Всех с праздником ❤️

#КиберМем

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT

Извините, не смог сдержаться. Канал вот-вот может превратиться в мемник.

#КиберМем

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT

Опять эти корпорации зла

Многие пользуются айфонами просто потому что это удобно и комфортно (это я) – понты красивый UI, понты приятные материалы, понты минимум глюков и багов. Да знаю я про существование Пикселя. Но есть люди, которые пользуются айфонами, пребывая в иллюзии, что техника Apple – это “приватно и безопасно по умолчанию”. Кто-то думает, что на айосе нет вирусов (эту тему мы уже успели обсудить), а кто-то думает, что корпорация за ним не следит (внезапно).

Да, iOS сама по себе – достаточно безопасная операционка и Apple действительно заботится о том, чтобы ваши данные были в сохранности, но не нужно забывать о том, что вы пользуетесь продуктом корпорации. А данные пользователей – это самый лакомый кусочек.

Часть настроек в вашем айфоне включены не ради вашей безопасности, а ради аналитики, рекламы и улучшения сервисов. И именно они тихо собирают данные, расходуют батарею и расширяют поверхность атаки (даже если мы не воспринимаем корпорацию, как врага). Собственно, давайте обсудим, что вы можете отключить прямо сейчас в настройках своего айфона, чтобы сделать его безопаснее именно для вас.

Первая зона риска – Safari. В настройках, в списке приложений выберите Safari. Найдите раздел с дополнениями, там вы увидите пункт с конфиденциальными рекламными отчётами. Эта опция нужна не вам, а рекламной экосистеме: она увеличивает объём данных, которые собираются о вашем поведении в браузере. Отключите ее, чтобы снизить утечки метаданных и ограничиить доступ к чувствительной информации вроде активности, сообщений и микрофона.

Вторая настройка прячется в Apple ID. Откройте профиль, перейдите в раздел личной информации и найдите предпочтительный способ связи. По умолчанию там включены анонсы, а также уведомления от приложений “Музыка” и “Телешоу”. Эти опции собирают данные о ваших действиях и интересах, чтобы точнее показывать рекламу и рекомендации. Отключение уменьшит трекинг и немного сэкономит вам заряд аккумулятора.

Еще одна настройка – в разделе “Конфиденциальность и безопасность”. В самом низу есть пункт “Реклама от Apple”. Там скрывается контекстная реклама, завязанная на анализ поведения пользователя. Выключите тумблер, чтобы не делиться информацией о себе и не тратить заряд батареи на эти процессы.

Понятное дело, что после всех этих манипуляций ваш айфон не станет неуязвимым перед атаками, часть данных о вас продолжится собираться, а корпорации продолжат богатеть. Но стало же чуть приятнее и спокойнее после отключения тумблеров?

И да, меня тоже вымораживает жидкое стекло в новом айосе.

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT

В общем, я тут в очередной раз напозорился на весь Ютуб, пока рассказывал, что же скрывается в нашем Ноушене с Менторства ИБ. Так что погнали смотреть

https://youtu.be/fuyr6Qe91sc
https://youtu.be/fuyr6Qe91sc
https://youtu.be/fuyr6Qe91sc

Само собой, на Рутубе и ВК Видео тоже все есть. Вы кстати вообще смотрите там что-то? Стоит тратить время и силы на выкладывание туда роликов?

👍– да, кончено смотрю
🕊– нет, смотрю только на Ютубе

По машинам

Забавно, что современные охранные системы до сих пор проектируются так, что “умная” сигнализация обычно умна ровно до первого сбоя. Пока сервер отвечает, она защищает автомобиль. Как только что-то ломается по ту сторону интернета, система перестаёт отличать владельца от угрозы и выбирает самый безопасный вариант – не пускать никого. Судя по всему, никакого оффлайн/автономного режима не предусмотрено, никакой возможности сказать системе: "это я, хозяин, пусти". К чему это я? А вот, к чему.

В конце января клиенты охранной компании Delta, которая поставляет в том числе сигнализации, не смогли никуда поехать на своих машинах. У кого-то не открывались двери, у кого-то дверь открыть удалось, но двигатель не заводился. Сигнализация не выключается, приложение не работает, служба поддержки молчит. Машина стоит красиво и под охраной. От всех, включая владельца.

Позже Delta официально подтвердила кибератаку на свою IT-инфраструктуру. Часть онлайн-сервисов оказалась недоступна, сайт лёг, телефоны поддержки – тоже. Сроки восстановления, как водится, "уточняются", но ситуация "управляемая". 

Это кстати не первый такой случай. В прошлом году аналогичная история случилась с владельцами Porsche, когда из-за сбоев сервисов автомобили тоже отказались заводиться. Тогда виноватыми назначили средства борьбы с дронами, а сейчас – хакеров. Delta, кстати, утверждает, что признаков утечки персональных данных пока не выявлено. Но и полностью исключать её, насколько я понял, не берётся.

