и девиз, и пользователи... Конечно, последствия для компании были, и были они относительно серьёзными, но для конторы, которая исходя из своей концепции должна ставить приватность пользователей на первое место, а, по сути, проигнорировала её, я считаю, всё обошлось малой кровью.

Великая Персия заботится о тебе!

Тут подвезли любопытный отчёт о том, как цензура интернета работает в Иране...

Хотя, общие цели и методы похожи (иппортозамещение, блокировки сайтов и VPN-протоколов, использование "ТСПУ", контролируемого единым регулятором (хотя, в случае Ирана таким регулятором выступает местный Ростелеком) и т.д. и т.п.), в целом, технологический уровень интернет цензуры Ирана, судя по этому тексту, в начале 2022 году был сопоставим с российским уровнем цензуры конца 2022-начала 2023. Но после смерти Махсы Амени и последовавших за ней событий, технологии там внедрили куда более "весёлые", чем в РФ, со всей её военной цензурой (хотя, в декабре 2024 года новый президент резко откатил всё назад - непонятно, надолго ли)

Из любопытных моментов, до которых в РФ пока не дошли:

- Блокировка иностранных DNS-серверов. Пользователям приходится поднимать собственные промежуточные сервера, которые через зашифрованный канал ходят с запросами на иностранные. В целом, ничего смертельного нет, но приятного мало)
- Из куда более серьёзных мер - система начинает блокировать IP-адрес, если видит на него большое количество неизвестных UDP-пакетов на один и тот же порт. В целом, в этом есть смысл, так как позволяет блокировать даже небольшие личные VPN-сервера. Способы обхода тоже найдены. Например, циклическое изменение порта подключения. Плюс, смена IP-адреса сервера - не слишком сложна и не слишком проблемная операция. но, так или иначе, гемороя в обход блокировок добавляет.
- Из предыдущего пункта следует, что правительство выступает в роли Санты и ведёт списки "Плохишей" и "Послушных пользователей", то есть, списки IP-адресов, подключение к которым разрешено, запрещено, а так же отдельный список адресов, траффик на которые анализируется наиболее пристально, прежде чем перенести их в "белый" или "чёрный" списки.
- Какое-то время по сайтам из "серого" списка активно работали методом активного зондирования - если у регулятора было конкретное предположение, что за протокол там используется, на сервер посылали запрос с иммитацией запроса от соответсвующего клиента. И, при получении ожидаемого ответа, сервер улетал в бан.
- В целом, регулятор действует довольно реакционно. Так, например, он активно сопротивляется внедрению новых стандартов, типа HTTP\3. И минимально (по сравнению с IPv4) фильтрует трафик IPv6.

Как я и сказал, ситуация очень близка к российской, но по пути интернет-цензуры, Иран РФ успел обогнать. Не то, чтобы в таком состязании хотелось бы побеждать, да и, в принципе, учувствовать, но рукожопость и лень российских регуляторов не могут не радовать)

Итак, собрались вы в отпуск, и решили поднять свой собственный VPN-сервер!.. На что обращать внимания при выборе сервера под эту задачу?

1. Способ оплаты. В сегодняшних условиях этот пункт ключевой. Вообще, на мой взгляд, лучший вариант – оплата криптовалютой (Или иностранной картой, если вы ищете хостинг для РФ. Ведь, если компания принимает оплату в рублях – значит, у неё есть какое-то представительство в РФ)

2. Вид сервера. Тут всё банально – под VPN, в целом, не нужны какие-то замороченные сервера (VDS, Cloud, GPU сервера – всё это ненужная переплата). VPS (Virtual Private Server) – лучший выбор.

3. Технические характеристики. Тут многое зависит от того, сколько человек будет пользоваться сервером, какие протоколы использоваться и т.д. Но, по опыту скажу, для личных серверов, обычно, хватает 2 ГБ RAM и 1 ядра CPU. Если сервер будет с 4 GB и 2 CPU – можно на нём устраивать VPN-вечеринку со всеми друзьями. Хранилища хватит гигабайт на 10-15.

