AppSec – В С Ё

Пацаны из Антропика пытаются не отставать от других ИИ-вендоров и тоже "думать о безопасности". Поэтому на свет (пока в ограниченной бета-версии) появился Claude Code Security.

Обещают, что этот "умный" SAST не просто будет искать уязвимости по известным паттернам, но и вникать в контекст кодовой базы, тем самым находя более сложные уязвимости, которые обычные статические сканеры упускают.

Приблизить крах традиционного иб рынка можно по ссылке.

#AppSec

🧠 ПЗ | 👨‍🏫 Менторство ИБ
📂 Другие каналы

КОНКУРС

Ну все, хватит это терпеть, пора разыгрывать призы!

Что нужно делать
⚡️ Быть подписанным на Пакет Безопасности
🧠 Быть подписанным на Пакет Знаний
😎 Вступить в наш Чат

Призы будут такие
- 2 книги "Грокаем безопасность веб-приложений"
- 2 книги "Вирьё моё! Хроники невидимых хакерских войн от Сыктывкара до Сингапура"
- Сертификат на $25 в Hack The Box
- Ретро-консоль

Сроки
28-го февраля подведем итоги розыгрыша

Ну всё, погнали!

С праздником, защитники 💪

А сегодня записали для вас кое-что ещё 👀

Кошмары на улице профдеформации

Не знаю, как вас, а меня где-то уже на протяжении года мучает один и тот же повторяющийся кошмар. Не каждый день, но с завидной регулярностью. И кошмар этот связан с тем, что мой смартфон заражается каким-то вирусом. И всё!

Весь следующий сон я просто пытаюсь его победить, перехватить контроль над своим же устройством, которое глючит, у которого почему-то появляется интерфейс Андроида (без негатива), а в некоторых снах смартфон вообще начинает буквально разваливаться физически в моих руках. И нет, это не сны под температурой 38, там все поинтереснее обычно.

Не найти тут параллель с моей работой и деятельностью сложно, так что, как было сказано в одном фильме – "Страх не в монстре, а в источнике, который его порождает.".

Ну а что снится вам?

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT

eSIM

Ещё недавно eSIM была в новинку и большинством воспринималась как что-то из далёкого будущего. А теперь можно просто купить новый смартфон, и обнаружить, что в нём вообще нет слота под SIM-карту. Игнорировать, отрицать или осуждать тренд на появление в нашей жизни eSIM не получится, поэтому давайте разберём, что это такое, как работает и насколько безопасно.

Сначала вспомним, что представляет собой SIM-карта (Subscriber Identity Module), на смену которой пришла новая технология. Если упростить до бытового уровня, то SIM-карта – это маленький компьютер, который сообщает мобильной сети, кто вы такой. Внутри хранится идентификатор абонента (IMSI), по которому оператор понимает, кому выставлять счёт и пускать ли вас в сеть вообще.

eSIM же расшифровывается, как embedded (то есть встроенная) SIM – это тот же самый модуль идентификации, но распаянный прямо на плате устройства. Его нельзя вытащить, потерять или переставить в другой телефон. Зато можно удалённо перепрограммировать: поменять операторов, получить новый номер и хранить сразу несколько профилей. То есть, у вас может быть одно физическое устройство с одним чипом, но виртуально – хоть десять симок с разными номерами, между которыми вы можно переключиться в настройках.

Плюсы eSIM особенно чувствуют те, кто часто бывает заграницей: в новой стране больше не нужно искать, где купить местную симку. Подключение делается через QR-код или приложение оператора, иногда вообще без похода в салон. Но есть нюансы. Например, в Китае попросту eSIM запрещен (да что там не запрещено в вашем Китае?). Так что если вы поедете туда с телефоном без слота под SIM-карту, вам придется покупать местный телефон, или пользоваться сим-сервисами через дополнительные приложения в вашем смартфоне, чтобы оставаться на связи.

При этом, лично мне всегда удобнее было иметь при себе несколько физических симок, которые я легким движением руки и скрепки мог переставить в зависимости от своего местоположения или ситуации.

С точки зрения безопасности у встроенной симки есть свои преимущества. Её нельзя просто вытащить из украденного телефона и вставить в другой. А это, поверьте мне, вас защищает много от чего.

