Пакет Безопасности
31.9K subscribers
622 photos
68 videos
26 files
1.23K links
Авторский канал, где всё полезное из мира IT и ИБ, а также мнение автора сквозь призму кибербеза, аккуратно сложены в Пакет Безопасности.

Вопросы – @romanpnn
Реклама – @romanpnn0 или telega.in/channels/package_security/card

Реестр: clck.ru/3FsiMj
Download Telegram
Дааааааааааааайджест

Давно его не было, поэтому давайте смотреть, чего там у нас интересного произошло не только за прошлую неделю.

Разобрались, что в итоге вам делать с вашим цифровым следом – ссылка

Поняли, как работают куки на сайтах и кому вообще нужна эта надоедливая всплывашка – ссылка

📹 Вышел ролик с ультимативным гайдом по тренажерам и CTF для кибербезопасников.

📹 Еще вышел долгожданный мок-собес по направлению Application Security + в работе еще несколько моков по этой специальности для разных грейдов.

📹 Ну а на следующей неделе выйдет новый выпуск нашего подкаста.

👨‍🏫 Еще на этой неделе провел вебинар для Школы 21 от Сбера с разбором рынка кибербезопасности, поэтому в канале тоже скоро появится этот ролик.

📄 Я наконец-то разобрал очередь из порядка 50 заявок от рекрутеров и кандидатов в Резюмешную. Туда правда навалилось еще около 10 заявок, поэтому в ближайшие дни займусь и ими.

Ну и фоточки ловите.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
26🎉5👍4😍2🫡1
Страшилки про сертификаты

Скинули мне тут пост с громким разоблачением: мол, Яндекс Браузер втихую пихает корневой сертификат Минцифры (Russian Trusted Root CA) прямо в системное хранилище Windows. И вывод там такой, что теперь любой провайдер расшифрует ваш HTTPS, перехватит пароли и куки, а вы даже предупреждения не увидите. Сначала я просто подорвался в комментариях нашего чатика, а потом уже решил расписать все это дело в посте.

Если в двух словах, то оно так не работает. Ключевая ошибка автора – он смешал в одну кучу две разные вещи: системный trust store винды и изолированное хранилище доверия внутри браузера. Это не одно и то же, и вся «сенсация» рассыпается ровно на этом месте.

А теперь на архитекторском и не в двух словах:

1. Браузер не лезет в системное хранилище ОС. Яндекс Браузер не вносит изменения в системный список доверенных корневых сертификатов Windows и не трогает PKI-модель операционки. Национальные сертификаты живут как отдельный, изолированный trust domain внутри самого браузера. На другие приложения, на системные криптоконтексты, на ваш условный Chrome или почтовый клиент это не влияет вообще никак. Та самая инструкция из поста с certmgr.msc проверяет именно системное хранилище – где браузер ничего не прописывает.

2. Контуры доверия разделены. Системный (ОС) и браузерный (нацсертификаты) – это два отдельных домена. Транзитивного расширения доверия нет: поддержка нацсертификатов в браузере не переопределяет и не расширяет общесистемную криптополитику. Никакого «теперь винда доверяет всему подряд» не происходит.

3. Сверху еще Certificate Transparency. Сертификат считается валидным, только если он лежит в публичном CT-логе и соответствует домену. То есть выпуск – это не «закрытый контур, где CA молча штампует что хочет», а наблюдаемая система событий: факт выпуска и область применения можно проверить публично. Тихо сгенерить поддельный серт «на любой внешний ресурс» и остаться незамеченным – так не работает.

4. Поэтому MitM, который рисует автор, технически исключен. Нет возможности незаметно встроиться в цепочку доверия TLS. Данные шифруются стандартным TLS и остаются зашифрованными на всём пути между браузером и сервером – расшифровать или подменить их вне конечных точек нельзя.

Что по итогу. Сама поддержка национальных сертификатов – это реальная функция. Но вот вывод «значит, вас прослушивают через системное хранилище» – это либо непонимание архитектуры, либо сознательная манипуляция на громком слове «Минцифры».

Цели кого-то защитить в этой истории у меня нет, если что. Более того, эта тема с отзывом сертификатов GlobalSign и Let's Encrypt у меня и самого сейчас болит, она у всего рынка болит, так как до сих пор нет идеального плана по переезду с них, кроме как закупиться всеми сертами нашей планеты и выпустить параллельно серты через Госуслуги.

А вообще, лучше гляньте, как нагло ведет себя Хром, на котором сидят все.

И да, всегда проверяйте то, что вам пишут в интернетах. В том числе на матчасть. Всем мир.

ПБ | 😎 Чат | 🛍 Проекты | 📹 YT
Please open Telegram to view this post
VIEW IN TELEGRAM
👍36🔥109💯8🤔2🤣2🫡1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁80🏆12🔥6🤣3💯21🫡1
This media is not supported in your browser
VIEW IN TELEGRAM
«Мы не делаем разницы между кодом, написанным человеком, и кодом, сгенерированным ИИ. Контроль за качеством и безопасностью один», — рассказывает Алексей Черномазов, директор по информационной безопасности Лемана ПРО.

Вместо запретов на нейросети компания строит «бастион» с искусственным интеллектом, где не только безопасно, но и удобно работать.

Подробнее о тренде на развитие ИИ, метриках измерения эффективности ИБ и построение собственного security operations center Алексей рассказал в интервью партнеру Kept, руководителю практики кибербезопасности Илье Шаленкову.

🟣 Полную версию интервью смотрите в VK Видео или читайте на портале Kept Mustread.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤‍🔥12👎6🎃42🤝21🙏1🫡1
Пакет Безопасности x 😎OZON

Мы это сделали. МЫ ЗАПИСАЛИ ДЛЯ ВАС НОВЫЙ ВЫПУСК НАШЕГО ПОДКАСТА, название которого мы все еще не придумали.

https://youtu.be/oZJS4plc_e8
https://youtu.be/oZJS4plc_e8
https://youtu.be/oZJS4plc_e8

В этот раз мы собрались с нашими старыми приятелями, которые сейчас строят кибербез в ОзонТехе. Насмеялись мы где-то на полгода вперед, но по дороге мы успели обсудить, какие у кого были инциденты, как выглядит безопасность с человеческим лицом, а еще, столько получал Тимофей на своей первой работе еще в далеком 2013 году.

В общем, погнали смотреть
📹 Youtube
📺 VK Video
Please open Telegram to view this post
VIEW IN TELEGRAM
27🔥20👀6👍4🫡1
На Альфа-Саммите поговорили про кибербезопасность. Пока ситуация невеселая (внезапно, да?): свои фундаментальные проблемы с ИБ есть и у зрелых, и у молодых компаний.

Согласен с идеей Михаила Книгина из ИТ-холдинга Т1, которая будет актуальна и тем, и другим: «Латать дыры бесполезно — фокус нужно концентрировать на критических бизнес-процессах» — то есть смотреть не на бреши в безопасности, а на приоритетные цели для защиты.

Опытным компаниям нужно проводить харденинг инфраструктуры (после того, как они ее всю вытащат из шедоу ИТ): разобраться в своем легаси и укрепить защиту заранее.

Новичкам же нужно сразу выстраивать ИТ-инфраструктуру с участием ИБ-специалистов, проектировать системы и ставить ТЗ с учетом реальных задач кибербеза и не думать, что оно как-нибудь само образуется. Да, дорого, да не до этого, но надо.

Участники сессии еще отметили, что бизнес часто не понимает, насколько зависит от цифры. Главная ошибка компаний — быстро цифровизировать процессы, не думая, что произойдёт, если один из них остановится.

ПБ | 😎 Чат | 🛍 Проекты | 📹 YT
Please open Telegram to view this post
VIEW IN TELEGRAM
52🤝2👍1
Дай человеку рыбу, и он будет сыт один день. Погугли один раз про рыбу – и будешь видеть рекламу рыбного магазина всю жизнь. (с)

Ситуация, знакомая каждому – вы заходите на сайт посмотреть, сколько стоит пара кроссовок, а потом еще неделю видите рекламу этих кроссовок на других сайтах и в ваших соцсетях. Или еще более бессмысленный сценарий: вы уже купили себе кроссовки, а вас еще неделю продолжают кошмарить рекламными баннерами.

Этот эффект называется таргетированной (или поведенческой) рекламой. Это не слежка в прямом смысле слова (нет никакого человека в наушниках, который подслушивает ваши разговоры, правда же?), а работа алгоритмов, которые связывают ваши действия в интернетах в единую цепочку.

В догонку к предыдущему посту про куки решил разобрать чуть подробнее, как работает реклама в интернете, и как мы становимся видимыми для рекламных сетей:

1. Куки или пиксели
Когда вы заходите на сайт (возьмем для примера те же кроссовки) и нажимаете «Принять все», этот сайт оставляет в вашем браузере небольшой файл-метку. Теперь ваш браузер помечен условной маркировкой: «Пользователь Вася интересовался кроссовками». И с этой информацией рекламные площадки начинают активно взаимодействовать.

2. Единый профиль по ID
У каждого браузера и смартфона есть уникальный рекламный идентификатор (IDFA на iOS, GAID на Android). По сути – это ваш цифровой потребительский портрет. Когда вы ищете товар в Google, а потом заходите на Ютуб или ВК, рекламная сеть (Google Ads или VK Реклама) видит, что это один и тот же пользователь. Она просто соединяет две точки: поиск и ленту соцсети. И бомбит вас предложениями товаров и услуг, которые по мнению алгоритмов могут быть вам интересны.

3. Ретаргетинг (самая частая причина)
Магазин, где вы смотрели товар, платит рекламной сети, чтобы та показывала объявления именно тем, кто уже был на их платформе, но ничего не купил. В маркетинге это называется «догнать клиента». Поэтому вы повсюду видите рекламу одной конкретной пары кроссовок, которую однажды изучали на сайте.

4. Связка устройств и аккаунтов
Если вы искали товар со сматфона, а рекламу видите на ноутбуке – это логично. Вы залогинены в один Google-аккаунт или один аккаунт соцсети на обоих устройствах. Алгоритм знает, что это один человек, и синхронизирует историю.

5. Контекстная реклама (поисковая)
Когда вы гуглите «кроссовки», поисковик понимает ваше намерение прямо здесь и сейчас. Даже если вы просто искали картинку. Даже если у вас нет куков от магазинов. Система будет показывать вам рандомную рекламу магазинов обуви, пока ваш «поисковый запрос» еще горячий. Контекстная реклама отличается от таргета тем, что ей без разницы, кто вы и чем увлекаетесь. Погуглили фото кошки – получите объявление с Авито с милыми котятами.

Что можно с этим сделать?
Если вы не хотите бесплатно раздавать свои персональные данные, то можно отключить в браузерах и на устройствах персонализированную рекламу. В этом случае реклама на сайтах все равно будет, но рандомная.

А если вас в целом не привлекают всплывающие баннеры - Adblock вам в помощь. И еще пачка полезных расширений, которыми я делился в этом посте.

И ради всего святого, почистите уже историю браузера.

ПБ | 😎 Чат | 🛍 Проекты | 📹 YT
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥25😁146💘4🏆1
А вот и он, воскресный дайджест!

Я лично нахожусь в шикарнейшем отпуске, чего и вам советую. Но активность в каналах и проектах на месте не стоит, поэтому давайте смотреть, чего там интересного за неделю произошло.

🧠 В Кибер ПТУ, помимо самых полезных и прикладых постов в вашей жизни, вы могли заметить анонс стрима, который пройдет уже на ближайшей неделе – ссылка

📹 На нашем ютуб-канале вышел новый выпуск безымянного подкаста с кибербезопасниками – ссылка

Разобрались с вами, как реклама в интернетах постоянно узнает, что нас действительно волнует – ссылка

👨‍🏫 Ну а в канале по Менторству ИБ узнали, как проверять будущих работодателей и научиться не бросать начатое – ссылка

Вроде ничего не забыл, поэтому погнали отгуливать мой отпуск дальше. Всем мир.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
17🔥14🤩4🫡1
Держи гаджеты в чистоте, а кукуху – в спокойствии

Сначала смотрим статистику: 57% российских пользователей признаются, что испытывают усталость от непрерывного потока уведомлений и нахождения в сети. (И это только среди тех, кого опросили).

Потом осознаем один важный факт – мы перегружены огромным количеством информации и раздражителей, которые мозгу приходится обрабатывать ежедневно. Когда работаешь перед большим экраном (или двумя? или тремя?), а отдыхаешь – перед экраном поменьше, сложно не засвистеть флягой.

Самые рабочие методы решения этой проблемы – «цифровая гигиена» и «цифровой детокс». Кстати, эти термины часто путают, хотя по сути это разные вещи. Разберем по-простому 👇

Цифровая гигиена (Digital Hygiene) – это регулярные привычки, направленные на поддержание ваших устройств и аккаунтов в «чистом» и безопасном состоянии. Обновить пароли, удалить ненужные приложения, установить апдейты, проверить разрешения – по сути, как регулярная уборка квартиры. Так мы чистим память устройств, снижаем риски взломов и утечек, а также убираем из поля зрения лишние пуши и уведомления.

Цифровой детокс (Digital Detox) – это период полного или частичного отказа от использования гаджетов и интернета. Выключить уведомления, убрать телефон в ящик, не заходить в соцсети – вроде как съездить в отпуск или на природу, чтобы подышать свежим воздухом. Так мы снижаем тревожность и восстанавливаем ментальный ресурс.

Важно то, что одно почти бессмысленно без другого. Соблюдать цифровую гигиену без детокса – это как жить в идеально чистой квартире, но никогда оттуда не выходить. А детокс без гигиены – это как съездить в отпуск, а потом вернуться и снова устать из-за бардака.

В общем, держите небольшой чек-лист, с чего можно начать путь воина релакса:

1. Тишина по расписанию
Настройте автоматические режимы «Не беспокоить» или «Фокус» (на iOS и Android) на ночь, а также на первый час утром и последний перед сном. Это поможет справиться с привычкой засыпать и просыпаться с телефоном в руках. Никуда ваши входящие не денутся, а вы попьете кофе в тишине.

2. Аудит приложений
Откройте настройки и отсортируйте приложения по дате последнего использования. Весомая часть взломов происходит через веб и мобильный софт, а каждое «спящее» приложение – потенциальная мишень. Удаляем все, чем не пользовались больше 3 месяцев (и что можно будет скачать обратно при необходимости). А заодно можно отключить уведомления в тех приложениях, в которых они не особо нужны. А заодно можно и удалить свои аккаунты в тех приложениях, которые вы удалили.

3. Проверка разрешений
Зайдите в раздел разрешений и отключите доступ к микрофону и геолокации для всех приложений, где это не является необходимой функцией. Так вы защитите свой гаджет от рекламного отслеживания и назойливых пушей.

4. Двухфакторность без SMS
Замените SMS-подтверждение на коды из аутентификатора (Google/Microsoft/Яндекс). Это надежнее: SMS могут перехватить, а динамический код привязан к вашему устройству. Так вы снимите лишнюю тревогу по поводу взломов.

5. Еженедельная отписка
Раз в неделю массово отписывайтесь от рассылок, чатов и групп, которые не открывали больше двух месяцев. Чем меньше подписок – тем тише почта и мессенджеры.

6. Чек активных сессий
Раз в месяц заходите в настройки безопасности Google, Apple ID, Telegram, соцсетей и просматривайте список устройств, где вы авторизованы. Если видите незнакомое – тут же завершайте сессию и меняйте пароль.

7. Уборка визуального шума
Подробнее о том, как избавиться от навязчивых рекламных баннеров, рассказывал в одном из прошлых постов.

Какие привычки еще внедряем? Обсуждаем в комментах 👇

ПБ | 😎 Чат | 🛍 Проекты | 📹 YT
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2612😁7🏆4👍2🎉1
Мне вот интересно, который раз уже взламывают каналы Ксении Анатольевны?

P.S. Верим во взлом через почту или в более реалистичный сценарий про разлад в команде?
🤣266👍42
Тест на параноика кибербезопасника

Сегодня будет немного гиковский пост, в котором мы поговорим о фигуре, без которой невозможно представить современную IT-индустрию. Ричард Столлман известен не просто как гениальный инженер-программист, а как создатель целой философии свободного программного обеспечения (Free Software). В общем, погнали.

Вспоминаем матчасть:
Столлман запустил проект по созданию полностью свободной Unix-подобной операционной системы (GNU). Стал автором множества важных компонентов, которые легли в основу не только операционной системы GNU/Linux, но и всей современной интернет-инфраструктуры. На основе разработанных им инструментов было положено начало развитию Linux, что затем косвенно легло в основу таких гигантов, как Android, облачных сервисов Amazon и большинства крупных компаний.


Помимо почетных регалий в области IT-разработок, Ричард Столлман известен как один из главных «параноиков» по части кибербеза. Человек буквально отказывается оставлять хоть какой-то цифровой след (тогда откуда в сети столько его фото?).

Накидал для вас небольшой чеклист Столлмана, чтобы вы могли проверить свой уровень профдеформации. Так что считаем, сколько пунктов совпадет и делимся результатами в комментариях.

1. Не пользуйтесь соцсетями. Никогда.
Столлман ими не пользуется – он называет их «чудовищным шпионским механизмом» и считает, что «не мы пользуемся Facebook*, а Facebook использует нас». Да, все еще *продукт компании Meta, которая признана экстремистской организацией в РФ.

2. Выбросьте смартфон. Или хотя бы не носите его с собой.
Ричард Столлман никогда не владел смартфоном – он называет их «портативными устройствами слежения», потому что радиопроцессор всегда включен и связан с GPS и микрофоном.

3. Заклейте все камеры и микрофоны на всех устройствах.
Главный анархист IT вообще не использует ноутбуки со встроенными камерами, а также не подключается к веб-сайтам с собственной машины, чтобы минимизировать риски слежки.

4. Используйте только свободное ПО (Free Software).
Столлман принципиально не использует проприетарное ПО и призывает других делать то же самое. Никакого Windows или macOS, только хардкор и программы с открытым исходным кодом, которые можно проверить самостоятельно (а в вашей ОС есть бэкдоры?).

5. Откажитесь от облачных сервисов.
Ваши файлы должны храниться только локально, на зашифрованном диске. Для резервных копий – внешний жесткий диск, который вы лично отключаете от сети.

6. Платите только наличными. Никаких карт и онлайн-банкинга.
Столлман говорит: «Я никогда не использую кредитную карту. Я не хочу, чтобы какая-либо база данных знала, что я купил». И в довесок носит значок «Don't be tracked. Pay cash».

7. Не пользуйтесь Google, Яндексом и другими «большими» поисковиками.
Программист обычно использует DuckDuckGo, а если пользуется Google – только с чужого компьютера, чтобы Google не знал, что это он.

8. Шифруйте все, что можно.
Ричард Столлман не использует общепринятые центры/серверы/сервисы ключей – если вы хотите получить от него зашифрованный ответ, вы должны сами прислать ему свой ключ. Он лично участвовал в разработке GnuPG (свободное ПО для шифрования данных).

9. Не подключайтесь к публичным Wi-Fi.
В кафе, аэропорту, гостинице любой открытый Wi-Fi – это сбор информации о вас (хотя мы как-то раз разбирались, почему это так уже не работает). Столлман использует браузер GNU Icecat через Tor для анонимного серфинга.

10. Избавьтесь от всех «умных» устройств в доме.
Столлман критикует «умные» вещи и IoT-устройства, называя их инструментами слежки.

11. Не используйте биометрию.
Никаких отпечатков пальцев, Face ID, сканеров радужки. Ваше тело – это пароль, который нельзя сменить.

12. Не регистрируйтесь на сайтах под реальными данными.
Вымышленные имя, дата рождения, адрес – обязательно. И никогда не используйте один и тот же логин и пароль дважды. Менеджер паролей сгенерирует уникальные для каждого сервиса.

И да, Ричард Столлман – один из главных чудаков IT-индустрии. Однако, он точно кое-то знает о безопасности в сети.

ПБ | 😎 Чат | 🛍 Проекты | 📹 YT
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3017👍11
ПСБ, присылайте лучше сразу оффер на почту.

Вот эти все танцы с обработкой ПДн уже прошлый век.

P.S. Нет, я не откликался на их вакансии, не общался с рекрутерами и даже мимо отделения не проходил.

ПБ | 😎 Чат | 🛍 Проекты | 📹 YT
Please open Telegram to view this post
VIEW IN TELEGRAM
2🤣41👻32🤗2
Видели кстати, какая интересная фича есть в китайской нейронке Qwen?

Персуху этого парня то мы замазали, но там порой и женщин просят раздеть, и узнают, как провезти в страну Х сахар, в которой сахар запрещен законом, и генерируют себе поддельные документы. В общем, издеваются над молодой нейронкой как могут.

Ну а вы внимательнее читайте условия использования ваших данных в ИИ-сервисах и не делитесь с кем-попало своими чатами.

Всем мир.
🤣11🤯63
Чуть не забыл – воскресный дайджест!!!

Неделя закончилась, а это значит, что пора смотреть, что у нас там интересного произошло. Погнали.

📹 На ютубе появился и внезапно полетел ролик с разбором рынка труда в ИБ – ссылка

Банк ПСБ так и не прислал мне оффер...

Учимся кибергигиене у Ричарда Столлмана – ссылка

Учимся цифровому детоксу – ссылка

🧠 В Кибер ПТУ прошел первый стрим (с доцентом одной из кафедр), запись которого мы скоро опубликуем.

👨‍🏫 В канале по Менторству ИБ похоливарили на тему офферов и узнали, что нужно спрашивать у работодателя на собеседованиях.

😎 А тем временем, в нашем чате прибавилось порядка 50 человек.

Тем временем мой отпуск подходит к концу, и я вернулся с югов. А еще сегодня произошло достаточно важное событие в нашей семье – мы продали нашу любимую ласточку. Очень грустно, но надеюсь, что дальше будет только лучше. Всем мир.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍42💔1😭1