4. Пропускная способность. Самый, пожалуй, интересный пункт, особенно, в условиях просмотра видео и скачивания файлов через VPN. Самая большая проблема в том, что каждый хостер указывает это значение по-своему. Кто-то считает и входящий, и исходящий траффик, кто-то – траффик только в одну сторону. Кто-то указывает «Безлимитный» (при условии честного использования, не уточняя, что в его понимании это самое «честное использование»). Тут надо понимать, что траффик, при использовании VPN, будет примерно одинаковый в обе стороны. По моим подсчётам, в среднем люди тратят по 250 ГБ/месяц на человека. Лучше прикинуть ваше личное потребление и взять с запасом, минимум, х2.

5. Скорость. Тут вопрос в том, будете вы использовать сервер в одиночку или с друзьями. Если первый вариант – скорее всего, 100 Мбит/с вам будет за глаза (если у вас не подключен более быстрый инет, конечно). Если второй – лучше поискать варианты на 1 или 10 Гбит/с.

6. Стабильность работы и пинг до интересующих вас серверов. Это то, что не выйдет узнать до теста сервера. Поэтому, лучше всегда сначала оплачивать месяц, а уже потом, продлевать на год/два/три, если всё устроит.

7. Ну и, конечно, стоимость. Тут логика простая – чем мощнее сервер, тем дешевле он стоит на человека. Большинство вариантов начинается с цены в 3-5 евро/месяц. Но есть, например, вот такой нидерландский хостинг, на котором можно найти VPS за 1 евро/месяц. Вариант самый минимальный, так сказать, семейный (там лимит всего 2 ТБ месяц на загрузку/выгрузку), но 4-5 человек на нём вполне могут разместиться.

Ещё из личных рекомендаций могу предложить вот этот хостинг (на нём, к сожалению, есть KYC), а так же сервис для подбора хостинга по ключевым параметрам (Вариант для ленивых, там не так много хостингов в базе, но иногда выдаёт неплохие результаты)

#vpn #блокировки

Россияне дуреют с этой прикормки...

Продолжаем подготовку к отпуску, и сегодня разберём, как человек, без каких-либо познаний в IT, может настроить свой VPN-сервер.

На самом деле, вариантов этого существует не мало – есть куча инструкций в интернете, которые рассказывают, как за пол часа сделать это, просто копируя команды и вставляя их в SSH-клиент. Но что, если я скажу, что сделать это можно за пару минут, не устанавливая никакие доп. программы, не заморачиваясь с протоколами и т.д. и т.п.?

Справиться с этим поможет замечательное ПО, появившееся на хакатоне от Роскомсвободы в 2020 году – AmneziaVPN. Думаю, многие знают это приложение, как удобный VPN-клиент, но даже не догадываются, что эта же самая программа позволяет им развернуть собственный сервер за пару нажатий на экран смартфона.

Итак, давайте по порядку. Что вам надо сделать, чтобы получить личный VPN-сервер (на примере одного из рассмотренных в предыдущем посте хостингов)?

1. Приобретаете сервер на ваш выбор. Для личного использования там подойдёт, например, сервер из тарифов «Budget VPS Christmas 2024» или «Micro VPS».
2. После оплаты выбираете операционную систему – например, Ubuntu 22.04 или 24.04 – хостинг автоматически установит вам её на ваш сервер.
3. После установки ОС на ваш E-mail прилетит письмо с IP-адресом, логином и паролем от сервера. Больше на сайте хостинга вам ничего не надо – не забывайте только периодически заходить и оплачивать сервер.
4. Переходите в приложение AmneziaVPN на вашем смартфоне или ПК. Нажимаете там на «+», выбираете «Self-hosted VPN», и вводите данные из письма, пример в заголовке… (Адрес нужен до запятой)
5. Дальше приложение спросит, какой у вас уровень блокировок в стране – тут лучше либо выбрать «Максимальный», либо «Я выберу протокол сам», и на следующем экране выбрать AmneziaWG или xRay… Дальше приложение само выполнит все необходимые настройки и развернёт нужные протоколы.

Готово! У вас есть собственный VPN-сервер, на настройку которого ушло минут пять (при чём, большую часть времени вы просто ждали, пока установится ОС и настроится приложение). На самом деле, кому бы не объяснял, как это делается, все думают, что это гораздо сложнее)

P.S. Да, Амнезия не лишена минусов – у неё кривая админка, которой не удобно пользоваться, когда на сервер больше 10 человек, ей необходимо предоставлять рутовые пароли от сервера и т.д… Но из готовых решений из коробки, которыми могут пользоваться люди, не обладающие никакими познаниями в IT это, пока, лучшее решение, что я встречал. Плюс, приложение доступно под все платформы – вплоть до СмартТВ или роутеров (не знаю, зачем они вам в отпуске, но кто я такой, чтобы осуждать ваши вкусы?)