Короче говоря, если хотите разобраться немного глубже в теме, как именно работает eSIM, IMSI, удалённая активация и чем отличаются eSIM для бизнеса и для людей, вы можете почитать, например, вот тут (там даже картиночки есть). А если вам лень вчитываться и вообще разбираться в том, что из этого безопаснее, то концептуально – ничего. Просто берите то, что вам удобнее и не парьтесь.

Лично у меня давно уже в смартфонах СИМ + еСИМ. А у вас что? Как вам вообще перспектива мира без физических симок?

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT

🎉 Результаты розыгрыша:

🏆 Победители:
1. D (@funder_z)
2. Александр ll (@alex800rose)
3. Daniil Muzychenko (@pyfloat)
4. Sergey (@SSN_48)
5. kamil (@NICNAMEKRON)
6. Sergei (@smipos)

✔️Проверить результаты

РЕВЕРС-ИНЖИНИРИНГ!!!!

Ну что, врум-врум, погнали смотреть первое видео по реверсу на канале? Разобрались, что такое реверс-инжиниринг. Обсудили, что нужно для того, чтобы стать вирусным аналитиком, какие для этого нужны инструменты, подходы и практика.

Ссылки на ролик:
- 📹 Youtube
- 📺 VK Video
- 📺 Rutube

#КиберМем

👨‍🏫 Менторство ИБ | Отзывы | 📹 YT

#РазговорыНЕпроИБ с независимым кибербезопасником, ментором и автором Telegram-канала "Пакет Безопасности" Романом Паниным

🗓 6 марта в 16:00 (МСК)
➡️ Ссылка на эфир

Встреча без рамок и формальностей: поближе познакомимся с Романом и поговорим на разные "неИБшные" темы. Ожидайте интересные истории, эксклюзивные факты и, конечно же, полезные инсайты! До встречи на эфире в пятницу.

Где общаются хакеры

Если вы считаете, что вам нечего скрывать, то скорее всего, вам не пригодится инструмент, о котором пойдет речь. И слава богу. Возможно, в диалогах с друзьями вы только кидаете мемы и записываете друг другу кружочки из бара. Но, как говорили классики “в жизни каждого человека бывают моменты”, когда нужно, чтобы ваше общение оставалось по-настоящему приватным. Ну или вам просто стало скучно пользоваться удобными сервисами.

Многие, кто хоть немного сталкивался с темой кибербезопасности, считают, что не стоит использовать обычные мессенджеры для передачи чувствительных данных. Даже не потому, что не доверяют их владельцам, а потому что уже знают, сколько вариантов утечки информации может быть. И галочка “сквозное шифрование” их никак не успокаивает.

И вот тогда на помощь приходят варианты, которые выглядят как привет из девяностых. Они вообще не пытаются быть дружелюбными: старые, аскетичные, почти архаичные, без интерфейса, аккаунтов и пушей. Собственно, гвоздь нашей сегодняшней телепередачи – CryptCat, который как раз из этой породы. Это не мессенджер в привычном смысле, а способ создать зашифрованный канал связи напрямую между двумя компьютерами, без посредников. Вы сами поднимаете сервер, сами задаёте порт и пароль, сами отвечаете за безопасность, а общение происходит через терминал – по сути, обычное текстовое окно.

CryptCat шифрует соединение с помощью алгоритма Twofish, который за четверть века так и не был сломан быстрее, чем банальным перебором. Длина ключа до 256 бит, которая делает его устойчивым к перебору даже квантовыми компьютерами, отсутствие известных уязвимостей и минимализм реализации сделали его любимцем хакеров и всех, кто хочет остаться в тени.

Пользуются этим способом не только криминальные элементы, как принято думать. Такие инструменты могут применять и специалисты по кибербезопасности или просто параноики со стажем. В ситуациях, где важен реальный контроль над каналом связи.

К общению в терминале, конечно, нужно привыкнуть. Неподготовленному пользователю будет сложно, но и я из Vim-а вышел не с первого раза. А еще там нет привычных стикеров, реакций и синхронизации между устройствами (крепитесь).

Как-то так.

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT