Пакет Безопасности
16K subscribers
159 photos
20 videos
23 files
673 links
Заявление № 4778087461

Авторский канал, где всё полезное из мира IT и ИБ, а также мнение автора сквозь призму кибербеза, аккуратно сложены в Пакет Безопасности.

Вопросы – @romanpnn
Реклама – @romanpnn0 или telega.in/channels/package_security/card
Download Telegram
Крипта – СКАМ

Про зарплаты и деньги в ИБ поговорили, теперь настало время поболтать и о том, как всё это добро не потерять. Думаю, что многие из вас слышали или смотрели интервью и выступление Паши Дурова на дубайском криптофоруме. Также, наверняка многие из вас слышали или хоть раз, да пользовались встроенным в Телеграм криптокошельком wallet.

Так вот, в последнее время появилось что-то очень много мошеннических схем, связанных с криптой TON (которая якобы никак не связана с основателем Телеграм) и этим встроенным кошельком. Более того, несколько человек из моего окружения даже повелись на такие схемы. Кажется, что всё это также было спровоцированно появлением детища TON – NOT Coin. Да, эта монета и игрушка были призваны популяризировать криптовалюты среди масс, но о побочках, кажется, никто не задумался. Как тыкать на монетку людям объяснили, а вот как свои кошельки защищать – забыли. Так что погнали разбираться, что там за схемы такие. В целом, по классике, никто ничего нового не придумал, просто обернул в свежую оболочку и подогнал под ситуацию.

Первая схема – вам пишут якобы от службы поддержки того самого Wallet с просьбой верифицировать свой профиль, чтобы не потерять свой кошелек и защититься от участившихся взломов. Да, процесс верификации действительно существует в этом сервисе, но вот происходит она обычно немного иначе. Тут же вам просто присылают ссылку, где вам надо ввести одноразовый код из сообщения от Телеграма. Дальше ваш аккаунт успешно угоняется, крипта снимается, юзернейм освобождается. Делается это все за считанные минуты.

Сам Wallet постоянно напоминает своим пользователям, что его поддержка никогда не связывается с пользователями первая. Ну а я вам напоминаю, что единственный официальный юзернейм этого кошелька – @wallet (не реклама). И там внутри вы уже и криптой покрутить сможете, и в поддержку написать, и пароль поставить (обещали скоро завезти эту функцию, возможно уже есть).

Вторая схема связана с тем, что тот самый пресловутый NOT Coin скоро должен появиться на криптовалютных биржах, где им можно будет официально торговать, продавать свои натыканные монетки и вот это вот всё. Во многих чатах, комментариях под постами в каналах (наш канал не исключение) начали появляться сообщения о том, что "ну наконец-то можно продать свои НОТкоины и стать миллионером, скорее переходи по ссылке". Благо тут уж совсем заморачиваться не стали, и схема палится уже по заголовку.

В общем, если залезаете в крипту, то будьте готовы к тому, что этот "анонимный" мир не так уж и безопасен. Думаю, что скоро сделаю еще подробный пост про безопасность в Телеграме с описанием детальной настройки своего аккаунта. Если вам такое надо – можете навалить реакций под пост. Ну и по традиции – пересылайте своим криптодрузьям, чтобы они не лишись своих кровно заработанных деняк.

#Кибергигиена

Твой Пакет Безопасности
В общем, это было круто!

Спасибо всем, кто послушал доклад, кто не постеснялся подойти (сам я не справился бы), с кем познакомились. Крутая страна, крутой город, крутая конфа.

По-дороге успел забежать на подкаст и дать небольшое интервью другим интересным ребятам, поэтому, возможно, скоро поделюсь ссылкой. Как-то так. Ловите небольшой фотоотчет.

В следующий раз встретимся на конференции в Майями 😎

Твой Пакет Безопасности
А вот и воскресенье

Воскресного дайджеста сегодня не будет. Понимаю – грустно, больно, обидно, канал уже не тот, автор обленился, а вот в наши времена было лучше и вот это вот всё. Ну ничего, всё, что нас не убивает, делает нас слабее сильнее.

Ну а пока я возвращаюсь на родину и жду в гости ребят из Positive Technologies, чтобы нам наконец-то дали PhD-билеты на розыгрыш, расскажу вам немного о том, что скоро будет в канале и вообще в нашей жизни.

Во-первых, скоро уже случится анонс следующего Pentest Awards, куда меня пообещали позвать членом жюри.

Во-вторых, мы с парочкой админов других ИБшных каналов заказали для вас Flipper Zero и горстку профильных книг для розыгрыша.

В-третьих, скоро опубликую информацию о том, как я решил вписаться в одну благотворительную историю с другими ребятами из мира кибербеза (там будет нечто годное для тех, кто пока не может себе финансово позволить посещать крутые, но платные ИБшные мероприятия).

В общем, жизнь кипит, мы движемся вперед и делаем (конечно же вместе) этот мир только лучше.

Твой Пакет Безопасности
Думаю, тут обойдемся без лишних комментариев.

#КиберМем

Твой Пакет Безопасности
Так-так-так

А вот и информация об одной из активностей, о которых я недавно упоминал. А именно, о той самой, где я вписался в благотворительный конкурс для начинающих безопасников (школьников и студентов).

Если коротко, то разыгрываем 6 билетов на тот самый PhD, который пройдет уже 23-26 мая. Плюс к этому, мы сформировали фонд в 120к на оплату дороги для тех, кто выиграет билеты, чтобы территориальные ограничения вас не остановили.

Ну а чтобы поучаствовать – нужно отправить отчет о своей самой интересной/крутой уязвимости/баге в специального бота (в общем, почти как в Pentest Awards). Заявки принимаются до 13 мая, результаты будут уже 17-го мая. Так что берем

Если подробно, то всё расписано вот тут – https://t.me/yrrp_official/6

Да пребудет с вами сила 🎩
Please open Telegram to view this post
VIEW IN TELEGRAM
Больше настроек

Так, настало время тряхнуть стариной и напомнить вам о безопасности в Телеграм. Да, мы говорили с вами об это уже не раз (раз, два, три, четыре), но, во-первых, это было давно, а во-вторых, сейчас мы подробно пройдемся по конкретным настройкам, чтобы сделать всё правильно и с первого раза. Информации много, времени мало, поэтому будет сухо и по пунктам – поехали.

⚡️ Крайне желательно иметь отдельный номер телефона под свой Телеграм-аккаунт (симку можно будет вытащить, но не выбрасывать)
⚡️ Включить двухфакторную аутентификацию (телефон и пароль + приходит смс с одноразовым кодом, если вход был с нового устройства). Настройки –> Конфиденциальность –> Облачный пароль (включаем, записываем и не теряем)
 ⚡️ Включаем код-пароль. Настройки –> Конфиденциальность –> Код-пароль (включаем и не забываем)
 ⚡️ Скрываем свой номер телефона. Настройки –> Конфиденциальность –> Номер телефона (настраиваем так, чтобы его никто не видел)
 ⚡️ Скрываем свои фото. Настройки –> Конфиденциальность –> Фотографии профиля (настраиваем так, чтобы их никто не видел)
 ⚡️ Запрещаем себя добавлять в групповые чаты и каналы. Настройки –> Конфиденциальность –> Приглашения (настраиваем так, чтобы никто не мог приглашать)
 ⚡️ Запрещаем себе звонить. Настройки –> Конфиденциальность –> Звонки. PEER-TO-PEER (анонимные звонки) вообще отключаем, а обычные – по своему усмотрению, но точно не "для всех"
 ⚡️ Ограничиваем доступ из пересылов ваших сообщений. Настройки –> Конфиденциальность –> Пересылка сообщений (делаем так, чтобы при нажатии на ваше имя никто не мог перейти на ваш аккаунт)
 ⚡️ Регулярно проверяем, на каких устройствах активен ваш аккаунт. Настройки –> Устройства (если находим аномалии – сразу удаляем подозрительный сеанс)

Думаю, что на этот пост хватит. Да, это база, да многие из вас о ней знают, но я уверен, что далеко не у всех дошли руки до того, чтобы нормально сесть и протыкать все эти нужные кнопки. Так что настало время это сделать. Ну и по традиции, ставим лайки и рассылаем своим близким, чтобы и они всё сделали правильно и безопасно.

Кстати, наткнулся недавно на статейку с разбором пары фишинговых схем, провёрнутых через Телеграм – ссылка. Там и картиночки, и разбор – так что приятного прочтения, лишним точно не будет.

Ну теперь точно всё. Всем мир.

#Кибергигиена

Твой Пакет Безопасности
This media is not supported in your browser
VIEW IN TELEGRAM
А вот и очередная красота

Да, не так красиво, как в прошлый раз, зато намного шире, чем обычный ДевСекОпс. Эта штука вам понадобится уже для того, чтобы построить в компании полноценный кибербез. Ну а если вы еще на пути становления безопасником (или ЦИСОй), то также сохраняйте – однозначно пригодится, чтобы понять, куда еще можно пойти, что изучить или на что обратить своё внимание.

По традиции – бахаем лайк (реакцию, ну), пересылаем друзьям-безопасникам и сохраняем в свои закрома.

UPD: качество сново пострадало, поэтому в комментах есть исходник 🫡

#Полезное

Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
Ну вот и настал тот момент, когда мы нашли с ребятами и Позитивов общий язык, и я смог добыть для вас аж 6 бесплатных билетов на их грядущий Positive Hack Days Fest 2 🥳

Так что, если вы еще не успели купить или выиграть где-то заветный проход на это масштабное кибербезопасное мероприятие, то это ваш звёздный час!

Для того, чтобы забрать свой билет, накидывайте в комментарии ваши интересные истории из мира ИБ, а если их будет больше, чем нужно (ну вдруг), то я просто выберу самые крутые из них. Это могут быть как реальные инциденты из рабочей практики, так и бытовые ситуации из сферы кибергигиены (вдруг вас кто-то хотел развести или обмануть в интернетах, например).

🚨 Итоги подведем в ближайший четверг – 16-го мая.

А еще я вам напоминаю про другую благотворительную активность, связанную с PhD, которую мы затеяли с крутыми ребятами из ИБшного комьюнити – ссылка. Мы договорились немного расширить (или даже упростить) условия участия, и теперь вы можете отправлять не только описание интересных багов с багбаунти, но и реализованные векторы на CTF и собственные ресерчи во всех направлениях ИБ 🔥

В общем, всем удачи и мира во всём мире 🫡

Твой Пакет Безопасности
This media is not supported in your browser
VIEW IN TELEGRAM
То ли у всех уже есть билеты на PhD, то ли вам не нравятся конкурсы 🤔
Ну да ладно, видимо таков путь. Кстати, если это не нужно вам, то отправьте вашим безопасным корешам – может им пригодится.

Неделька, к слову, была супер насыщенной, несмотря на то, что майские праздники никто не отменял. Так что погнали к дайджесту!

⚡️ Кибермем, который мало кто понял – ссылка

⚡️ Благотворительный розыгрыш билетов на PhD для молодого поколения с компенсацией проезда до самого фестиваля – ссылка

⚡️ Безопасные настройки в Телеграм (ну зайди ты уже и настрой там всё) – ссылка

⚡️ Очередная красивая гифка, которая багует с телефонов (про основные домены в ИБ) – ссылка

⚡️ Розыгрыш билетов на PhD уже для всех желающих – ссылка

Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
Да, мем не первой свежести, но он явно стоит публикации в канале.

#КиберМем

Твой Пакет Безопасности
Ну всё, теперь я знаю, где ты

Думаю, что многие из вас уже слышали про этот инфоповод, а шумиха вокруг уже улеглась. Так что, по традиции, предлагаю переходить к отложенному разбору того, что же произошло, как нам с этим жить и что будет дальше.

Речь идет о том самом инструменте для отслеживания вашего местоположения по одному только никнейму в Телеграме – Close-Circuit Telegram Vision. Коротко о главном – некий Иван Глинкин (ох его теперь работодатели на части наверное разрывают), который позиционирует себя как этичный хакер, опубликовал информацию об инструменте (и его исходники), который позволяет найти на карте всех пользователей мессенджера Telegram.

Я так и не понял, почему все так резко перевозбудились (будто переживать больше не о чем), ведь этот парень просто научился агрегировать в одном месте данные, которые пользователи и так добровольно отдают, активируя функцию "Найти людей рядом". Точность местоположения пользователей тоже не фонтан – около 800 метров.

А еще, я позволю себе напомнить о том, что больше года назад я уже говорил о том, что ведется разработка подобной штуки (Я ЖЕ ГОВОРИЛ) – вот тут. Да, я понимаю, что этот инструмент можно использовать во зло, отслеживая местоположение своих жертв, например. Но у этой проблемы уже есть решение – эту функцию можно отключить (по-умолчанию она выключена, кстати) в настройках мессенджера. А еще я напомню вам о том, что у Телеграма уже порядка 1 млрд живых пользователей, что немного усложняет работу плохим ребятам.

А так да, злоумышленники теперь могут просто скачать себе этот интрумент, допилить в нём пару фич – такие как отслеживание траекторий и построение прогнозов, и смело заходить в дома жертв, которые часто и за много денег заказывали себе еду из одного желтого сервиса доставки (отсылка к одной большой утечке персональных данных, произошедшей пару лет назад). Но не уверен, что они будут с этим заморачиваться, если честно.

В общем, так и живем. И да, функцию эту отключить не забудьте.

#Мнение

Твой Пакет Безопасности
А про вас снимали фильм?

Я тут глянул на днях (наконец-то) наш сериал "Русские хакеры: Начало" и был приятно удивлен тем, как там ведется повествование, как раскрываются герои, и вообще тем, что это документальный формат. Съемка и сами истории тоже порадовали, так что смело рекомендую к просмотру.

Я как-то уже делал пару постов на тему того, что стоит посмотреть из кинематографа для погружения в мир кибербеза (например, тут). Так что я решил, что надо повторить и накидал вам еще пару произведений помимо вышеупомянутого сериала. Ну погнали.

🎬 Во-первых, это "Химера" – тот самый художественный сериал про биржу наркотиков в даркнете. Сам я пока не успел посмотреть, но многие советуют.

🎬 Далее – "Глубокая паутина". Еще одна качественная документалка, но уже про знаменитый Silk Road и его историю.

🎬 Ну и раз мы заговорили про Шелковый путь, то следом можно глянуть уже художественный фильм (с гениальным названием) про него же – "Асоциальная сеть". Да, не "Мстители: Финал", но уровня актерской игры хватает, чтобы можно было досмотреть кино до конца.

🎬 Еще многие советуются глянуть фильм "Хакер" (где-то он датируется 2014-м годом, а где-то 2016-м, но думаю, что вы найдете). Произведение художественное, сюжет не самый продуманный, а актерская игра не самая сногсшибательная, но говорят, что снято на реальных событиях. В общем, если прям очень хочется познать еще один хакерский сюжет, то можно глянуть на фоне.

Ну а если у вас есть что еще посоветовать из того, что тут не упоминалось – вэлкам в комментарии.

#Мнение

Твой Пакет Безопасности
А вот и четверг (да, не воскресенье), а это значит, что пора подводить итоги розыгрыша (да, не дайджест) билетов на Positive Hack Days Fest 2 🥳

Спасибо всем тем, кто собрался с силами и накидал своих историй в комментарии под постом!

Ну а свои заслуженные проходки получают:
@lizapnn371
@Egor_po_QA
@boyoleg
@LeoRo019
@GUDViiiN

Жду от вас весточки в ЛС – там уже расскажу, как получить заветный приз 🏆

Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
А вот и результаты второго благотворительного конкурса 😌
⚡️Итак, конкурс подошел к концу!

🥳 Объявляем список победилетей ниже:
@yan0kyan0k
@ph4ntomsec
@sypso
@Forrest345
@RuPentest
@zenoks15

Уже сегодня мы свяжемся со всеми победителями и компенсируем им затраты на дорогу до ПХД!

❤️ Также выражаем огромную благодарность донатерам, которые помогли с реализацией конкурса! Список спонсоров ниже:
@xufostation
@haciendamustbebuilt

Мы с жюри немного отдохнем и уже совсем скоро вернемся к вам с новым конкурсом, на котором разыграем несколько проходок на оффзон и так же оплатим дорогу до него!

👨‍💻 Ждем от будущих участников таких же интересных ресерчей
Please open Telegram to view this post
VIEW IN TELEGRAM
Скоро нас атакуют

Многие ИБшники и ITшники не раз слышали такую аббревиатуру, как TI. Но далеко не у всех доходили руки до того, чтобы загуглить или осознать, а что же это вообще такое. Сегодня пробежимся по верхам и попробуем понять, насколько это важное направление в рамках всего ИБ, что там происходит внутри и стоит ли вообще идти туда работать. Так что заваривай свой чай и погнали.

Начнем, как и всегда, с расшифровки – Threat Intelligence. Если описывать этот домен один словом, то лучше всего, как по мне, подходит киберразведка (не путаем с OSINT, хоть оно и похоже). Эти ребята сидят внутри синей команды (то есть защищают), а основная их задача – это отслеживать киберугрозы до того, как они реализовались. А это значит, что на этой работе нужно будет следить за тем, кто и кого сейчас в мире атакует, как это делают и какие у всего этого последствия. По сути, эти ребята должны приглядывать одновременно и за хакерскими группировками, и за их жертвами.

TI в компании может быть реализован как на основе человеческого ресурса, так и при помощи автоматизированной платформы. Но, само собой, лучше эти два метода комбинировать. Автоматизированная платформа работает с достаточно большими объемами данных, выявляя релевантные угрозы для конкретной компании или ее активов (мобильных приложений, сайтов, данных, API и т.д.), выдает некоторый регулярный отчет, а инженер TI уже адаптирует это всё под текущий ландшафт, технологии и продукты, донося эту информацию до тех, кто отвечает за настройку WAF, AntiDDoS, IPS/IDS, EDR и прочие средства защиты информации.

Что за большие данные такие и откуда их получают? Те самые большие данные платформа TI может получать из огромного количества источников, как открытых (бесплатных), так и закрытых (платных). Это всё тоже лучше комбинировать и сравнивать между собой, чтобы получать наиболее точные данные о возможных угрозах. А содержат эти данные информацию, например, о том, какие домены или IP-адреса были засвечены в рамках проведения хакерских атак (чтобы мы могли их у себя заблокировать), или какие техники и тактики (TTP) сейчас используются хакерскими группировками из определенного региона или для атак на конкретный сектор компаний.

Кажется, что можно жить и без TI. Вообще, да, можно. Просто более тревожно. По сути, TI – это отличный вспомогательный инструмент для того, чтобы поддерживать в актуальном боеготовном состоянии все остальные средства защиты и знать, с какой стороны на нас могут напасть. Организовывается Threat Intelligence на достаточно зрелом уровне развития ИБ, так как он не помогает тушить активные пожары, а лишь вовремя подносит огнетушители туда, где скоро может загореться (да-да, именно туда).

Идти в TI работать можно, но нужно понимать, что ребят, к сожалению, там недооценивают по ЗП. С другой стороны – это отличная точка входа в кибербезопасность и отличное место для того, чтобы понять, куда расти дальше. А еще туда достаточно интересно собесят и дают интересные тестовые задания – так, например, одна кибербезопасная контра даёт задания на исследования конкретных хакерских группировок (существующих) – их языка общения, локации, мотивации, используемого вредоносного ПО и тактик, и (что мне понравилось больше всего) способов внедрения в эти группировки, включая варианты первого контакта, вхождения в доверие и далее по списку. И всё это надо сделать на основе открытых источников информации.

В общем, как-то так. Если вам понравился такой формат разбора, то наваливайте реакций и вариантов того, что можно разобраться еще в комментариях. Всем мир.

#Разбор

Твой Пакет Безопасности
А вот и время интересных историй воскресного дайджеста. Но нет, сегодня мы без него. Да, понимаю ваше разочарование, но такова эта суровая жизнь. НО. У меня для вас небольшая тема на подумать.

Я тут хотел закинуть на OFFZONE заявку на доклад и осознал одну вещь. То, какие доклады будут звучать на конференциях или митапах решают не те, кто приходит их послушать (ради кого и делается мероприятие по сути), а те, кто будет там выступать + сам программный комитет (это ребята, которые отсматривают все заявки и отбирают нужные).

Так вот, вопрос к вам. А о чём бы вам хотелось послушать доклад? Сразу скажу, что рассказывать про душную техничку со сцены мне не очень нравится (я и так устаю от этого на работе + зачем тогда на ютубе нужны будут видео от индусов), но если тема будет интересной, то почему бы и нет.

В общем, жду от вас в комментариях ваши варианты/пожелания (если они есть) и надеюсь, что нам будет, что там обсудить 👍

Воскресная открытка на базе, если что. Всем мир.

Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
Что бы такого посмотреть

Что-то весенне-летний период, оказывается, крайне богат на кибербезопасные активности – то Yet Another Security Night, то AppSecFest, то розыгрыши билетов и сам PhD Fest 2, то в гости уже заходят ребята из OFFZONE (а это значит, что я попробую добыть для вас билеты). И это я еще далеко не обо всех мероприятиях/активностях знаю и не на все хожу.

Собственно, пытаясь отвлечься от вот этого вот всего, я отправился сёрфить ютуб в поисках чего-то легкого и ненапряжного, но при этом познавательного. Про разносторонний контент, который я там потребляю, я вам рассказывать, конечно же, не буду (у нас всё-таки тематический канал), но расскажу про кое-что релевантное. И нет, это не реклама. В общем, наткнулся на крутой ролик от Топлеса. Там и про Джеймса Бонда, и про прослушку, и про маскировку, и про цифровой след, и про романтизацию шпионов. А что самое главное – на простом и понятном языке – самое то для того, чтобы расслабить свой мозг и отдохнуть. Так что крайне рекомендую к просмотру.

Но на этом еще не всё. Как только выдохните, можете сразу вдыхать, потому что следующая рекомендация заставит вас чуть поднапрячься. Дело в том, что на одной из конференций скоро (22 мая) будет выступать мой коллега и крутой специалист, с которым мы регулярно собесим безопасников – Виталий Медведев (CISO МТС RED). Почему же я решил об этом упомянуть – да потому что у него достаточно интересная тема дискуссии (хоть и звучит она душновато) с моим любимым упором на баланс и профессиональное выгорание (вам такое вроде тоже заходит) и взглядом со стороны CISO (а этим вообще не очень-то и часто делятся публично).

Выступать он будет на конференции, до уровня которых я пока еще не дорос (это там где взрослые дяди решают взрослые вопросы) – ЦИПР. Можете глянуть на состав почетных гостей и осознать масштаб. В общем, вот тут есть вся информация, так что, если вам такое интересно, то не пропустите. Ну а Виталию желаю удачи 💪

На этом на сегодня всё, мои друзья. Если у вас есть что-то интересное и полезное в формате "на посмотреть", чем вы готовы поделиться – вэлкам в комментарии.

#Полезное

Твой Пакет Безопасности