Пакет Безопасности
31.5K subscribers
610 photos
68 videos
26 files
1.23K links
Авторский канал, где всё полезное из мира IT и ИБ, а также мнение автора сквозь призму кибербеза, аккуратно сложены в Пакет Безопасности.

Вопросы – @romanpnn
Реклама – @romanpnn0 или telega.in/channels/package_security/card

Реестр: clck.ru/3FsiMj
Download Telegram
Что же это? Все верно, тебе не показалось, это тот самый долгожданный ВОСКРЕСНЫЙ ДАЙДЖЕСТ!!!

Во-первых, напоминаю всем о том, что у OFFZON-а все еще открыт call for papers, поэтому, если вы хотите податься с докладом, у вас еще есть шанс. С учетом отмены ПХд, упускать его я бы не стал.

📹 Во-вторых, на нашем канале вышел эпизод подкаста с ребятами из АвитоТеха – ссылка

📹 В-третьих, на том же канале вышел мок-собес, которому нет аналогов на ютубе – интервью по реверс-инжинирингу – ссылка

📋 В-четвертых, я начал искать себе человека в команду. На самом деле, вакансий сразу несколько, но найти их смогут только самые внимательные.

В-пятых, разобрались, что важно сделать со своими цифровыми активами перед неизбежным событием – ссылка

Но самое главное, что произошло за время отсутствия дайджеста – у одного из самых важных людей в моей жизни случился первый день рождения. А, ну и еще спасибо вам за то, что помогли выбрать чехол для айфона 🥰

Фоточки тоже на месте, ловите. И всем добра.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
20🎉14😍6
Доигрались

Помните те самые конспирологические теории про то, что игра Pokémon Go – совсем не игра, а заговор ЦРУ с целью получить фото вашей клумбы у подъезда? Так вот сюрприз: конспирологи были правы (или нет?).

В сети уже давно есть пруфы, что сотни миллионов людей по всему миру годами "охотились" на покемонов, даже не подозревая, что работают над созданием гигантской системы слежения и навигации нового поколения. Ну а чтобы понять, как мы до этого докатились, давайте разберемся, с чего все начиналось.

В конце 90х американский предприниматель Джон Ханке основал компанию Keyhole, которая занималась визуализацией геоданных. По сути попытками создать подробную 3D карту земного шара. Из-за технических сложностей стартап почти обанкротился, но в нужное время получил финансирование от фонда In-Q-Tel (кстати, это дочернее подразделение ЦРУ).

Уже спустя 5 лет стартап перекупил Google, а сам Джон Ханке стал вице-президентом направления Google Geo-division. Именно под его руководством позже появились известные нам Google Earth (олды здесь?) и Google Maps. Основной сложностью работы над проектом стал сбор визуальных данных. Даже с появлением машин Street View съемка могла проводиться только на улицах, но не в парках, подъездах и пешеходных зонах. Для таких задач нужны были люди и тысячи часов пеших прогулок с камерой по каждому географическую объекту в мире. А главное, огромное количество денег для оплаты труда рабочих.

В этот момент Ханке придумывает гениальную стратегию и создает Niantic Labs – подразделение Google по созданию мобильных игр. Причем, не просто игр, а AR-приложений, которые требовали от игроков направлять камеры на разные объекты. Думаю, вы уже поняли, к чему я клоню. Зачем платить, когда можно не платить?

В 2015 году компания Niantic вышла из состава Google. И первым же их самостоятельным проектом стала игра Pokémon Go. А дальше вы уже знаете. Миллионы игроков по всему миру бесплатно и с удовольствием передавали огромные массивы разнообразной подробной информации прямо в базу данных компании. На основании которой Niantic создали VPS – свой аналог GPS, только гораздо более подробный и точный, а главное, которому не нужна связь со спутниками. То есть аппарат, подключенный к VPS может работать даже там, где стоят глушилки.

Изначальная цель звучала благородно: обучение нейросетей, работа с дронами бесконтактной доставки посылок, роботы-курьеры и так далее. Кстати, за время своей работы Niantic выпустила еще несколько вполне успешных AR-игр для мобильных телефонов.

Вот только в прошлом году Джон Ханке продал весь игровой бизнес, а компанию переименовали в Niantic Spatial, чтобы развивать свой основной продукт – VPS. А в декабре они объявили о сотрудничестве с оборонной компанией Vantor (напрямую работает с разведкой США) и совместной работе над созданием системы навигации для боевых дронов и военных операций.