#vpn #блокировки

Отвлечёмся от темы VPN и кибербеза и снова вернёмся ко второму слову в названии канала.

Одна из моих любимых историй про туризм (которая, к сожалению, произошла не со мной)...

Итак, представьте, вы обычный ноунейм-парень, который путешествует по миру. В один роковой день вы покупаете билеты в небольшую страну с населением в пару миллионов, бронируете недорогой отель, и прилетаете туда. Странности начинаются ещё на паспортном контроле, когда вам вдруг вручают бутылку самого лучшего местного вина...

Выходя из аэропорта вы внезапно обнаруживаете радостного мужчину с табличкой, на которой написано ваше имя (вы впервые в этой стране, никто вас тут ждать не может, трансфер до отелы вы тоже не бронировали). Вы удивляетесь, но мужчина ведёт вас к люксовому автомобилю, сажает него, не отвечает ни на какие вопросы и просто протягивает вам записку "Готовься к сюрпризам". Машина отъезжает от аэропорта, и к ней пристраивается кортеж, которому позавидуют некоторые лидеры стран. А, когда авто доезжает до улиц города, на экранах там появляется ваш огромный портрет с надписью "Мы, наконец, дождались его!"

Вы доезжаете до дорогого отеля, у которого вас встречает оркестр и премьер-министр этой самой небольшой страны... По-моему, звучит фантастически. Но 7 лет назад это случилось. И не где-нибудь, а в Грузии.

В тот момент страна активно развивала туристический бизнес, но в один момент власти поняли, что, именно, как туристическое направление страна известна, в первую очередь на постсоветском пространстве. Поэтому, решили устроить пиар-акцию на европейскую аудиторию, и провернули описанное выше с туристом из Ирландии. Тем более, что так удачно подвернулся повод - впервые за всё время счётчик туристов за год в стране должен был перевалить за 6 миллионов - вот и решили подгадать.

P.S. В целом, всё это более-менее официально, проверяется по рекламному ролику, ради которого всё и затевалось. Есть ещё неофициальная часть истории из разрядов "байки гида" - премьер-министр подсуетился во время встречи и распорядился оформить шестимиллионному туристу гражданство страны без проволочек и доп.условий. На огонёк слетелись частные компании, которые решили попиариться на инфоповоде. Строительная фирма подарила новоиспечённому гражданину жильё, а авиакомпания - пожизненный "проездной" с его Родины, Ирландии до его нового дома)

Пытаюсь успеть домонтировать обещанное уже полтора месяца назад мок-интервью до отпуска.

Получилось, вроде, неплохо. Особенно, для первой пробы. Вдруг осознал, что полноценным монтажом в серьёзных программах (CapCut за такую не считаем) раньше не занимался (не смотря на весь мой опыт с пакетом Adobe, в целом и AE, в частности)

Что ж... Буду осваивать Ютуб (да-да, очень вовремя).

Наконец, закончил монтаж первого (если я ничего не пропустил в инете) мок-интервью по сетевой безопасности на русском языке.

Ролик уже сейчас можно посмотреть на YouTube по ссылке.

Пообщались с Никитой Калязиным, прошлись по самым часто встречаемым вопросам на собеседованиях на позицию сетевого безопасника. Ориентировались на позицию уровня junior-junior+

Резюме Никиты доступно на LinkedIn и hh.

На всякий случай, пара уточнений:
1. Для тех, кто начинает свой путь в ИБ - интервью идеализированное, у Никиты за плечами уже год опыта работы по специальности ИБ. Вы можете получить первую работу, показывая меньший уровень знаний.
2. Для тех, кто планирует собеседовать сотрудников по направлению ИБ - как я и сказал в ролике, вопросы, на мой взгляд, подобраны далеко не самые лучшие (скорее, самые частые, которые встречаются на интервью по сетевой безопасности). Ориентироваться на это видео при составлении вопросов для своего интервью не советую.

P.S. Так же, напоминаю о подборке материалов для старта карьеры в информационной безопасности.

Чем больше читаю посты в разных блогах про образовательные игры по ИБ на английском, тем чаще возвращаюсь к мысли о том, чтобы вернуться к наработкам своей дипломной работы, найти нормального геймдизайнера и выпустить, наконец, мою многострадальную настолку...

#кибербез #инфобез #образование

Новая эра спама в Телеграм!!!

На днях я получил несколько фишинговых сообщений… Вот это ни фига себе новость, правда?) Понятно, что, если б это были простые спам-рассылки, я б на них даже внимания не обратил. Но тут нарисовалось кое-что новенькое для меня.

Немного контекста и небольшой экскурс в мир TON-а. Думаю, многие, даже не сильно близко соприкасающиеся с миром криптовалют, слышали, что Телеграм довольно тесно с этим миром связан. Святой Павел даже запустил собственную криптовалюту и вот это вот всё. И, по сути, в приложение Телеграм, через которое вы, скорее всего, читаете этот пост даже встроена небольшая криптобиржа - @wallet с двумя криптовалютными кошельками.

Почему кошелька целых два? Потому что они используются для разных целей. Первый – это обычный (кастодиальный) криптокошелёк, как сотни других. Там можно хранить всего несколько валют – Bitcoin, USDT, TON (крипта, созданная командой Телеграма) и ещё 6 самых известных криптовалют, запущенных в экосистеме ТГ. А вот со вторым кошельком всё куда веселее. Собственно, я не зря уточнил, что на первом кошельке доступны «самые известные криптовалюты, запущенные в ТГ» - дело в том, что ТГ (а, точнее, TON) позволяет запускать собственные криптовалюты всем желающим. И второй кошелёк предназначен, как раз, для них. При чём, проверки этих криптовалют никто не проводит (это называется «некастодиальный кошелёк» - немного не сильно нужной информации), никакого финансового обеспечения для них тоже не требуется.

Так вот, кошельки ТГ я использовал не сильно активно. И пользовался всегда только первым. Но, так случилось, что пару дней назад у меня нарисовалось несколько крупных транзакций на втором, том самом, некастодиальном кошельке (спасибо Павлу Второму). А особенность этих кошельков в том, что транзакции по ним открыты – каждый может увидеть объём транзакций и номер кошелька (к счастью, ник в ТГ, хотя бы, скрыт). И сразу после этих переводов мне посыпался спам в виде переводов! Звучит на первый взгляд красиво – «всегда бы так – получать крипту в виде спам-сообщений!» Но, понятно, всё не так радужно. Как я писал выше, для запуска на базе TON-а криптовалютам не требуется никакое денежное подкрепление – то есть, крипта может стоить ровно 0. Плюс, такие монеты не присутствуют ни на одной бирже – их, банально, никак не перевести ни в какие другие активы.

Но, при всём при этом, на их название и описание нет никаких ограничений – поэтому, они вполне могут выглядеть, как вполне реальные активы. Или содержать ссылку на «сайт для вывода этих монет, к которому всего-то надо подключить свой кошелёк!»

И, в целом, понятно, что я сам залез туда, где подобного вида фишинг возможен. И нормальный человек туда вряд ли полезет) Но, при этом, мир Web3-технологий, в целом, и криптовалют, в частности, создаёт новый плацдарм для мошенников просто за счёт того, что традиционные средства кибербезопасности (такие, как, например, спам-фильтры) там, зачастую, просто, не работают…

В продолжение темы новых вызовов, которые время ставит перед специалистами по кибербезу...

Европол (МВД всея ЕС) снова зашевелился и по итогам прошедшего форума, посвящённого безопасности финансов в эру квантовых вычислений, выдал рекомендации по скорейшему переходу на пост-квантовое шифрование (подробнее об актуальности проблемы я писал вот тут)

Ведомство сейчас опасается, что злоумышленники могут просто начинать собирать информацию сейчас, а расшифровывать её через 10-15 лет, когда получат доступ к мощностям квантовых компьютеров, способным ломать современное шифрование. Собственно, лично ваши данные вряд ли кто-то станет хранить целых 15 лет, чтобы с некоторой вероятностью получить к ним доступ, а вот данные каких-нибудь крупных компаний и госучреждений на таком отрезке времени вполне могут иметь ценность.

#безопасность #хакер #кибербезопасность