#КиберМем

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT

А вот и оно – то самое интервью, которое мы записали с Женей еще на прошлой неделе. Очень уютно посидели и откровенно поболтали о карьере, образовании, дисциплине и случайностях.

Для понимания, гость этого интервью успел и колледж в меленьком городке закончить, и в армию сходить, и в администрации поработать, и в крупном интеграторе засветиться, и высшее образование получить, и в итоге дойти до роли СЕО целой компании.

А еще у Жени, как я и сказал в самом конце ролика, есть дар как будто мозг устроен так, что при ответе на любой вопрос, он пытается своими словами выдать максимальную пользу для тех, у кого эта тема болит.

В общем, от слов к делу – вэлкам к просмотру.

Ссылки на интервью:
- 📹 Youtube
- 📺 VK Video
- 📺 Rutube

Убийца паролей

Около 4 лет назад, когда этот канал только появился на свет, я вам уже рассказывал про эру без паролей и кажется вот настал момент, когда она наступила. И на нашем последнем подкасте с Женей мы даже вскользь упомянули об этом, обсудив тот самый Passkeys. Там мы как-то быстро замяли эту тему, поэтому чувствую за собой должок, так что вот вам пост. Попробую описать все понятно и без лишней духоты, как вы любите.

Так вот, сколько бы безопасники не повторяли мантру про сложные и уникальные пароли, люди продолжают игнорировать эти простые правила. То пароль «123456», то одна и та же комбинация на почте, в соцсетях и на сайте доставки пиццы. И вот уже очередная компания ловит утечку, расследование и очень дорогие последствия. Например, как Транспортная компания KNP, которая успешно работала 158 лет до тех пор, пока один из сотрудников не поленился придумать достаточно сложный пароль.

И людей можно понять – учитывая, сколько сервисов мы используем ежедневно, очень легко устать от постоянной необходимости постоянно выдумывать хитровыделанные пароли. А еще их надо где-то хранить, и постараться не биться головой об стену, когда ты раз за разом вводишь свой 13-значный пароль, а система отказывается тебя впускать и предлагает написать девичью фамилию матери. И вот нам на помощь пришла та самая технология.

Passkeys – это способ входа в аккаунты вообще без пароля (ну почти, если не считать первый раз). Вы входите так же, как разблокируете телефон: лицом, отпечатком пальца или PIN-кодом. При этом сайт не знает ни вашего отпечатка, ни лица, ни другой информации о вас. Он знает только одно: вы смогли криптографически доказать, что это действительно вы.

Когда вы регистрируетесь на сайте, устройство создаёт пару ключей: публичный и секретный. Публичный отправляется на сайт и хранится там, а секретный остаётся только на вашем устройстве и никуда не передаётся – вообще никогда. При входе в аккаунт, сайт запрашивает “подпись”, ваше устройство проверяет вас с помощью Face ID или отпечатка, а затем подписывается секретным ключом. Сайт проверяет подпись с помощью второй части ключа и пускает вас внутрь. Всё. Пароля в этой схеме просто не существует.

Из этого вытекает главный плюс passkeys: красть здесь нечего. Нельзя подсмотреть пароль, нельзя ввести его на фейковом сайте, нельзя слить базу и радостно продать её в даркнете. Даже если злоумышленник полностью скопирует сервер, он получит только публичные ключи – а они сами по себе бесполезны. Плюс у каждого сайта свой отдельный ключ, так что взлом одного сервиса не тянет за собой остальные.

Отдельный момент, который многих пугает, – биометрия. Тут можно выдохнуть: лицо или отпечаток никуда не отправляются. Они используются только локально, чтобы разблокировать секретный ключ на устройстве. Для сайта вы всё ещё просто набор криптографических доказательств. А если телефон потерялся, passkeys можно восстановить через облачную синхронизацию Apple или Google и отозвать доступ старого устройства. Но лучше устройство не терять, само собой.

Именно поэтому passkeys сейчас активно продвигают Apple, Google и Microsoft. Это редкий случай, когда удобство и безопасность действительно идут рука об руку. Да, технология ещё не везде внедрена (но уже много где, например, в том же Телеграме). Да, иногда приходится откатываться к старым методам входа. Но направление уже понятно.

А для тех, кому хочется углубиться в детали – вот пара технических разборов: вот этот и вот этот.

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT

Держите, кстати, полезный нейрослоп на тему того, как разговаривать с бизнесом, пытаясь донести ценность того или иного средства защиты или процесса в ИБ.

Новоиспеченным Цисам, бизнес-партнерам и архитекторам должно быть полезно.

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT

Всех с праздником ❤️

#КиберМем

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT

Извините, не смог сдержаться. Канал вот-вот может превратиться в мемник.

#КиберМем

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT

Опять эти корпорации зла

Многие пользуются айфонами просто потому что это удобно и комфортно (это я) – понты красивый UI, понты приятные материалы, понты минимум глюков и багов. Да знаю я про существование Пикселя. Но есть люди, которые пользуются айфонами, пребывая в иллюзии, что техника Apple – это “приватно и безопасно по умолчанию”. Кто-то думает, что на айосе нет вирусов (эту тему мы уже успели обсудить), а кто-то думает, что корпорация за ним не следит (внезапно).

Да, iOS сама по себе – достаточно безопасная операционка и Apple действительно заботится о том, чтобы ваши данные были в сохранности, но не нужно забывать о том, что вы пользуетесь продуктом корпорации. А данные пользователей – это самый лакомый кусочек.

Часть настроек в вашем айфоне включены не ради вашей безопасности, а ради аналитики, рекламы и улучшения сервисов. И именно они тихо собирают данные, расходуют батарею и расширяют поверхность атаки (даже если мы не воспринимаем корпорацию, как врага). Собственно, давайте обсудим, что вы можете отключить прямо сейчас в настройках своего айфона, чтобы сделать его безопаснее именно для вас.

Первая зона риска – Safari. В настройках, в списке приложений выберите Safari. Найдите раздел с дополнениями, там вы увидите пункт с конфиденциальными рекламными отчётами. Эта опция нужна не вам, а рекламной экосистеме: она увеличивает объём данных, которые собираются о вашем поведении в браузере. Отключите ее, чтобы снизить утечки метаданных и ограничиить доступ к чувствительной информации вроде активности, сообщений и микрофона.

Вторая настройка прячется в Apple ID. Откройте профиль, перейдите в раздел личной информации и найдите предпочтительный способ связи. По умолчанию там включены анонсы, а также уведомления от приложений “Музыка” и “Телешоу”. Эти опции собирают данные о ваших действиях и интересах, чтобы точнее показывать рекламу и рекомендации. Отключение уменьшит трекинг и немного сэкономит вам заряд аккумулятора.

Еще одна настройка – в разделе “Конфиденциальность и безопасность”. В самом низу есть пункт “Реклама от Apple”. Там скрывается контекстная реклама, завязанная на анализ поведения пользователя. Выключите тумблер, чтобы не делиться информацией о себе и не тратить заряд батареи на эти процессы.

Понятное дело, что после всех этих манипуляций ваш айфон не станет неуязвимым перед атаками, часть данных о вас продолжится собираться, а корпорации продолжат богатеть. Но стало же чуть приятнее и спокойнее после отключения тумблеров?

И да, меня тоже вымораживает жидкое стекло в новом айосе.

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT

В общем, я тут в очередной раз напозорился на весь Ютуб, пока рассказывал, что же скрывается в нашем Ноушене с Менторства ИБ. Так что погнали смотреть

https://youtu.be/fuyr6Qe91sc
https://youtu.be/fuyr6Qe91sc
https://youtu.be/fuyr6Qe91sc

Само собой, на Рутубе и ВК Видео тоже все есть. Вы кстати вообще смотрите там что-то? Стоит тратить время и силы на выкладывание туда роликов?

👍– да, кончено смотрю
🕊– нет, смотрю только на Ютубе

По машинам

Забавно, что современные охранные системы до сих пор проектируются так, что “умная” сигнализация обычно умна ровно до первого сбоя. Пока сервер отвечает, она защищает автомобиль. Как только что-то ломается по ту сторону интернета, система перестаёт отличать владельца от угрозы и выбирает самый безопасный вариант – не пускать никого. Судя по всему, никакого оффлайн/автономного режима не предусмотрено, никакой возможности сказать системе: "это я, хозяин, пусти". К чему это я? А вот, к чему.

В конце января клиенты охранной компании Delta, которая поставляет в том числе сигнализации, не смогли никуда поехать на своих машинах. У кого-то не открывались двери, у кого-то дверь открыть удалось, но двигатель не заводился. Сигнализация не выключается, приложение не работает, служба поддержки молчит. Машина стоит красиво и под охраной. От всех, включая владельца.

Позже Delta официально подтвердила кибератаку на свою IT-инфраструктуру. Часть онлайн-сервисов оказалась недоступна, сайт лёг, телефоны поддержки – тоже. Сроки восстановления, как водится, "уточняются", но ситуация "управляемая". 

Это кстати не первый такой случай. В прошлом году аналогичная история случилась с владельцами Porsche, когда из-за сбоев сервисов автомобили тоже отказались заводиться. Тогда виноватыми назначили средства борьбы с дронами, а сейчас – хакеров. Delta, кстати, утверждает, что признаков утечки персональных данных пока не выявлено. Но и полностью исключать её, насколько я понял, не берётся.

В общем, иногда охранная система охраняет так, что лучше бы не охраняла. Пока управляющие сервера доступны и связь есть – машина ваша. Когда нет – уже не совсем. А мне вот интересно узнать, что выбираете вы – кто на штатной сигналке, кто на сторонних охранных системах, а кто вообще ездит без всего этого и не парится? Го обсудим.

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT

AppSec – В С Ё

Пацаны из Антропика пытаются не отставать от других ИИ-вендоров и тоже "думать о безопасности". Поэтому на свет (пока в ограниченной бета-версии) появился Claude Code Security.

Обещают, что этот "умный" SAST не просто будет искать уязвимости по известным паттернам, но и вникать в контекст кодовой базы, тем самым находя более сложные уязвимости, которые обычные статические сканеры упускают.

Приблизить крах традиционного иб рынка можно по ссылке.

#AppSec

🧠 ПЗ | 👨‍🏫 Менторство ИБ
📂 Другие каналы