Такие вот дела. Данные, которые миллионы людей бесплатно собирали для Niantic, теперь могут быть использованы в не самых этичных целях, причем без их согласия. Вряд ли школьник в Нидерландах, сканируя подъезд или магазин, соглашался на то, чтобы помогать Пентагону.

P.S. Наткнулся кстати изначально на эту историю у коллеги по цеху – Технологический Болт Генона, после чего и вдохновился на пост. Так что спасибо.

ПБ | 😎 Чат | 🛍 Проекты | 📹 YT
Please open Telegram to view this post
VIEW IN TELEGRAM
36😱16👍7🤯5🤝5🔥3😁2😭1
Что? Правильно – ИБТУСА

В общем, мы с вами стали не просто партнерами, а генеральными медиа-партнерами одной летней тусовки для начинающих кибербезопасников.

Пляж, CTF-автоматы, неформальные доклады, нетворк, квиз и все, что только нужно для того, чтобы вы смогли наконец-то надеть ваши яркие плавки и пожариться под летним солнцем в приятной компании 🏝

На самом деле просто хочется, чтобы подобных мероприятий для начинающих ребят было только больше. Места, к сожалению, ограничены, поэтому скорее отправляй свою заявку в этого бота – @ibtusa_bot

И SPF3000 кстати не забудь 😎

ПБ | 😎 Чат | 🛍 Проекты | 📹 YT
Please open Telegram to view this post
VIEW IN TELEGRAM
18🔥8💊4
Ладно...
😁43👀10🫡95🤣5🔥2❤‍🔥1
По моим наблюдениям, финтехи все активнее ищут новые способы оценки своих систем безопасности. Сегодня в рамках 17-й кибербитвы Standoff (оттуда маковский автомат выше, кстати) прошел круглый стол «Кибериспытано на себе: диалог об объективной оценке киберустойчивости».

Там руководитель управления кибербезопасности Т-Банка Игорь Кубышко анонсировал запуск открытых кибериспытаний. Суть в том, что любой пентестер может проверить устойчивость банковских систем безопасности: если он найдет и воспроизведет недопустимый сценарий (считай покажет, как и что можно взломать), то сможет получить от компании до 12 млн рублей.

И, если мне не изменяет память, то такое среди российского финтеха встречается впервые – раньше компании из финансового сектора не выходили на кибериспытания, тем более открытые. Предварительная регистрация, кстати, для желающих открывается сегодня, а сами испытания запустятся с 22 июня.

Господа пентестеры, попытаться можно, я считаю, а ипотека себя сама не закроет.

ПБ | 😎 Чат | 🛍 Проекты | 📹 YT
Please open Telegram to view this post
VIEW IN TELEGRAM
😈11🔥921🤯1🤩1
Forwarded from Менторство ИБ | Пакет Безопасности
Ультимативный гайд по тренажерам и CTF для кибербезопасников.

https://youtu.be/7Cb8pIB8Qv4
https://youtu.be/7Cb8pIB8Qv4
https://youtu.be/7Cb8pIB8Qv4

Платные и бесплатные. Известные и нишевые. Симуляторы и CTF. Для атаки и для защиты.

Быстро, с мемами, без воды и с разбивкой на защиту, атаку, реверс, криптографию и прочие направления. В общем, погнали смотреть.

📹 Youtube
📺 VK Video
📺 Rutube (а оно вам надо?)

👨‍🏫 Менторство ИБ | Отзывы
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21🎉75🏆2
Кукисы

Меня часто спрашивают (ни разу), "а что же там на самом деле происходит, когда мы нажимаем «Принять все», как только впервые заходим на сайт?". Поэтому (да просто самому стало интересно) я решил сесть, чуть поковыряться и расписать всю эту историю. Так что погнали.

Начнем мы с базы. Если по бытовому, то Cookies или куки – это небольшие фрагменты данных, которые остаются на вашем устройстве, когда вы открываете какой-либо сайт. Это нужно для того, чтобы сайт «запоминал» вас. То есть чтобы при обновлении страницы вы не вылетали из своей учетки или не добавляли в корзину один и тот же товар по 10 раз.

Но есть нюанс. Куки-файлы бывают нескольких видов, и далеко не все из них полезны для пользователя. Разбираемся, какие данные у нас просят сайты:

– Строго необходимые. Без них сайт не сможет работать корректно. Например, куки корзины или входа в личный кабинет. Как правило, они ставятся автоматически, и вы не можете их запретить.

– Функциональные. Запоминают ваши личные настройки (шрифт, тему, город). Без них сайт работает, но становится неудобным. Формально вы можете отказаться от них, но это будет мучительно.

– Аналитические. Считают, сколько людей зашло, какие кнопки нажимают, где зависают (Google Analytics, Яндекс.Метрика). Обычно обезличены (поверили, да?), но данные уходят третьей стороне. От них вы вправе смело отказываться, если не хотите делиться, сколько времени вам потребовалось на чтение статьи.

– Таргетированные. Следят за вами, чтобы потом показывать рекламу одних и тех же кроссовок на всех сайтах. Самые опасные для вашей приватности. Если вы отказываетесь от них, то реклама на странице остается, но становится случайной. А рекламные компании не получают особого профита от вашего цифрового следа.

Для того, чтобы сайты не могли собирать и передавать информацию о вас просто так, в 2018 году в Европе приняли GDPR (Генеральный регламент по защите данных). По этому закону все сайты мира (даже российские) обязаны получать согласие на любые необязательные куки. Иначе компании грозит штраф – до 4% от годового оборота.

Благодаря GDPR у нас хотя бы есть право отказаться от того, чтобы делиться своим цифровым следом с рекламными корпорациями. Правда почти никто так не делает. А еще многие сайты жульничают, маскируя сбор таргетированных куки под что-то важное. Или прячут кнопку «Принять только необходимое», чтобы у пользователя не оставалось выбора.

В РФ это кстати регулируется 152-ФЗ «О персональных данных», если файлы cookie позволяют идентифицировать пользователя (а они его ох как позволяют идентифицировать).

По сути, каждое всплывающее окно с предложением принять файлы куки – это сделка. Вы получаете доступ к контенту, а сайт – право знать, что вы делаете на его страницах. Проблема в том, что условия этой сделки написаны очень мелким шрифтом. И мало кто отдает себе отчет, на что именно он соглашается, когда нажимает большую яркую кнопку «Принять все». А многие так и делают, потому что, когда ты что-то срочно ищешь в интернетах, тебе не до вот этого вот всего.

А если вы не хотите париться и каждый раз придумывать, какие условия на каких сайтах принимать, то я напомню, что когда-то собрал для вас много полезных инструментов в этом посте. Так что вэлкам анонимизироваться, автоботы.

ПБ | 😎 Чат | 🛍 Проекты | 📹 YT
Please open Telegram to view this post
VIEW IN TELEGRAM
24👍18🔥8
Мне тут нашептали про схему с оверпрайсными детскими игрушками на WB и Ozon, через которые точечно сбывают запрещенные вещества и прочие вещи.

Берут дешевую игрушку, пихают в неё всякое, упаковывают, выставляют карточку товара с ней и ценником в разы больше нормы, чтобы окупить цену того, что внутри. Через даркнет или чат кидают просто ссылку на этот товар, и заказчик покупает это через официальный маркетплейс и фулфилмент.

Кто-то из вас видел какое-нибудь расследование или разбор этой темы?
🤯50😁7🙈5😨4🤔3🫡3👏1
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣36🤝3🔥2😈21😁1
Опять этот ваш цифровой след

Спойлер: интернет вас не забывает. Никогда.

Я писал на эту тему уже много-много-много раз, но не все подписаны на этот канал давно, поэтому давайте освежим в памяти кое-какую базу. И да, я постарался сделать этот пост максимально полезным и для старожил канала, так что с вас традиционный лайк и репост. Ну погнали.

Цифровой след - это как отпечатки пальцев в реальном мире. Только в интернете они остаются после каждого вашего действия: клика, лайка, поискового запроса, покупки, определения геолокации, звонка через мессенджер (даже национальный или дубайский). Эти «отпечатки» могут храниться годами на серверах Google, соцсетей, банков, провайдеров, а затем использоваться против вас. В лучшем случае вас завалят таргетированной рекламой, в худшем - взломают соцсети, нароют компромат или сольют данные.

Даже если вы не выкладываете в соцсети посты и сторис, ваш телефон каждые 2 минуты отправляет на сервера Google «маячки» с вашим IMEI и уровнем заряда батареи. Звучит как паранойя? Откройте myactivity.google.com - вы удивитесь.

Собственно, ловите целый сборник полезных постов на эту тему, чтобы потом по сто раз не гуглить и не искать всю эту мякотку👇

⚡️ Узнаем, что цифровой след бывает пассивный и активный

⚡️ Чем цифровой след отличается от цифрового отпечатка

⚡️ Подслушивают ли нас злые корпорации через динамик смартфона, чтобы потом предлагать рекламу

⚡️ Тревожно смотрим на статистику сливов в РФ

⚡️ Осознаем, что режим «инкогнито» не делает вас невидимым

⚡️ Пробуем сервис Just Delete Me, который поможет убрать ваш аккаунт с ненужных площадок, где вы когда-то регистрировались

⚡️ А тут, тут и тут можно взять несколько простых инструментов, чтобы минимизировать свой цифровой след

Важно понимать, что в нашей реальности почти невозможно полностью стереть все свои следы из интернета. Но это не означает, что не нужно пытаться.

Стремитесь к тому, чтобы стоимость ваших данных не превышала усилия по их сбору. То есть просто старайтесь быть «слишком геморройным» пользователем для сбора информации. Всем мир ⌨️

ПБ | 😎 Чат | 🛍 Проекты | 📹 YT
Please open Telegram to view this post
VIEW IN TELEGRAM
37👍18🎉9
SIEM без логов — деньги на ветер

Думаю, здесь для многих не секрет, что компании часто вынуждены удалять логи ИБ (это те, которые нужны для фиксации событий безопасности, да), потому что их тупо негде хранить.

Если вас от этого факта передернуло, то это нормально. Казалось бы, SIEM-системы давно уже стоят у большинства крупных российских компаний. Но, как говорится, есть нюанс: иметь SIEM и эффективно его эксплуатировать — это две абсолютно разные вещи.

Так вот, ребята из Yandex B2B Tech вместе с «Кибердомом» выкатили большое совместное исследование рынка SIEM, и цифры там, мягко говоря, заставляют задуматься.

Давайте посмотрим на основные проблемы:

1. Ограничение хранения данных. Около 60% компаний хранят события безопасности не дольше 6–12 месяцев. Причина банальна — on-premise решения жрут столько ресурсов, что масштабировать их становится экономически больно. А теперь представьте, что вы расследуете сложную APT-атаку с длительным жизненным циклом. Нужны ретроспективные исторические данные, а их нет. Занавес.

2. Бесконечные фолсы (или фолзы, ну вы поняли). 43% опрошенных тонут в ложных срабатываниях. Избыточный поток алертов просто выжигает спецов в SOC, отвлекая их от расследования реальных инцидентов.

3. Высокая стоимость и кадровый голод. Треть компаний (33%) жалуется на конскую стоимость владения (TCO), которая стопорит развитие новых сценариев. И еще треть отмечает жесткий дефицит квалифицированных спецов — настраивать правила корреляции просто некому.

И как дальше жить? Эксперты говорят, что рынок логично отползает от классического «просто собираем события» в сторону управляемой аналитики. Все смотрят на SaaS-модель SIEM, которая позволяет легко масштабироваться и использовать встроенные ИИ-инструменты для уменьшения тех самых ложных срабатываний. Искусственный интеллект вас, конечно, не заменит, но проверку гипотез ускорит знатно, как два шота эспрессо с утра.

В общем, если вы тоже ломаете голову над тем, как не разориться на SIEM и облегчить жизнь своему SOC, категорически рекомендую почитать полные результаты исследования вот тут – ссылка

Ну вот и всё, всем петабайты свободного места на диске.

ПБ | 😎 Чат | 🛍 Проекты | 📹 YT
Please open Telegram to view this post
VIEW IN TELEGRAM
🤝159👍3👏2
Держу в курсе, Кибербот, в который вы все еще с завидной регулярностью направляете свои вопросы, а мы с менторами на них также регулярно отвечаем, перестает работать. Но не навсегда.

Мы его перевозим сейчас на другой хостинг и чуть меняем его архитектуру, но для вас ничего не изменится, поэтому скоро он оживет и будет доступен по той же ссылке/юзернейму.

Как-то так. Всем мир.

ПБ | 😎 Чат | 🛍 Проекты | 📹 YT
Please open Telegram to view this post
VIEW IN TELEGRAM
11🔥4🙊2👍1🙏1🫡1
Дааааааааааааайджест

Давно его не было, поэтому давайте смотреть, чего там у нас интересного произошло не только за прошлую неделю.

Разобрались, что в итоге вам делать с вашим цифровым следом – ссылка

Поняли, как работают куки на сайтах и кому вообще нужна эта надоедливая всплывашка – ссылка

📹 Вышел ролик с ультимативным гайдом по тренажерам и CTF для кибербезопасников.

📹 Еще вышел долгожданный мок-собес по направлению Application Security + в работе еще несколько моков по этой специальности для разных грейдов.

📹 Ну а на следующей неделе выйдет новый выпуск нашего подкаста.

👨‍🏫 Еще на этой неделе провел вебинар для Школы 21 от Сбера с разбором рынка кибербезопасности, поэтому в канале тоже скоро появится этот ролик.

📄 Я наконец-то разобрал очередь из порядка 50 заявок от рекрутеров и кандидатов в Резюмешную. Туда правда навалилось еще около 10 заявок, поэтому в ближайшие дни займусь и ими.

Ну и фоточки ловите.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
25🎉5👍4😍2🫡1
Страшилки про сертификаты

Скинули мне тут пост с громким разоблачением: мол, Яндекс Браузер втихую пихает корневой сертификат Минцифры (Russian Trusted Root CA) прямо в системное хранилище Windows. И вывод там такой, что теперь любой провайдер расшифрует ваш HTTPS, перехватит пароли и куки, а вы даже предупреждения не увидите. Сначала я просто подорвался в комментариях нашего чатика, а потом уже решил расписать все это дело в посте.

Если в двух словах, то оно так не работает. Ключевая ошибка автора – он смешал в одну кучу две разные вещи: системный trust store винды и изолированное хранилище доверия внутри браузера. Это не одно и то же, и вся «сенсация» рассыпается ровно на этом месте.

А теперь на архитекторском и не в двух словах:

1. Браузер не лезет в системное хранилище ОС. Яндекс Браузер не вносит изменения в системный список доверенных корневых сертификатов Windows и не трогает PKI-модель операционки. Национальные сертификаты живут как отдельный, изолированный trust domain внутри самого браузера. На другие приложения, на системные криптоконтексты, на ваш условный Chrome или почтовый клиент это не влияет вообще никак. Та самая инструкция из поста с certmgr.msc проверяет именно системное хранилище – где браузер ничего не прописывает.

2. Контуры доверия разделены. Системный (ОС) и браузерный (нацсертификаты) – это два отдельных домена. Транзитивного расширения доверия нет: поддержка нацсертификатов в браузере не переопределяет и не расширяет общесистемную криптополитику. Никакого «теперь винда доверяет всему подряд» не происходит.

3. Сверху еще Certificate Transparency. Сертификат считается валидным, только если он лежит в публичном CT-логе и соответствует домену. То есть выпуск – это не «закрытый контур, где CA молча штампует что хочет», а наблюдаемая система событий: факт выпуска и область применения можно проверить публично. Тихо сгенерить поддельный серт «на любой внешний ресурс» и остаться незамеченным – так не работает.

4. Поэтому MitM, который рисует автор, технически исключен. Нет возможности незаметно встроиться в цепочку доверия TLS. Данные шифруются стандартным TLS и остаются зашифрованными на всём пути между браузером и сервером – расшифровать или подменить их вне конечных точек нельзя.

Что по итогу. Сама поддержка национальных сертификатов – это реальная функция. Но вот вывод «значит, вас прослушивают через системное хранилище» – это либо непонимание архитектуры, либо сознательная манипуляция на громком слове «Минцифры».

Цели кого-то защитить в этой истории у меня нет, если что. Более того, эта тема с отзывом сертификатов GlobalSign и Let's Encrypt у меня и самого сейчас болит, она у всего рынка болит, так как до сих пор нет идеального плана по переезду с них, кроме как закупиться всеми сертами нашей планеты и выпустить параллельно серты через Госуслуги.

А вообще, лучше гляньте, как нагло ведет себя Хром, на котором сидят все.

И да, всегда проверяйте то, что вам пишут в интернетах. В том числе на матчасть. Всем мир.

ПБ | 😎 Чат | 🛍 Проекты | 📹 YT
Please open Telegram to view this post
VIEW IN TELEGRAM
👍34🔥10💯87🤔2🤣2🫡1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁68🏆12🔥5💯2🤣2🫡1
This media is not supported in your browser
VIEW IN TELEGRAM
«Мы не делаем разницы между кодом, написанным человеком, и кодом, сгенерированным ИИ. Контроль за качеством и безопасностью один», — рассказывает Алексей Черномазов, директор по информационной безопасности Лемана ПРО.

Вместо запретов на нейросети компания строит «бастион» с искусственным интеллектом, где не только безопасно, но и удобно работать.

Подробнее о тренде на развитие ИИ, метриках измерения эффективности ИБ и построение собственного security operations center Алексей рассказал в интервью партнеру Kept, руководителю практики кибербезопасности Илье Шаленкову.

🟣 Полную версию интервью смотрите в VK Видео или читайте на портале Kept Mustread.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤‍🔥12👎6🎃3🤝211🫡1