В общем, иногда охранная система охраняет так, что лучше бы не охраняла. Пока управляющие сервера доступны и связь есть – машина ваша. Когда нет – уже не совсем. А мне вот интересно узнать, что выбираете вы – кто на штатной сигналке, кто на сторонних охранных системах, а кто вообще ездит без всего этого и не парится? Го обсудим.

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT

AppSec – В С Ё

Пацаны из Антропика пытаются не отставать от других ИИ-вендоров и тоже "думать о безопасности". Поэтому на свет (пока в ограниченной бета-версии) появился Claude Code Security.

Обещают, что этот "умный" SAST не просто будет искать уязвимости по известным паттернам, но и вникать в контекст кодовой базы, тем самым находя более сложные уязвимости, которые обычные статические сканеры упускают.

Приблизить крах традиционного иб рынка можно по ссылке.

#AppSec

🧠 ПЗ | 👨‍🏫 Менторство ИБ
📂 Другие каналы

КОНКУРС

Ну все, хватит это терпеть, пора разыгрывать призы!

Что нужно делать
⚡️ Быть подписанным на Пакет Безопасности
🧠 Быть подписанным на Пакет Знаний
😎 Вступить в наш Чат

Призы будут такие
- 2 книги "Грокаем безопасность веб-приложений"
- 2 книги "Вирьё моё! Хроники невидимых хакерских войн от Сыктывкара до Сингапура"
- Сертификат на $25 в Hack The Box
- Ретро-консоль

Сроки
28-го февраля подведем итоги розыгрыша

Ну всё, погнали!

С праздником, защитники 💪

А сегодня записали для вас кое-что ещё 👀

Кошмары на улице профдеформации

Не знаю, как вас, а меня где-то уже на протяжении года мучает один и тот же повторяющийся кошмар. Не каждый день, но с завидной регулярностью. И кошмар этот связан с тем, что мой смартфон заражается каким-то вирусом. И всё!

Весь следующий сон я просто пытаюсь его победить, перехватить контроль над своим же устройством, которое глючит, у которого почему-то появляется интерфейс Андроида (без негатива), а в некоторых снах смартфон вообще начинает буквально разваливаться физически в моих руках. И нет, это не сны под температурой 38, там все поинтереснее обычно.

Не найти тут параллель с моей работой и деятельностью сложно, так что, как было сказано в одном фильме – "Страх не в монстре, а в источнике, который его порождает.".

Ну а что снится вам?

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT

eSIM

Ещё недавно eSIM была в новинку и большинством воспринималась как что-то из далёкого будущего. А теперь можно просто купить новый смартфон, и обнаружить, что в нём вообще нет слота под SIM-карту. Игнорировать, отрицать или осуждать тренд на появление в нашей жизни eSIM не получится, поэтому давайте разберём, что это такое, как работает и насколько безопасно.

Сначала вспомним, что представляет собой SIM-карта (Subscriber Identity Module), на смену которой пришла новая технология. Если упростить до бытового уровня, то SIM-карта – это маленький компьютер, который сообщает мобильной сети, кто вы такой. Внутри хранится идентификатор абонента (IMSI), по которому оператор понимает, кому выставлять счёт и пускать ли вас в сеть вообще.

eSIM же расшифровывается, как embedded (то есть встроенная) SIM – это тот же самый модуль идентификации, но распаянный прямо на плате устройства. Его нельзя вытащить, потерять или переставить в другой телефон. Зато можно удалённо перепрограммировать: поменять операторов, получить новый номер и хранить сразу несколько профилей. То есть, у вас может быть одно физическое устройство с одним чипом, но виртуально – хоть десять симок с разными номерами, между которыми вы можно переключиться в настройках.

Плюсы eSIM особенно чувствуют те, кто часто бывает заграницей: в новой стране больше не нужно искать, где купить местную симку. Подключение делается через QR-код или приложение оператора, иногда вообще без похода в салон. Но есть нюансы. Например, в Китае попросту eSIM запрещен (да что там не запрещено в вашем Китае?). Так что если вы поедете туда с телефоном без слота под SIM-карту, вам придется покупать местный телефон, или пользоваться сим-сервисами через дополнительные приложения в вашем смартфоне, чтобы оставаться на связи.

При этом, лично мне всегда удобнее было иметь при себе несколько физических симок, которые я легким движением руки и скрепки мог переставить в зависимости от своего местоположения или ситуации.

С точки зрения безопасности у встроенной симки есть свои преимущества. Её нельзя просто вытащить из украденного телефона и вставить в другой. А это, поверьте мне, вас защищает много от чего.

Короче говоря, если хотите разобраться немного глубже в теме, как именно работает eSIM, IMSI, удалённая активация и чем отличаются eSIM для бизнеса и для людей, вы можете почитать, например, вот тут (там даже картиночки есть). А если вам лень вчитываться и вообще разбираться в том, что из этого безопаснее, то концептуально – ничего. Просто берите то, что вам удобнее и не парьтесь.

Лично у меня давно уже в смартфонах СИМ + еСИМ. А у вас что? Как вам вообще перспектива мира без физических симок?

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT