🥸 Ты должен быть “кем-то”, чтобы тебя начали слушать
Итак, этот пост будет посвящен небольшому рассказу обо мне.
Сразу упомяну, что всё нижесказанное нужно не для того, чтобы потешить моё эго или вызвать похвалу и восхищение. Это нужно для того, чтобы вызвать бОльшее доверие у тех, кто будет читать все мои последующие посты и мнения.
Природа человека устроена так, что он не любит доверять и слушать людей, которые ничего в своей жизни не добились или как-то себя не проявили. Это как сходить на тренировку в качалке к фитнес-тренеру, который не следит за своей фигурой и здоровьем. Кто будет слушать советы тренера с обвисшим животом и дряхлыми бицепсами? Правильно – никто.
Так вот, кто же автор этого канала? Коротко и в тезисах:
- В ИТ и ИБ я уже более 9 лет
- Сейчас руковожу архитектурой ИБ в одном энтерпрайзе
- Записал свой обучающий курс по ИБ с одной очень крутой образовательной платформой
- Успешно менторю людей для входа как в ИТ, так и в ИБ
- Успел насмотреться на все ключевые ИТ/ИБ процессы во многих сферах, начиная от нефтянки и телекома, заканчивая лучшим ФинТехом в стране
- Иногда хожу выступать на митапы и участвую в жюри различных кибер-соревнований
Думаю, что в следующих постах я еще буду упоминать о своей биографии, когда это будет позволять определенный контекст. Ну а подробнее можно узнать обо мне тут.
Пакет Безопасности
Итак, этот пост будет посвящен небольшому рассказу обо мне.
Сразу упомяну, что всё нижесказанное нужно не для того, чтобы потешить моё эго или вызвать похвалу и восхищение. Это нужно для того, чтобы вызвать бОльшее доверие у тех, кто будет читать все мои последующие посты и мнения.
Природа человека устроена так, что он не любит доверять и слушать людей, которые ничего в своей жизни не добились или как-то себя не проявили. Это как сходить на тренировку в качалке к фитнес-тренеру, который не следит за своей фигурой и здоровьем. Кто будет слушать советы тренера с обвисшим животом и дряхлыми бицепсами? Правильно – никто.
Так вот, кто же автор этого канала? Коротко и в тезисах:
- В ИТ и ИБ я уже более 9 лет
- Сейчас руковожу архитектурой ИБ в одном энтерпрайзе
- Записал свой обучающий курс по ИБ с одной очень крутой образовательной платформой
- Успешно менторю людей для входа как в ИТ, так и в ИБ
- Успел насмотреться на все ключевые ИТ/ИБ процессы во многих сферах, начиная от нефтянки и телекома, заканчивая лучшим ФинТехом в стране
- Иногда хожу выступать на митапы и участвую в жюри различных кибер-соревнований
Думаю, что в следующих постах я еще буду упоминать о своей биографии, когда это будет позволять определенный контекст. Ну а подробнее можно узнать обо мне тут.
Пакет Безопасности
securitycult on Notion
whoami. | Notion
Привет и добро пожаловать на эту страничку 👋
👍22🔥7🕊3🥰2😍2🤓2⚡1❤🔥1❤1🤯1
❓ Как же будет выходить контент и в каком формате?
Скоро закончится вся эта вводная нудятина, осталось совсем немного.
Хочется, чтобы у новых людей, которые заходят к нам в гости, было четкое понимание того, что ждать от этого канала.
Пока у меня есть план делать контент в трёх форматах/рубриках:
- #НовостьДня – пересылка или ретрансляция какой-то одной интересной новости из мира ИТ/ИБ с моим комментарием к ней (1 раз в несколько дней или чаще)
- #Мнение – авторский текст на какую-то определенную тему с подробным ее разбором. Тема может быть как технической, так и бытовой (1 раз в несколько дней)
- #Полезное – файлы, инфографики, ссылки и любой другой контент, который может принести вам пользу или облегчить жизнь (рандомно по мере нахождения подобных материалов)
- #Кибергигиена – обзор различных методов и случаев взлома из реальной жизни (рандомно по мере нахождения подобных материалов)
По мере развития канала (да, я в это искренне верю и буду прикладывать максимум усилий) форматы будут расширяться и видоизменяться, подстраиваясь как под меня, так и под вас. Ну а вы в любой момент можете написать мне лично или в комментарии с вашими предложениями и пожеланиями.
Скоро закончится вся эта вводная нудятина, осталось совсем немного.
Хочется, чтобы у новых людей, которые заходят к нам в гости, было четкое понимание того, что ждать от этого канала.
Пока у меня есть план делать контент в трёх форматах/рубриках:
- #НовостьДня – пересылка или ретрансляция какой-то одной интересной новости из мира ИТ/ИБ с моим комментарием к ней (1 раз в несколько дней или чаще)
- #Мнение – авторский текст на какую-то определенную тему с подробным ее разбором. Тема может быть как технической, так и бытовой (1 раз в несколько дней)
- #Полезное – файлы, инфографики, ссылки и любой другой контент, который может принести вам пользу или облегчить жизнь (рандомно по мере нахождения подобных материалов)
- #Кибергигиена – обзор различных методов и случаев взлома из реальной жизни (рандомно по мере нахождения подобных материалов)
По мере развития канала (да, я в это искренне верю и буду прикладывать максимум усилий) форматы будут расширяться и видоизменяться, подстраиваясь как под меня, так и под вас. Ну а вы в любой момент можете написать мне лично или в комментарии с вашими предложениями и пожеланиями.
🔥13👍7❤🔥3👏2🤔2⚡1🤯1
🥸 Анонимность
Итак, новый день – новый пост. Пока тенденция хорошая.
Сегодня предлагаю отвлечься от душных вводных сообщений и немного поговорить об анонимности в интернетах.
Тема давно волнует и будоражит сознание всех конспирологов. Думаю, что каждый из вас уже знает о том, что такое цифровой след (если нет, то можете почитать тут и тут). Так вот, оставить его очень легко, а вот затереть за собойневозможно крайне сложно.
Благо, современные технологии в виде блокчейна позволяют частично решить проблему анонимности. Именно под этим соусом команда Telegram и подает свою новую фичу. Так как авторизация в Telegram завязана на номере мобильного телефона, это позволяет однозначно идентифицировать владельца аккаунта в случае необходимости. Само собой, есть серые номера, симки из подземных переходов и прочее, но мы говорим о рядовых пользователях.
Так вот, теперь можно приобрести за крипту “виртуальный” номер, который продаётся в виде NFT через сервис Fragment. При помощи полученного номера телефона можно уже авторизоваться вДаркнете Telegram, а сам номер будет привязан к вашему анонимному криптокошельку.
Кажется, что это нововведение содержит в себе ТОП-5 хайповых слов из 2к22, и да, это так. Маркетологам низкий поклон, но технологического чуда не произошло. Кошелёк всё также можно отследить (да, чуть сложнее, но можно), а пользователя сервиса всё также можно идентифицировать.
Ах да, за номер надо заплатить от 9 TON (примерно $17), но можно и меньше 😉
#НовостьДня
Пакет Безопасности
Итак, новый день – новый пост. Пока тенденция хорошая.
Сегодня предлагаю отвлечься от душных вводных сообщений и немного поговорить об анонимности в интернетах.
Тема давно волнует и будоражит сознание всех конспирологов. Думаю, что каждый из вас уже знает о том, что такое цифровой след (если нет, то можете почитать тут и тут). Так вот, оставить его очень легко, а вот затереть за собой
Благо, современные технологии в виде блокчейна позволяют частично решить проблему анонимности. Именно под этим соусом команда Telegram и подает свою новую фичу. Так как авторизация в Telegram завязана на номере мобильного телефона, это позволяет однозначно идентифицировать владельца аккаунта в случае необходимости. Само собой, есть серые номера, симки из подземных переходов и прочее, но мы говорим о рядовых пользователях.
Так вот, теперь можно приобрести за крипту “виртуальный” номер, который продаётся в виде NFT через сервис Fragment. При помощи полученного номера телефона можно уже авторизоваться в
Кажется, что это нововведение содержит в себе ТОП-5 хайповых слов из 2к22, и да, это так. Маркетологам низкий поклон, но технологического чуда не произошло. Кошелёк всё также можно отследить (да, чуть сложнее, но можно), а пользователя сервиса всё также можно идентифицировать.
Ах да, за номер надо заплатить от 9 TON (примерно $17), но можно и меньше 😉
#НовостьДня
Пакет Безопасности
👍19❤🔥4🔥4⚡3🤯2❤1
Навигация по вводным и полезным постам
- Интро
- О канале
- Об авторе
- Рубрики
- Подборки
- Спустя 2 года
Другие проекты
Please open Telegram to view this post
VIEW IN TELEGRAM
3❤16👍11⚡4❤🔥1👎1🤯1
👨🦳 Удобно на «ты»?
Не знаю, как вы, но лично я был воспитан таким образом, чтобы к большинству новых/незнакомых людей обращаться на “вы”, а если этот человек еще и выглядит старше меня, то тут вообще без вариантов. И это работало безотказно, пока я не устроился в современный и гибкий ФинТех, где меня научили относиться к этому проще.
Так вот, в современной IT-тусовке принято всегда заходить в любую комнату на ”ты”. Это работает как на рабочих zoom-встречах, так и на различных митапах при нетворкинге. Даже подавляющее большинство рекрутеров при первой беседе выдают ключевую фразу «Удобно сразу на ”ты”?».
Это не означает, что все друг друга ”не уважают”, это означает, что тут все на равных, вне зависимости от возраста, регалий или статуса. Да и так банально проще, не нужно тратить лишний ресурс на то, чтобы понять, на ”ты” сейчас надо обратиться или на ”вы”.
Так вот, к чему это всё. Дело в том, что порой в этот уютный и доброжелательный мир без условностей и лишних усложнений попадают люди, которые не готовы принимать условия игры. Причин может быть много, начиная с профдеформации, заканчивая настоящим высокомерием.
И когда на таких людей случайно натыкаешься, это очень сильно отталкивает. В пример приведу две свои переписки с HR из разных компаний (для контекста – я регулярно пингую разные интересные проекты на наличие актуальных вакансий, о чем расскажу в следующих постах). Думаю, тут очевидно, с кем из них приятнее было бы продолжить диалог.
А как вы относитесь к общению на ”ты”?
#Мнение
Пакет Безопасности
Не знаю, как вы, но лично я был воспитан таким образом, чтобы к большинству новых/незнакомых людей обращаться на “вы”, а если этот человек еще и выглядит старше меня, то тут вообще без вариантов. И это работало безотказно, пока я не устроился в современный и гибкий ФинТех, где меня научили относиться к этому проще.
Так вот, в современной IT-тусовке принято всегда заходить в любую комнату на ”ты”. Это работает как на рабочих zoom-встречах, так и на различных митапах при нетворкинге. Даже подавляющее большинство рекрутеров при первой беседе выдают ключевую фразу «Удобно сразу на ”ты”?».
Это не означает, что все друг друга ”не уважают”, это означает, что тут все на равных, вне зависимости от возраста, регалий или статуса. Да и так банально проще, не нужно тратить лишний ресурс на то, чтобы понять, на ”ты” сейчас надо обратиться или на ”вы”.
Так вот, к чему это всё. Дело в том, что порой в этот уютный и доброжелательный мир без условностей и лишних усложнений попадают люди, которые не готовы принимать условия игры. Причин может быть много, начиная с профдеформации, заканчивая настоящим высокомерием.
И когда на таких людей случайно натыкаешься, это очень сильно отталкивает. В пример приведу две свои переписки с HR из разных компаний (для контекста – я регулярно пингую разные интересные проекты на наличие актуальных вакансий, о чем расскажу в следующих постах). Думаю, тут очевидно, с кем из них приятнее было бы продолжить диалог.
А как вы относитесь к общению на ”ты”?
#Мнение
Пакет Безопасности
👍27❤🔥11🔥8❤5🤯3🤔2🎉2⚡1
💸 Недобросовестные владельцы криптокошельков
Тут на днях вышла очень забавная новость от ТАСС на тему того, что “В МВД внедрили цифровой сервис по выявлению недобросовестных владельцев криптокошельков”. В этой новости абсурдно всё, начиная с заголовка, заканчивая цитатами из интервью. Предлагаю немного разобраться и понять, что тут вообще происходит.
Россия уже на протяжении пары лет пытается оседлать и приручить этого неведомого криптоконя, но всё никак не получается. Оказывается, что существует некий сервис, который умеет анализировать и оценивать информацию о финансовых рисках экономики по всей стране в разных сферах – от производства до оборонки. Так вот, ребята внедрили в этот сервис новый модуль, который умеет мониторить крипто-транзакции. И об этом модуле известно только одно: "Уже имеется положительный опыт использования данного инструмента по выявлению недобросовестных владельцев криптокошельков”.
Как оно работает и работает ли вообще – загадка №1. Кто такие “недобросовестные владельцы криптокошельков” – загадка №2.
Залезть в головуНачальника МВД автора мы не можем, поэтому тут остаётся только гадать. Возможно речь идёт о тех, кто не платит налоги с оборота крипты или проводит нелегальные сделки (тема совести не раскрыта). Оставим загадку №2 нераскрытой.
А вот с первой загадкой уже можно пофантазировать. Подобными инструментами отслеживания крипто-транзакций обладают несколько компаний из мира кибербезопасности, такие как Касперский или Group IB. На самом деле, тут нет никакого Rocket science, попробую объяснить почему.
По сути нам нужен алгоритм (а лучше целая нейронка), который будет на основе всех крипто-транзакций (информация о которых открыта) группировать их по одному владельцу. Эту проблему решает задача кластеризации. За ключевые параметры можно брать как объем транзакции, так и её частоту/регулярность, а лучше всё вместе. Подобные вещи делаются быстро и легко. Помню даже, как лет 10 назад ВКонтакте делал визуализацию этой задачи, когда строил связи между друзьями и друзьями друзей, выявляя количество рукопожатий до нужного человека.
Ну а дальше нам нужно только выявить потенциально подозрительные адреса. Сделать это можно по их связям с уже засвеченными (идентифицированными) кошельками, которые принадлежат дарксторам, разработчикам вредоносного ПО и прочим.
Ну а дальше уже можно отследить владельцев подозрительных кошельков через данные с криптобирж, например. Есть и более искусные методы, связанные с идентификаторами устройств, но о них мы поговорим в другой раз.
#НовостьДня
Пакет Безопасности
Тут на днях вышла очень забавная новость от ТАСС на тему того, что “В МВД внедрили цифровой сервис по выявлению недобросовестных владельцев криптокошельков”. В этой новости абсурдно всё, начиная с заголовка, заканчивая цитатами из интервью. Предлагаю немного разобраться и понять, что тут вообще происходит.
Россия уже на протяжении пары лет пытается оседлать и приручить этого неведомого криптоконя, но всё никак не получается. Оказывается, что существует некий сервис, который умеет анализировать и оценивать информацию о финансовых рисках экономики по всей стране в разных сферах – от производства до оборонки. Так вот, ребята внедрили в этот сервис новый модуль, который умеет мониторить крипто-транзакции. И об этом модуле известно только одно: "Уже имеется положительный опыт использования данного инструмента по выявлению недобросовестных владельцев криптокошельков”.
Как оно работает и работает ли вообще – загадка №1. Кто такие “недобросовестные владельцы криптокошельков” – загадка №2.
Залезть в голову
А вот с первой загадкой уже можно пофантазировать. Подобными инструментами отслеживания крипто-транзакций обладают несколько компаний из мира кибербезопасности, такие как Касперский или Group IB. На самом деле, тут нет никакого Rocket science, попробую объяснить почему.
По сути нам нужен алгоритм (а лучше целая нейронка), который будет на основе всех крипто-транзакций (информация о которых открыта) группировать их по одному владельцу. Эту проблему решает задача кластеризации. За ключевые параметры можно брать как объем транзакции, так и её частоту/регулярность, а лучше всё вместе. Подобные вещи делаются быстро и легко. Помню даже, как лет 10 назад ВКонтакте делал визуализацию этой задачи, когда строил связи между друзьями и друзьями друзей, выявляя количество рукопожатий до нужного человека.
Ну а дальше нам нужно только выявить потенциально подозрительные адреса. Сделать это можно по их связям с уже засвеченными (идентифицированными) кошельками, которые принадлежат дарксторам, разработчикам вредоносного ПО и прочим.
Ну а дальше уже можно отследить владельцев подозрительных кошельков через данные с криптобирж, например. Есть и более искусные методы, связанные с идентификаторами устройств, но о них мы поговорим в другой раз.
#НовостьДня
Пакет Безопасности
👍14🔥4❤🔥3🤯3⚡2😱1
IT words.pdf
187.7 KB
🇺🇸 Шпаргалка по ITшным словам
Нашел тут в интернетах очень полезный сборник слов/выражений на английском по IT-тематике. На собесах точно пригодится. Из домена ИБ тоже слов достаточно.
Так что скорее пересылайте своим друзьям айтишникам и себе в сохранёнки, обязательно пригодится.
#Полезное
Пакет Безопасности
Нашел тут в интернетах очень полезный сборник слов/выражений на английском по IT-тематике. На собесах точно пригодится. Из домена ИБ тоже слов достаточно.
Так что скорее пересылайте своим друзьям айтишникам и себе в сохранёнки, обязательно пригодится.
#Полезное
Пакет Безопасности
👍13❤5❤🔥2🤓2⚡1🔥1🤯1
🔑 БезПарольность
Многие из вас наверняка устали уже записывать куда-то пароли от своих аккаунтов социальных сетей, сервисов, почт и прочего. Хранить их в облаках не безопасно, каждый раз перезаписывать их в тетрадке – не удобно, а хранить такие данные локально на своём личном устройстве – и не безопасно, и не удобно одновременно.
Уверяю вас, вы такие не одни и человечество давно уже пытается перейти в эру “учётных данных нового поколения” при помощи концепции PasswordLess.
Проблема паролей состоит в том, что они, во-первых, крайне редко меняются пользователями, а во-вторых, они могут быть осознанными и вычисляемыми.
Первую проблему не решить без автоматизации, так как нам нужно менять пароль чаще, чем то время, за которое его могут вычислить или подобрать. Тут речь не про кибергигиену, при которой пароль желательно менять каждый месяц. По мнению Google Authenticator, например, это каждые 30 секунд для комбинации из 6-ти цифр.
Вторая проблема состоит в том, что пароли можно вычислить. Вычисляется пароль разными способами, например, перебором, социальной инженерией (пользователь сам его выдаст в том или ином виде) или разведкой (на основе данных о пользователе, таких как имя собаки, дата рождения или название любимой спортивной команды). Более того, люди любят использовать один и тот же пароль сразу для нескольких сервисов, поэтому, если ваш пароль хоть раз засветился в слитых базах в одном месте, будьте уверены, его будут пробовать подставлять и во все остальные распространённые сервисы.
Кажется, что с этими проблемами может помочь удалённый централизованный сервис, который и будут генерировать и хранить в себе пароли от разных сайтов, приложений и прочего. Но это не совсем так, поскольку у нас появляется единая точка отказа в виде этого сервиса. Чем это грозит – думаю очевидно. Например, LastPass уже второй раз за последнее время подвергся успешной кибератак с последующим сливам данных.
Правильнее будет разнести генерацию ключей, паролей и токенов между этим централизованным сервисом и тем устройством, через которое и происходит авторизация/аутентификация. И сделать это так, чтобы ни на одном из них не хранилась информация, достаточная для полного подбора/взлома/вычисления пароля.
В уходе от паролей заинтересованы не только пользователи, но и ключевые игроки рынка IT. Именно поэтому большие ребята решили объединиться, из чего родился passkey. Очень хочется надеяться, что эта инициатива продолжить жить и развиваться, а мы скоро забудем о проблемах хранения паролей в блокнотах.
#Мнение
Пакет Безопасности
Многие из вас наверняка устали уже записывать куда-то пароли от своих аккаунтов социальных сетей, сервисов, почт и прочего. Хранить их в облаках не безопасно, каждый раз перезаписывать их в тетрадке – не удобно, а хранить такие данные локально на своём личном устройстве – и не безопасно, и не удобно одновременно.
Уверяю вас, вы такие не одни и человечество давно уже пытается перейти в эру “учётных данных нового поколения” при помощи концепции PasswordLess.
Проблема паролей состоит в том, что они, во-первых, крайне редко меняются пользователями, а во-вторых, они могут быть осознанными и вычисляемыми.
Первую проблему не решить без автоматизации, так как нам нужно менять пароль чаще, чем то время, за которое его могут вычислить или подобрать. Тут речь не про кибергигиену, при которой пароль желательно менять каждый месяц. По мнению Google Authenticator, например, это каждые 30 секунд для комбинации из 6-ти цифр.
Вторая проблема состоит в том, что пароли можно вычислить. Вычисляется пароль разными способами, например, перебором, социальной инженерией (пользователь сам его выдаст в том или ином виде) или разведкой (на основе данных о пользователе, таких как имя собаки, дата рождения или название любимой спортивной команды). Более того, люди любят использовать один и тот же пароль сразу для нескольких сервисов, поэтому, если ваш пароль хоть раз засветился в слитых базах в одном месте, будьте уверены, его будут пробовать подставлять и во все остальные распространённые сервисы.
Кажется, что с этими проблемами может помочь удалённый централизованный сервис, который и будут генерировать и хранить в себе пароли от разных сайтов, приложений и прочего. Но это не совсем так, поскольку у нас появляется единая точка отказа в виде этого сервиса. Чем это грозит – думаю очевидно. Например, LastPass уже второй раз за последнее время подвергся успешной кибератак с последующим сливам данных.
Правильнее будет разнести генерацию ключей, паролей и токенов между этим централизованным сервисом и тем устройством, через которое и происходит авторизация/аутентификация. И сделать это так, чтобы ни на одном из них не хранилась информация, достаточная для полного подбора/взлома/вычисления пароля.
В уходе от паролей заинтересованы не только пользователи, но и ключевые игроки рынка IT. Именно поэтому большие ребята решили объединиться, из чего родился passkey. Очень хочется надеяться, что эта инициатива продолжить жить и развиваться, а мы скоро забудем о проблемах хранения паролей в блокнотах.
#Мнение
Пакет Безопасности
👍14❤🔥5🔥3❤2⚡1😁1🤯1
🏆 Итоги года
Настало время немного поговорить о рабочем кибербезе.
2к22 год наконец-то подходит к концу, а это значит, что пора подводить итоги.
У кибербезопасников, как и всегда, итоги свои. Поэтому держите ТОП-10 эксплуатируемых уязвимостей в 2022 году по версии Cyber Threat Intelligence:
1. Follina (CVE-2022-30190)
2. Log4Shell (CVE-2021-44228)
3. Spring4Shell (CVE-2022-22965)
4. F5 BIG-IP (CVE-2022-1388)
5. Google Chrome zero-day (CVE-2022-0609)
6. Old but not forgotten - Microsoft Office bug (CVE-2017-11882)
7. ProxyNotShell (CVE-2022-41082, CVE-2022-41040)
8. Zimbra Collaboration Suite bugs (CVE-2022-27925, CVE-2022-41352)
9. Atlassian Confluence RCE flaw (CVE-2022-26134)
10. Zyxel RCE vulnerability (CVE-2022-30525)
Будьте осторожны, берегите себя и ваши сервисы.
P.S. Ниже есть пикча с наглядными иконками
#Полезное
Пакет Безопасности
Настало время немного поговорить о рабочем кибербезе.
2к22 год наконец-то подходит к концу, а это значит, что пора подводить итоги.
У кибербезопасников, как и всегда, итоги свои. Поэтому держите ТОП-10 эксплуатируемых уязвимостей в 2022 году по версии Cyber Threat Intelligence:
1. Follina (CVE-2022-30190)
2. Log4Shell (CVE-2021-44228)
3. Spring4Shell (CVE-2022-22965)
4. F5 BIG-IP (CVE-2022-1388)
5. Google Chrome zero-day (CVE-2022-0609)
6. Old but not forgotten - Microsoft Office bug (CVE-2017-11882)
7. ProxyNotShell (CVE-2022-41082, CVE-2022-41040)
8. Zimbra Collaboration Suite bugs (CVE-2022-27925, CVE-2022-41352)
9. Atlassian Confluence RCE flaw (CVE-2022-26134)
10. Zyxel RCE vulnerability (CVE-2022-30525)
Будьте осторожны, берегите себя и ваши сервисы.
P.S. Ниже есть пикча с наглядными иконками
#Полезное
Пакет Безопасности
👍10❤🔥4🔥3⚡2🤓2🤯1
🥇🥈 Здоровая конкуренция
VK окончательно похоронил свой поисковик в виде mail.ru. Теперь он полноценно использует поисковые алгоритмы Яндекса (почитать можно тут). Кажется, что в этой новости нет ничего такого, ведь никто уже давно не вспоминал и не пользовался поисковиком от Мэйла. В целом – да. Но лично меня начинают тревожить последние перестройки и сделки между крупнейшими IT-гигантами российского сегмента.
Думаю, что для всех очевидно, что VK уже давно подконтрольна всем необходимым ведомствам. А после отделения Яндекса от глобального бизнеса и прихода в топ-менеджмент Алексея Кудрина (бывший глава Счетной палаты), тотальный контроль сверху может накрыть и Яндекс. И проблема даже не столько в контроле, сколько в том, что вероятность слияния этих двух двигателей отечественного IT-прогресса, с каждым днём становится всё выше.
На протяжении последнего года Яндекс и VK и так уже пожанглировали достаточным количеством сервисов и дочерних компаний, убивая конкуренцию в сегменте доставки еды и продуктов. Но, если произойдет полноценное поглощение или слияние этих двух компаний, то кажется, что это может очень сильно ударить молотом стагнации по айтишке в России. Ведь не будет конкуренции, азарта, не будет борьбы за пользователя, но будет тотальный контроль и цензура сверху.
#НовостьДня
Пакет Безопасности
VK окончательно похоронил свой поисковик в виде mail.ru. Теперь он полноценно использует поисковые алгоритмы Яндекса (почитать можно тут). Кажется, что в этой новости нет ничего такого, ведь никто уже давно не вспоминал и не пользовался поисковиком от Мэйла. В целом – да. Но лично меня начинают тревожить последние перестройки и сделки между крупнейшими IT-гигантами российского сегмента.
Думаю, что для всех очевидно, что VK уже давно подконтрольна всем необходимым ведомствам. А после отделения Яндекса от глобального бизнеса и прихода в топ-менеджмент Алексея Кудрина (бывший глава Счетной палаты), тотальный контроль сверху может накрыть и Яндекс. И проблема даже не столько в контроле, сколько в том, что вероятность слияния этих двух двигателей отечественного IT-прогресса, с каждым днём становится всё выше.
На протяжении последнего года Яндекс и VK и так уже пожанглировали достаточным количеством сервисов и дочерних компаний, убивая конкуренцию в сегменте доставки еды и продуктов. Но, если произойдет полноценное поглощение или слияние этих двух компаний, то кажется, что это может очень сильно ударить молотом стагнации по айтишке в России. Ведь не будет конкуренции, азарта, не будет борьбы за пользователя, но будет тотальный контроль и цензура сверху.
#НовостьДня
Пакет Безопасности
👍10🤔6❤🔥3⚡1🤯1🥴1🌚1🤓1
🐠 Фишинговый квест
Пока рыночная стоимость криптовалюты команды Telegram – TON растет, как на дрожжах, а о сервисе fragment.com узнают всё больше людей, наши любимые злоумышленники не сидят на месте и придумывают новые способы угнать ваш крипто-кошелёк или аккаунт в телеграме. Напомню, сервис предоставляет опции по продаже и покупке никнеймов в мессенджере и виртуальных номеров для авторизации в нём же.
Думаю, что никого из вас не нужно учить бережно относиться к своей кибергигиене и перепроверять сервисы, которыми вы пользуетесь. Тем более, те сервисы, которые просят получить доступ к вашим кошелькам, социальным сетям и прочим личным данным. К сожалению, фишинг всё еще остаётся одним из самых популярных и простых способов кражи данных пользователей.
Так вот, на этот раз речь пойдёт о сайте с доменом fragment.quest. На первый взгляд он ничем не отличается от оригинального fragment.com, особенно если не пытаться тыкать на все кнопки (большинство из них просто не работает). Сайт нацелен сугубо на то, чтобы угнать ваш кошелёк TON. Вот только, в отличие от оригинального сайта, он не выдаёт вам QR-код для авторизации в приложении, а сразу запрашивает секретную фразу от кошелька.
Что произойдет, если эту фразу ввести, думаю, очевидно. Ах да, этот сайт запросит такую же фразу даже в том случае, если вы нажмете на кнопку “Connect Telegram”. Информации о том, сколько эти ребята уже угнали кошельков и заработали денег, у меня нет. Но то, что кто-то уже попался на этот трюк, можно понять по множеству гневных сообщений в тематических Дискорд-форумах.
Будьте осторожны и внимательны, вы же у меня умные.
А при возникновении каких-то сомнений или вопросов – пишите, не стесняйтесь.
#Кибергигиена
Пакет Безопасности
Пока рыночная стоимость криптовалюты команды Telegram – TON растет, как на дрожжах, а о сервисе fragment.com узнают всё больше людей, наши любимые злоумышленники не сидят на месте и придумывают новые способы угнать ваш крипто-кошелёк или аккаунт в телеграме. Напомню, сервис предоставляет опции по продаже и покупке никнеймов в мессенджере и виртуальных номеров для авторизации в нём же.
Думаю, что никого из вас не нужно учить бережно относиться к своей кибергигиене и перепроверять сервисы, которыми вы пользуетесь. Тем более, те сервисы, которые просят получить доступ к вашим кошелькам, социальным сетям и прочим личным данным. К сожалению, фишинг всё еще остаётся одним из самых популярных и простых способов кражи данных пользователей.
Так вот, на этот раз речь пойдёт о сайте с доменом fragment.quest. На первый взгляд он ничем не отличается от оригинального fragment.com, особенно если не пытаться тыкать на все кнопки (большинство из них просто не работает). Сайт нацелен сугубо на то, чтобы угнать ваш кошелёк TON. Вот только, в отличие от оригинального сайта, он не выдаёт вам QR-код для авторизации в приложении, а сразу запрашивает секретную фразу от кошелька.
Что произойдет, если эту фразу ввести, думаю, очевидно. Ах да, этот сайт запросит такую же фразу даже в том случае, если вы нажмете на кнопку “Connect Telegram”. Информации о том, сколько эти ребята уже угнали кошельков и заработали денег, у меня нет. Но то, что кто-то уже попался на этот трюк, можно понять по множеству гневных сообщений в тематических Дискорд-форумах.
Будьте осторожны и внимательны, вы же у меня умные.
А при возникновении каких-то сомнений или вопросов – пишите, не стесняйтесь.
#Кибергигиена
Пакет Безопасности
👍10❤🔥4🔥3🤯1🤣1
🫡 Контроля много не бывает
Только все начали забывать о введении Пакета Яровой, как ребята из РКН решили показать новую систему контроля интернетов.
Небольшой оффтоп о том самом законе Яровой, который был опубликован аж в 2018 году. По его задумке компании обязаны хранить переписку, телефонные звонки и исходящий трафик всех российских пользователей, а также предоставлять эти данные по запросу спецслужб. Были даже разработаны специальные средства для сбора и хранения всей этой информации. Но, к сожалению или к счастью, нормальноразгребать сортировать и фильтровать всю эту БигДату никто так и не научился. Поэтому, до сих пор все данные пользователей сваливаются в одну кучу и хранятся в хаотическом порядке.
Так вот, перейдем к самой новости. На днях была анонсирована система мониторинга маршрутов трафика, которая «позволит контролировать передачу данных между всеми операторами и провайдерами связи и отслеживать тех, кто не исполняет требования ведомства». Бюджет на это дело заложен приличный – 1,2 млрд ₽.
Помимо приближениячебурнета суверенного рунета, это может принести и пользу, если новая система мониторинга научится правильно обрабатывать собираемую информацию. Ведь это может помочь вовремя распознавать и блокировать кибератаки, которые в последнее время накрыли весь РФ сектор.
#НовостьДня
Пакет Безопасности
Только все начали забывать о введении Пакета Яровой, как ребята из РКН решили показать новую систему контроля интернетов.
Небольшой оффтоп о том самом законе Яровой, который был опубликован аж в 2018 году. По его задумке компании обязаны хранить переписку, телефонные звонки и исходящий трафик всех российских пользователей, а также предоставлять эти данные по запросу спецслужб. Были даже разработаны специальные средства для сбора и хранения всей этой информации. Но, к сожалению или к счастью, нормально
Так вот, перейдем к самой новости. На днях была анонсирована система мониторинга маршрутов трафика, которая «позволит контролировать передачу данных между всеми операторами и провайдерами связи и отслеживать тех, кто не исполняет требования ведомства». Бюджет на это дело заложен приличный – 1,2 млрд ₽.
Помимо приближения
#НовостьДня
Пакет Безопасности
👍5❤4❤🔥3🤔3🤯2⚡1🤬1
🔒 Атаки по слоям
Нашёл тут интересную схему с кибератаками, расписанными по слоям модели OSI.
Думаю, что многим может пригодиться для структурирования и визуализации модели атак в работе и на собеседованиях. Ловите.
#Полезное
Пакет Безопасности
Нашёл тут интересную схему с кибератаками, расписанными по слоям модели OSI.
Думаю, что многим может пригодиться для структурирования и визуализации модели атак в работе и на собеседованиях. Ловите.
#Полезное
Пакет Безопасности
🔥10👍5❤🔥2❤2⚡1👎1🤯1
📱 Угон аккаунта в подарок
Новая волна взломов обрушилась на пользователей Telegram. На этот раз угон аккаунта осуществляется через рассылку личных сообщений от знакомых контактов в мессенджере. Схема достаточно примитивная, но в этот раз обёрнута в привлекательное предложение.
Итак, в личные сообщения от знакомого человека приходит подарок с Telegram Premium (скрин ниже) с активной кнопкой “Получить Premium”. Если вы нажмёте на эту кнопку, то вас перебросит в чат-бота, который и угонит ваш аккаунт.
Внимание!
Настроенная двухфакторная аутентификация не поможет и вы точно также потеряете доступ к вашему личному профилю. Поэтому, если вдруг вам придёт подобный подарок, ни в коем случае не нажимайте на эту кнопку и никак не отвечайте на сообщение. Для вашего же спокойствия, вы можете связаться с этим человеком (не через телеграм), чтобы убедиться в том, что вам ничего не отправляли и это был обычный фишинг.
Берегите себя и будьте на чеку.
#Кибергигиена
Пакет Безопасности
Новая волна взломов обрушилась на пользователей Telegram. На этот раз угон аккаунта осуществляется через рассылку личных сообщений от знакомых контактов в мессенджере. Схема достаточно примитивная, но в этот раз обёрнута в привлекательное предложение.
Итак, в личные сообщения от знакомого человека приходит подарок с Telegram Premium (скрин ниже) с активной кнопкой “Получить Premium”. Если вы нажмёте на эту кнопку, то вас перебросит в чат-бота, который и угонит ваш аккаунт.
Внимание!
Настроенная двухфакторная аутентификация не поможет и вы точно также потеряете доступ к вашему личному профилю. Поэтому, если вдруг вам придёт подобный подарок, ни в коем случае не нажимайте на эту кнопку и никак не отвечайте на сообщение. Для вашего же спокойствия, вы можете связаться с этим человеком (не через телеграм), чтобы убедиться в том, что вам ничего не отправляли и это был обычный фишинг.
Берегите себя и будьте на чеку.
#Кибергигиена
Пакет Безопасности
👍16😱6❤3❤🔥3🤯2⚡1🔥1🤝1
👨🏫 Работа над ошибками репутацией
У Сережи Мезенцова вышло откровенное интервью с хэдами из Яндекса. Выпуск всецело посвящен данным, их безопасности и тому самому сливу из Яндекс Еды. Интервьюер максимально старался заставить технических специалистов говорить на понятном для всех языке, и кажется, что у него это неплохо получилось.
Ребята из Яндекса подтвердили, что это была не просто утечка по вине сотрудника или системной ошибке, а полноценный взлом серверов компании. Само собой, специалисты из ИБ утверждают, что это были внешние сервера вне основного периметра безопасности компании. Хочется надеяться на то, что это правда, и инфраструктура Яндекса не была скомпрометирована). Очень странно конечно, что за такой большой промежуток времени (с момента покупки родоначальника сервиса доставки еды от Яндекса) компания не успела перевезти все сервисы с чувствительной информацией в свой контур.
Само собой, представители компании несколько раз оправдывались тем, что данные утекают не только у них, ссылаясь на глобальную кибервойну. Сути того, что утечка произошла у такой именитой организации с высоким уровнем зрелости ИТ и ИБ, это не меняет. Напомню, что это был не простой слив информации, ведь там были комплексные данные о клиентах с указанием ФИО, номеров телефонов, адресов доставки и стоимости заказов.
Очень хорошо, что на интервью была затронута тема действий при возникновении подобного инцидента информационной безопасности. Лично я уже несколько раз участвовал в подобных процедурах расследования и приятным его назвать нельзя. Нужно сделать много целевых действий и не совершить лишних ошибок при верификации слитых данных, ведь они также могут быть заражены. Также нужно убедиться в том, что злоумышленника всё еще нет в периметре безопасности и найти следы его деятельности, пока не утекло еще больше данных, например.
Лучше заранее озаботиться проработкой всего сценария действий на случай подобного происшествия, потому что во время горячки будет точно не до этого. Нужно заранее выстроить алгоритм взаимодействия как с ИТ, бизнесом, так и со СМИ.
Ах да, возвращаясь к инциденту Яндекса и тому, что компания признала это взломом в результате хакерской атаки. Примерно в то же время, когда и было опубликовано интервью, в Интерфаксе вышла новость о том, что Яндекс.Еда признана потерпевшей стороной по делу об утечке данных клиентов. Что тут еще сказать – очень удобно. Думаю, что в одном из следующих постов мы обсудим те штрафы и последствия, которые грозят компаниям в РФ за утечку клиентских данных, и почему они этого не так сильно боятся.
#НовостьДня
Твой Пакет Безопасности
У Сережи Мезенцова вышло откровенное интервью с хэдами из Яндекса. Выпуск всецело посвящен данным, их безопасности и тому самому сливу из Яндекс Еды. Интервьюер максимально старался заставить технических специалистов говорить на понятном для всех языке, и кажется, что у него это неплохо получилось.
Ребята из Яндекса подтвердили, что это была не просто утечка по вине сотрудника или системной ошибке, а полноценный взлом серверов компании. Само собой, специалисты из ИБ утверждают, что это были внешние сервера вне основного периметра безопасности компании. Хочется надеяться на то, что это правда, и инфраструктура Яндекса не была скомпрометирована). Очень странно конечно, что за такой большой промежуток времени (с момента покупки родоначальника сервиса доставки еды от Яндекса) компания не успела перевезти все сервисы с чувствительной информацией в свой контур.
Само собой, представители компании несколько раз оправдывались тем, что данные утекают не только у них, ссылаясь на глобальную кибервойну. Сути того, что утечка произошла у такой именитой организации с высоким уровнем зрелости ИТ и ИБ, это не меняет. Напомню, что это был не простой слив информации, ведь там были комплексные данные о клиентах с указанием ФИО, номеров телефонов, адресов доставки и стоимости заказов.
Очень хорошо, что на интервью была затронута тема действий при возникновении подобного инцидента информационной безопасности. Лично я уже несколько раз участвовал в подобных процедурах расследования и приятным его назвать нельзя. Нужно сделать много целевых действий и не совершить лишних ошибок при верификации слитых данных, ведь они также могут быть заражены. Также нужно убедиться в том, что злоумышленника всё еще нет в периметре безопасности и найти следы его деятельности, пока не утекло еще больше данных, например.
Лучше заранее озаботиться проработкой всего сценария действий на случай подобного происшествия, потому что во время горячки будет точно не до этого. Нужно заранее выстроить алгоритм взаимодействия как с ИТ, бизнесом, так и со СМИ.
Ах да, возвращаясь к инциденту Яндекса и тому, что компания признала это взломом в результате хакерской атаки. Примерно в то же время, когда и было опубликовано интервью, в Интерфаксе вышла новость о том, что Яндекс.Еда признана потерпевшей стороной по делу об утечке данных клиентов. Что тут еще сказать – очень удобно. Думаю, что в одном из следующих постов мы обсудим те штрафы и последствия, которые грозят компаниям в РФ за утечку клиентских данных, и почему они этого не так сильно боятся.
#НовостьДня
Твой Пакет Безопасности
👍9⚡6❤🔥4🔥3🤯1
🤜 Битва титанов 🤛
В большинстве современных компаний с достаточно развитым уровнем зрелости IT существует парадигма, согласно которой ИТ постоянно борется с ИБ, а ИБ борется с ИТ. Этому зачастую подвержены компании, в которых эти домены развиваются независимо друг от друга и стоят на одной иерархической параллели. То есть никто из них друг другу не подчиняется.
Со стороны ИТ всё банально просто – разработчики пилят фичи, которые делают жизнь пользователей лучше, за счет чего бизнес генерирует больше денег. Но тут приходят “друзья” из ИБ и начинают вставлять палки в колёса, тормозя релизы, усложняя жизнь всем вокруг и увеличивают t2m. И, к сожалению, делают это зачастую без какой либо аргументации и объяснения причины того, зачем нужно встраивать тот или иной сканер безопасности. В итоге создаётся впечатление того, что все требования этих “друзей” формируются и выполняются сугубо для галочки.
Со стороны же ИБ всё иначе. Эта функция экономит бизнесу колоссальное количество денег, устраняя на ранней стадии как технологические риски (отказ инфраструктуры, утеря критически важных данных, некорректная работа сервисов), так и репутационных (слив данных пользователей, некачественная работа сервисов, публикация лозунгов прямо на лендингах и в приложениях). При этом, есть разработчики, которым абсолютно нет дела до безопасности, так как в их обязанности это не входит и им платят деньги за новые фичи и отсутствие багов.
Как итог мы имеем конфликт интересов, которого легко можно избежать, если кибербезопасность будет формулировать свои требования исходя из реальных угроз и бизнес-контекста продуктов, а разработчики будут понимать ценность тех приседаний, которые их заставляют повторять безопасники. Улучшить ситуацию способен и бизнес, который сможет собрать всех вместе и донести до каждой из сторон ценность друг друга. Ведь именно бизнес является тем самым главным потребителем всех безопасных и функциональных ИТ-продуктов.
На самом деле, проблема намного глубже и в ней сильно больше нюансов и контекста. Мы с моим коллегой однажды подробно расписали всю эту тему, да так, что аж на целую статью хватило. Поэтому велкам, если тема интересна – ссылка на лучшую статью тут и тут.
#Мнение
Пакет Безопасности
В большинстве современных компаний с достаточно развитым уровнем зрелости IT существует парадигма, согласно которой ИТ постоянно борется с ИБ, а ИБ борется с ИТ. Этому зачастую подвержены компании, в которых эти домены развиваются независимо друг от друга и стоят на одной иерархической параллели. То есть никто из них друг другу не подчиняется.
Со стороны ИТ всё банально просто – разработчики пилят фичи, которые делают жизнь пользователей лучше, за счет чего бизнес генерирует больше денег. Но тут приходят “друзья” из ИБ и начинают вставлять палки в колёса, тормозя релизы, усложняя жизнь всем вокруг и увеличивают t2m. И, к сожалению, делают это зачастую без какой либо аргументации и объяснения причины того, зачем нужно встраивать тот или иной сканер безопасности. В итоге создаётся впечатление того, что все требования этих “друзей” формируются и выполняются сугубо для галочки.
Со стороны же ИБ всё иначе. Эта функция экономит бизнесу колоссальное количество денег, устраняя на ранней стадии как технологические риски (отказ инфраструктуры, утеря критически важных данных, некорректная работа сервисов), так и репутационных (слив данных пользователей, некачественная работа сервисов, публикация лозунгов прямо на лендингах и в приложениях). При этом, есть разработчики, которым абсолютно нет дела до безопасности, так как в их обязанности это не входит и им платят деньги за новые фичи и отсутствие багов.
Как итог мы имеем конфликт интересов, которого легко можно избежать, если кибербезопасность будет формулировать свои требования исходя из реальных угроз и бизнес-контекста продуктов, а разработчики будут понимать ценность тех приседаний, которые их заставляют повторять безопасники. Улучшить ситуацию способен и бизнес, который сможет собрать всех вместе и донести до каждой из сторон ценность друг друга. Ведь именно бизнес является тем самым главным потребителем всех безопасных и функциональных ИТ-продуктов.
На самом деле, проблема намного глубже и в ней сильно больше нюансов и контекста. Мы с моим коллегой однажды подробно расписали всю эту тему, да так, что аж на целую статью хватило. Поэтому велкам, если тема интересна – ссылка на лучшую статью тут и тут.
#Мнение
Пакет Безопасности
❤🔥5👍5❤2🔥2🤔2⚡1🤯1
🚰 Цена утечки
На днях вышел анонс законопроекта от Минцфиры, в котором предлагается ввести штраф за утечку персональных данных. Размер штрафа при этом зафиксирован в виде 3% от оборота компании (судя по всему, годового).
Это огромный шаг в правильную сторону, так как в РФ на данный момент максимальный штраф за утечку составляет 500 000 руб., что абсолютно никак не пугает компании, на которые этот штраф накладывается. Компании зачастую теряют больше денег из-за репутационных издержек после публикации информации о сливах персональных данных клиентов.
Так вот, возьмем в пример инцидент со сливом данных клиентов сервиса Яндекс.Еда, о котором сама компания сообщила 1-го марта 2022 года. Именно на основе этой утечки была создана та самая интерактивная карта с адресами пользователей сервиса и данными об их заказах еды. Событие было крайне неприятным и повлекло за собой некоторые последствия. Позже эту карту начали обогащать информацией из других утечек (ГИБДД, Вайлдбериз, Авито), что по итогу полностью раскрывает данные о жизни людей и их привычках, а также даёт злоумышленникам целое напаханное поле для социальной инженерии или точечных взломов.
21 апреля сервис доставки еды был оштрафован на сумму 60 000 руб. за утечку персональных данных 58 тыс. пользователей. Думаю всем очевидно, что бизнес не почувствовал этого комариного укуса справедливости. Но, с введением в действие нового законопроекта, Яндекс заплатил бы порядка 10 680 000 000 руб. (с учетом оборота компании в 356 млрд. руб. за 2021 год). Хочется сразу сказать, что ни у меня, ни у Минцфиры (надеюсь) нет цели злостно наказать компании, которые и так пострадали от взлома и утечки. Напротив, хочется жить в мире, в котором компании будут осознавать весь груз ответственности за нарушение закона и прав своих клиентов. Именно тогда бизнес начнет выделять бОльшие бюджеты на обеспечение безопасности данных, закупку самых современных средств защиты и найм квалифицированных специалистов.
К слову, в мире такая практика с большими штрафами является нормой. Так, например, одну социальную сеть обязали выплатить штраф в размере 5 000 000 000 долларов за утечку персональных данных своих пользователей.
#НовостьДня
Пакет Безопасности
На днях вышел анонс законопроекта от Минцфиры, в котором предлагается ввести штраф за утечку персональных данных. Размер штрафа при этом зафиксирован в виде 3% от оборота компании (судя по всему, годового).
Это огромный шаг в правильную сторону, так как в РФ на данный момент максимальный штраф за утечку составляет 500 000 руб., что абсолютно никак не пугает компании, на которые этот штраф накладывается. Компании зачастую теряют больше денег из-за репутационных издержек после публикации информации о сливах персональных данных клиентов.
Так вот, возьмем в пример инцидент со сливом данных клиентов сервиса Яндекс.Еда, о котором сама компания сообщила 1-го марта 2022 года. Именно на основе этой утечки была создана та самая интерактивная карта с адресами пользователей сервиса и данными об их заказах еды. Событие было крайне неприятным и повлекло за собой некоторые последствия. Позже эту карту начали обогащать информацией из других утечек (ГИБДД, Вайлдбериз, Авито), что по итогу полностью раскрывает данные о жизни людей и их привычках, а также даёт злоумышленникам целое напаханное поле для социальной инженерии или точечных взломов.
21 апреля сервис доставки еды был оштрафован на сумму 60 000 руб. за утечку персональных данных 58 тыс. пользователей. Думаю всем очевидно, что бизнес не почувствовал этого комариного укуса справедливости. Но, с введением в действие нового законопроекта, Яндекс заплатил бы порядка 10 680 000 000 руб. (с учетом оборота компании в 356 млрд. руб. за 2021 год). Хочется сразу сказать, что ни у меня, ни у Минцфиры (надеюсь) нет цели злостно наказать компании, которые и так пострадали от взлома и утечки. Напротив, хочется жить в мире, в котором компании будут осознавать весь груз ответственности за нарушение закона и прав своих клиентов. Именно тогда бизнес начнет выделять бОльшие бюджеты на обеспечение безопасности данных, закупку самых современных средств защиты и найм квалифицированных специалистов.
К слову, в мире такая практика с большими штрафами является нормой. Так, например, одну социальную сеть обязали выплатить штраф в размере 5 000 000 000 долларов за утечку персональных данных своих пользователей.
#НовостьДня
Пакет Безопасности
👍11❤4🤯2😱2❤🔥1⚡1🌚1
🤔 Современные утечки требуют современных высказываний
Мы с вами всё еще живём в той эпохе, где все пользуются паролями, поэтому и новость сегодня соответствующая.
Только мы переварили признание от Яндекс Еды о том, что утечка данных клиентов произошла по причине хакерского взлома, как СЕО сервиса LastPass сделал публичное заявление. Оно касается последней атаки и утечки информации, которые, как оказалось, были реализованы при помощи получения доступа к облачному хранилищу, украденому (доступу) у одного из сотрудников компании.
Напомню, что менеджер паролей LastPass был неоднократно взломан за последние несколько месяцев. Так вот, это заявление главы компании подтвердило то, что злоумышленники действительно получили доступ и смогли вынести зашифрованные хранилища паролей пользователей сервиса. И отсюда мы можем сделать два вывода – хороший и плохой.
Хороший заключается в том, что хранилища данных пользователей спроектированы безопасно, а пароли хранятся в зашифрованном виде. Это означает, что для получения доступа к этим паролям, злоумышленникам необходим мастер-ключ, который есть только у пользователя.
Плохой вывод состоит в том, что этот мастер-ключ теперь можно подобрать при помощи брутфорса. Вопрос стоит только в том, что для перебора понадобится дополнительное время и ресурсы. Но кажется, что результат всё таки оправдает приложенные усилия. Рано или поздно все хранилища будут вскрыты и пароли пользователей станут доступны злоумышленникам.
Откровением лично для меня стал другой комментарий руководителя компании, касающийся того, какие именно данные были слиты, а именно – имена, адреса электронной почты, номера телефонов и некоторая платёжная информация. Что это за платёжная информация и что она делала в одном бэкапе вместе с другими данными – остаётся загадкой.
И да, если вы пользовались сервисом LastPass, то крайне рекомендую вам сменить все ваши пароли (как минимум ).
#НовостьДня
Твой Пакет Безопасности
Мы с вами всё еще живём в той эпохе, где все пользуются паролями, поэтому и новость сегодня соответствующая.
Только мы переварили признание от Яндекс Еды о том, что утечка данных клиентов произошла по причине хакерского взлома, как СЕО сервиса LastPass сделал публичное заявление. Оно касается последней атаки и утечки информации, которые, как оказалось, были реализованы при помощи получения доступа к облачному хранилищу, украденому (доступу) у одного из сотрудников компании.
Напомню, что менеджер паролей LastPass был неоднократно взломан за последние несколько месяцев. Так вот, это заявление главы компании подтвердило то, что злоумышленники действительно получили доступ и смогли вынести зашифрованные хранилища паролей пользователей сервиса. И отсюда мы можем сделать два вывода – хороший и плохой.
Хороший заключается в том, что хранилища данных пользователей спроектированы безопасно, а пароли хранятся в зашифрованном виде. Это означает, что для получения доступа к этим паролям, злоумышленникам необходим мастер-ключ, который есть только у пользователя.
Плохой вывод состоит в том, что этот мастер-ключ теперь можно подобрать при помощи брутфорса. Вопрос стоит только в том, что для перебора понадобится дополнительное время и ресурсы. Но кажется, что результат всё таки оправдает приложенные усилия. Рано или поздно все хранилища будут вскрыты и пароли пользователей станут доступны злоумышленникам.
Откровением лично для меня стал другой комментарий руководителя компании, касающийся того, какие именно данные были слиты, а именно – имена, адреса электронной почты, номера телефонов и некоторая платёжная информация. Что это за платёжная информация и что она делала в одном бэкапе вместе с другими данными – остаётся загадкой.
И да, если вы пользовались сервисом LastPass, то крайне рекомендую вам сменить все ваши пароли (
#НовостьДня
Твой Пакет Безопасности
❤🔥7👍6😁2🌚2⚡1🔥1🤯1
photo_2022-12-15_22-17-01.jpg
86.1 KB
Настало время поделиться одной полезной схемкой.
Очень годная шпаргалка по основным контролям для обеспечения безопасности всего и вся, начиная с данных и заканчивая периметром сети.
По сути, подсматривая в эту картинку, можно выстроить полноценный DevSecOps или довести безопасность в вашей компании до хорошего уровня зрелости.
#Полезное
Пакет Безопасности
Очень годная шпаргалка по основным контролям для обеспечения безопасности всего и вся, начиная с данных и заканчивая периметром сети.
По сути, подсматривая в эту картинку, можно выстроить полноценный DevSecOps или довести безопасность в вашей компании до хорошего уровня зрелости.
#Полезное
Пакет Безопасности
👍10❤3👏3❤🔥2⚡1🤯1
🤖 Альтрон или Скайнет?
Наверняка многие из вас уже слышали о том, как ChatGPT освоил новое ремесло и теперь умеет еще и собеседования за вас проходить.
Если коротко, то это создание принадлежит компании OpenAI, занимающейся разработкой и лицензированием технологий на основе машинного обучения. Изначально OpenAI была создана как некоммерческая организация с открытым исходным кодом. Но сейчас это не совсем так, что вызывает некоторые опасения.
К компании OpenAI имеют отношение многие громкие личности и организации, такие как Илон Макс и Microsoft. Первый был соучредителем компании, но позже вышел из состава директоров (по крайней мере, официально), а вот Майкрософт до сих пор поддерживает компанию огромными инвестициями.
На данный момент ChatGPT умеет писать сложные эссе, решать алгоритмы, искать баги и даже писать код. С последним пунктом есть некоторые проблемы, но разработчики явно нацелены на развитие продукта, особенно с учетом привлечения немалых инвестиций. С каждым днём чат-бот обрастает новыми функциями, а старые продолжают улучшаться, так как нейронка обучается.
Выглядит вся эта история, как косплей фильма про Мстителей, в котором Альтрона подключили к интернету. Кажется, что это следующая ступень эволюции и вектор развития задан правильный, но не нужно забывать про Скайнет. Этим озабочены уже и в Google, но у них есть и свой личный интерес по устранению конкурента.
Если посмотреть на всю эту историю со стороны кибербезопасности, то возникают опасения – как бы эту нейронку не научили еще и взламывать ресурсы в корыстных целях, ведь уже есть подробные гайды по тому, как это делать.
Изначально этот чат-бот создавался как искусственный интеллект, который должен принести пользу человечеству. Очень хочется надеяться, что эта идея живёт и по сей день. Если вы сами хотите попробовать ChatGPT в деле, то велкам.
#НовостьДня
Пакет Безопасности
Наверняка многие из вас уже слышали о том, как ChatGPT освоил новое ремесло и теперь умеет еще и собеседования за вас проходить.
Если коротко, то это создание принадлежит компании OpenAI, занимающейся разработкой и лицензированием технологий на основе машинного обучения. Изначально OpenAI была создана как некоммерческая организация с открытым исходным кодом. Но сейчас это не совсем так, что вызывает некоторые опасения.
К компании OpenAI имеют отношение многие громкие личности и организации, такие как Илон Макс и Microsoft. Первый был соучредителем компании, но позже вышел из состава директоров (по крайней мере, официально), а вот Майкрософт до сих пор поддерживает компанию огромными инвестициями.
На данный момент ChatGPT умеет писать сложные эссе, решать алгоритмы, искать баги и даже писать код. С последним пунктом есть некоторые проблемы, но разработчики явно нацелены на развитие продукта, особенно с учетом привлечения немалых инвестиций. С каждым днём чат-бот обрастает новыми функциями, а старые продолжают улучшаться, так как нейронка обучается.
Выглядит вся эта история, как косплей фильма про Мстителей, в котором Альтрона подключили к интернету. Кажется, что это следующая ступень эволюции и вектор развития задан правильный, но не нужно забывать про Скайнет. Этим озабочены уже и в Google, но у них есть и свой личный интерес по устранению конкурента.
Если посмотреть на всю эту историю со стороны кибербезопасности, то возникают опасения – как бы эту нейронку не научили еще и взламывать ресурсы в корыстных целях, ведь уже есть подробные гайды по тому, как это делать.
Изначально этот чат-бот создавался как искусственный интеллект, который должен принести пользу человечеству. Очень хочется надеяться, что эта идея живёт и по сей день. Если вы сами хотите попробовать ChatGPT в деле, то велкам.
#НовостьДня
Пакет Безопасности
👍7❤🔥4❤2🤯2⚡1
😱 И вот снова настало время страшных историй сливов
На этот раз речь пойдет о недавнем сливе данных водителей сервиса такси Сити Мобил. И да, это очередная утечка, опубликованная в сети от имени проукраинской группировки NLB. Эти ребята всё чаще начинают светиться в медиаполе (раз, два, три).
Сити Мобил уже подтвердил этот инцидент в СМИ, и, по его словам, сейчас ведётся внутреннее расследование. Между тем, в сеть были слиты не просто номера телефонов и ФИО водителей, а тысячи фотографий их паспортов. Само собой, компания выплатит символический штраф, после чего дальше продолжить осуществлять свою деятельность.
Есть одна очень хорошая практика – отстаивать свои права. А еще есть 152-ФЗ, который регламентирует правила обращения с персональными данными. Так вот, если соединить две эти вещи, то можно взыскать с компании компенсацию за причинённый ущерб. Обычно все истцы (владельцы слитых персональных данных) требуют возмещения в размере 100 тыс. руб. На деле, по итогам решения суда, сумма может оказаться меньше, но, можно подать коллективный иск и взыскать сразу большую сумму денег с компании. На месте пострадавших водителей я бы действительно задумался.
В конце концов, бесплатные юридические консультации никто не отменял, да и гуглить думаю все вы умеете. На всякий случай – вот тут есть пара полезных мыслей на эту тему. Еще рекомендую изучить краткое содержание того самого 152-ФЗ, лишним точно не будет. А с учетом участившихся сливов, можно вообще организовать себе пассивный доход.
#НовостьДня
Твой Пакет Безопасности
На этот раз речь пойдет о недавнем сливе данных водителей сервиса такси Сити Мобил. И да, это очередная утечка, опубликованная в сети от имени проукраинской группировки NLB. Эти ребята всё чаще начинают светиться в медиаполе (раз, два, три).
Сити Мобил уже подтвердил этот инцидент в СМИ, и, по его словам, сейчас ведётся внутреннее расследование. Между тем, в сеть были слиты не просто номера телефонов и ФИО водителей, а тысячи фотографий их паспортов. Само собой, компания выплатит символический штраф, после чего дальше продолжить осуществлять свою деятельность.
Есть одна очень хорошая практика – отстаивать свои права. А еще есть 152-ФЗ, который регламентирует правила обращения с персональными данными. Так вот, если соединить две эти вещи, то можно взыскать с компании компенсацию за причинённый ущерб. Обычно все истцы (владельцы слитых персональных данных) требуют возмещения в размере 100 тыс. руб. На деле, по итогам решения суда, сумма может оказаться меньше, но, можно подать коллективный иск и взыскать сразу большую сумму денег с компании. На месте пострадавших водителей я бы действительно задумался.
В конце концов, бесплатные юридические консультации никто не отменял, да и гуглить думаю все вы умеете. На всякий случай – вот тут есть пара полезных мыслей на эту тему. Еще рекомендую изучить краткое содержание того самого 152-ФЗ, лишним точно не будет. А с учетом участившихся сливов, можно вообще организовать себе пассивный доход.
#НовостьДня
Твой Пакет Безопасности
👍7❤5❤🔥3🤯3😁2⚡1🔥1